安全策略已传播,但有警告信息 - TOMMYHU - 专注互联网开发及运营技术,提供相关资料及软件下载,奇趣网络时事评论!
Mar 3

安全策略已传播,但有警告信息 不指定

Highslide JS
安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。
安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。
Highslide JS
看了一下日志信息,ID是 1202。日志提示原因是组策略中引用的用户帐户,在系统中不存在,因此无法将其映射为SID。这通常是因为策略中引用的帐户已经被删除,被重命名,或拼写错误引起。

1、于是打算先找到这个系统里已经不存在,但仍被策略引用的的用户帐户再说。<br/>
如下操作:
C:\Find /I /N "找不到" %systemroot%\secruity\logs\winlogon.log

结果如下:
Highslide JS
从结果中看到,有一个叫“adminsitraors”的组帐户,在系统处理策略时,无法映射成SID。咋一看,还以为是管理员组(administrators)不存在了哩~原来是拼写出错了,写成了adminsitrators,呵呵。。。

2、知道了用户名,再接着找出错的组策略对象GPO模板,看看是哪个GPO配置时写错用户组名了。
操作如下:
定位到SysVol文件夹。在资源管理器里,搜索文件内容包含“adminsitrators”的GPT。
结果如下:
Highslide JS
3、既然已经找到了引起出错的组策略模板,打开看看。。。果然是写错了! ~严重疏忽。。。
Highslide JS
4、在gpmc(需要先安装gpmc.msi)核对该策略,核实了错误的存在。
Highslide JS
5、重新更正用户权限分配对象,刷新组策略,检查日志-->正常啦~
在模板里更正了拼写错误。
再用gpupdate刷新组策略。
隔15分钟检查Winlogon.log(再用C:\Find /I /N "adminsitrators" %systemroot%\secruity\logs\winlogon.log),已经没有出错信息。

终于OK...

事件ID1202的事件日志内容如下,看看它提供的解决办法。有帮助哦~
引用内容

事件类型:    警告
事件来源:    SceCli
事件种类:    无
事件 ID:    1202
日期:    2006-4-6
事件:    13:53:23
用户:    N/A
计算机:    JTBDC
描述:
安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。

有关此问题的高级帮助可以在 http://support.microsoft.com 找到。
查询 "troubleshooting 1202 events"。

当在一个或多个组策略对象(GPO)中的用户帐户不能解析为一个 SID 时发生错误 0x534。导致此错误的原因可能是在用户权限或一个 GPO 的受限制的组分支中引用的用户帐户键入错误或已被删除。要解析此事件,请联系域的管理员,执行下列操作:

1.识别不能解析为一个 SID 的帐户:

在命令行中,键入: FIND /I "Cannot find"  %SYSTEMROOT%\Security\Logs\winlogon.log
在 FIND 的输出中,"Cannot find" 后面的字符串就是有问题的帐户名。

示例: Cannot find JohnDough。
在这种情况下,用户名 "JohnDough" 的 SID 不能确定。这通常是因为帐户已经被删除,被重命名,或拼写错误(例如,"JohnDoe")。

2.用 RSoP 来识别特定的用户权限,受限制的组,和饱含有问题帐户的源 GPO:

a.开始 -> 运行 -> RSoP.msc
b.查看“计算机配置\Windows 设置\安全设置\本地策略\用户权限分配”和“计算机配置\Windows 设置\安全设置\本地策略\受限制的组”的结果,查找用红色的 X 标记的错误。
c.对于任何用红色的 X 标记的用户权限或受限制的组,包含有问题的策略的相应 GPO 在标题为“源 GPO”的列中列出。注意产生错误的特定用户权限,受限制的组和包含的源 GPO。

3.从组策略中删除不能解析的帐户

a.开始 -> 运行 -> MMC.EXE
b.从“文件”菜单选择“添加/删除管理单元...”
c.从“添加/删除管理单元”对话框选择“添加...”
d.在“添加独立管理单元”对话框中选择“组策略对象编辑器”,然后单击“添加”
e.在“选择组策略对象”对话框中,单击“浏览”按钮
f.在“浏览组策略对象”对话框中,选择“全部”选项卡
g.对于在步骤 2 中识别出的每一个源 GPO,更正在步骤 2 中用红色的 X 标出的特定用户权限或受限制的组。这些用户权限或受限制的组可以通过删除或更正到在步骤 1 中识别出的有问题帐户的引用来进行更正。
▲返回顶部
Last modified by tommyhu on2009/03/03 22:09

Add a comment

Nickname

emotemotemotemotemotemotemotemotemotemotemotemotemotemotemotemot