none
安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。 RRS feed

  • 问题

  • 环境:WIN 2K SERVER +IIS+AD+IE 6

    事件类型: 警告
    事件来源: SceCli
    事件种类: 无
    事件 ID: 1202
    日期:  2008-05-27
    事件:  19:01:58
    用户:  N/A
    计算机: SERVER
    描述:
    安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。

    解决此事件的最佳方案,请用非系统管理员账户登录并在 http://support.microsoft.com 上查找“Troubleshooting 1202 Events”。
    一个或多个组策略对象(GPO)中的用户帐户不能解析成一个 SID。此错误可能是由于输错了或删除了在 GPO 的“用户权力”或“受限制的组”分支引用的用户帐户。要解决此事件,请和网域的系统管理员联系,执行下列操作:

    1.识别不能解析成 SID 的账户: 从命令提示,输入: FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log
    FIND 输出中 "Cannot find" 后面的字符串标识了有问题的账户名。
    例如: Cannot find JohnDough。
    此例子表明,不能决定用户名“JohnDough”的 SID。最可能的原因是账户被删除、改名或拼错(例如拼成了“JohnDoe”)。

    2.识别包含未解析的账户名的 GPO:
    从命令提示,输入 FIND /I "JohnDough" %SYSTEMROOT%\Security\templates\policies\gpt*.*
     FIND 命令的输出为:
     ---------- GPT00000.DOM
     ---------- GPT00001.DOM
     SeRemoteShutdownPrivilege=JohnDough
     这表明所有应用到此机器的 GPO,未解析的账户名只存在于一个 GPO,也就是缓存中名为 GPT00001.DOM 的 GPO。
     现在我们需要在下一步决定此 GPO 的好记的名称。

    3. 找到每一个包含未解析的账户名的 GPO 的好记的名称。这些 GPO 已经在上一步识别。
    从命令提示,输入: FIND /I "[Mapping]" %SYSTEMROOT%\Security\Logs\winlogon.log
     FIND 的输出中跟在"[Mapping] gpt0000?.dom =" 后的字符串标识所有所有应用到此机器的 GPO 的好记的名称。
     例如: [Mapping] gpt00001.dom = User Rights Policy
     此例子表明,包含未解析的账户的 GPO(gpt00001.dom)有一个好记的名称“User Rights Policy”。

    4. 从包含未解析的账户的 GPO 中删除未解析的账户。
     a. [开始] -> 运行 -> MMC.EXE
     b. 从文件菜单中选择“添加或删除管理单元…”
     c. 从“添加或删除管理单元”对话框,选择“添加…”
     d. 在“添加独立管理单元”对话框,选择“组策略”,并单击“添加”
     e. 在“选择组策略对象”对话框,单击“浏览”按钮
     f. 在“浏览组策略对象”对话框,选择“所有”选项卡
     g. 右击第三步识别的策略,选择编辑
     h. 对第一步识别的账户,复查“计算机配置/Windows 设置/安全设置/本地策略/用户权力分配”或“计算机配置/Windows 设置/安全设置/受限制的组”下的每一设置。
     i. 对第三步识别的所有 GPO,重复 4g 和 4h。

    2008年5月31日 0:37