TOMMYHU

安全策略已传播，但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。
安全策略已传播，但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。

看了一下日志信息，ID是 1202。日志提示原因是组策略中引用的用户帐户，在系统中不存在，因此无法将其映射为SID。这通常是因为策略中引用的帐户已经被删除，被重命名，或拼写错误引起。

1、于是打算先找到这个系统里已经不存在，但仍被策略引用的的用户帐户再说。<br/>
如下操作：
C:\Find /I /N "找不到" %systemroot%\secruity\logs\winlogon.log

结果如下：

从结果中看到，有一个叫“adminsitraors”的组帐户，在系统处理策略时，无法映射成SID。咋一看，还以为是管理员组(administrators)不存在了哩～原来是拼写出错了，写成了adminsitrators，呵呵。。。

2、知道了用户名，再接着找出错的组策略对象GPO模板，看看是哪个GPO配置时写错用户组名了。
操作如下：
定位到SysVol文件夹。在资源管理器里，搜索文件内容包含“adminsitrators”的GPT。
结果如下：

3、既然已经找到了引起出错的组策略模板，打开看看。。。果然是写错了！ ～严重疏忽。。。

4、在gpmc(需要先安装gpmc.msi)核对该策略，核实了错误的存在。

5、重新更正用户权限分配对象，刷新组策略，检查日志-->正常啦~
在模板里更正了拼写错误。
再用gpupdate刷新组策略。
隔15分钟检查Winlogon.log（再用C:\Find /I /N "adminsitrators" %systemroot%\secruity\logs\winlogon.log），已经没有出错信息。

终于OK...

事件ID1202的事件日志内容如下，看看它提供的解决办法。有帮助哦～
引用内容

事件类型:    警告
事件来源:    SceCli
事件种类:    无
事件 ID:    1202
日期:    2006-4-6
事件:    13:53:23
用户:    N/A
计算机:    JTBDC
描述:
安全策略已传播，但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。

有关此问题的高级帮助可以在 http://support.microsoft.com 找到。
查询 "troubleshooting 1202 events"。

当在一个或多个组策略对象(GPO)中的用户帐户不能解析为一个 SID 时发生错误 0x534。导致此错误的原因可能是在用户权限或一个 GPO 的受限制的组分支中引用的用户帐户键入错误或已被删除。要解析此事件，请联系域的管理员，执行下列操作:

1.识别不能解析为一个 SID 的帐户:

在命令行中，键入: FIND /I "Cannot find"  %SYSTEMROOT%\Security\Logs\winlogon.log
在 FIND 的输出中，"Cannot find" 后面的字符串就是有问题的帐户名。

示例: Cannot find JohnDough。
在这种情况下，用户名 "JohnDough" 的 SID 不能确定。这通常是因为帐户已经被删除，被重命名，或拼写错误(例如，"JohnDoe")。

2.用 RSoP 来识别特定的用户权限，受限制的组，和饱含有问题帐户的源 GPO:

a.开始 -> 运行 -> RSoP.msc
b.查看“计算机配置\Windows 设置\安全设置\本地策略\用户权限分配”和“计算机配置\Windows 设置\安全设置\本地策略\受限制的组”的结果，查找用红色的 X 标记的错误。
c.对于任何用红色的 X 标记的用户权限或受限制的组，包含有问题的策略的相应 GPO 在标题为“源 GPO”的列中列出。注意产生错误的特定用户权限，受限制的组和包含的源 GPO。

3.从组策略中删除不能解析的帐户

a.开始 -> 运行 -> MMC.EXE
b.从“文件”菜单选择“添加/删除管理单元...”
c.从“添加/删除管理单元”对话框选择“添加...”
d.在“添加独立管理单元”对话框中选择“组策略对象编辑器”，然后单击“添加”
e.在“选择组策略对象”对话框中，单击“浏览”按钮
f.在“浏览组策略对象”对话框中，选择“全部”选项卡
g.对于在步骤 2 中识别出的每一个源 GPO，更正在步骤 2 中用红色的 X 标出的特定用户权限或受限制的组。这些用户权限或受限制的组可以通过删除或更正到在步骤 1 中识别出的有问题帐户的引用来进行更正。
最后编辑： tommyhu 编辑于2009/03/03 22:09