SCECLI Warning 1202 事件故障排除

故障原因：组策略中配置的账户变更了名称或已删除，导致无法解析此账户。

Windows Server 计算机事件警告：

安全策略已传播，但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。

应用程序日志：

来源：Scecli

事件ID：1202

Troubleshooting SCECLI 1202 Events

由于官方原文仅英文且过时，部分操作已变更，步骤如下：

1202事件中包含多种错误类型，根据实际环境及事件信息判断为账户解析问题。

1.确认无法解析的账户

（1）想要确认首先需要输出DeBug日志

在以下路径建立注册表值：（如果存在则更改值）

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

Value name: ExtensionDebugLevel
Data type: DWORD
Value data: 2

（2）更新组策略

使用 gpupdate/force 强制更新组策略

gpupdate/force

（原文为secedit /refreshpolicy machine_policy /enforce该命令已被取代）

（3）查看winlogon.log日志

策略应用后会在如下路径生成LOG （%SYSTEMROOT%为系统变量 一般为C:\Windows）

%SYSTEMROOT%\security\logs\winlogon.log

在CMD窗口键入如下命令。

find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

会返回类似 “Cannot find MichaelAlexander.” 结果（其中 MichaelAlexander为Account Name）

但输出日志为系统语言，该命令可能找不到（如简体中文日志内容为 “找不到MichaelAlexander ”）该命令将不再适用，建议到路径下用记事本查看日志更加直观。

返回的Account Name或日志中的Account Name为解析错误的账户名。

确认该账户无法解析的原因，如名称变更，账户已删除，计算机应用了错误的组策略，信任关系异常。（如特殊软件通过组策略配置的服务账号改名，谨慎删除）

2 .确认异常的组策略

（1）查找异常的组策略文件

如果确认该账户需要从组策略配置中删除，在1202事件产生的PC上运行以下命令

find /i “account name” %SYSTEMROOT%\security\templates\policies\gpt*.*

其中account name为前文日志中找到的解析错误的账户名。

返回值类似

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003

其中GPT00002.INF即为异常的组策略的缓存文件。下方描述为异常项的标识，如图标识的对应友好名称为“本地登录”。

（2）定位异常组策略

运行以下命令，在异常组策略的文件中（以GPT00002.INF为例）查找GUID。

find /i "GPOPath" C:\WINDOWS\SECURITY\TEMPLATES\POLICIES\GPT00002.INF

会返回如下结果：

---------- C:\WINDOWS\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
GPOPath={6AC1786C-016F-11D2-945F-XXXXXXXXXXXX9}\MACHINE

可通过该标识与【组策略】-【详细信息】-【唯一ID】比对 确定异常组策略。

或在Powershell中通过以下命令获取该GUID对应组策略的友好名称。

 Get-GPO -Guid 6AC1786C-016F-11D2-945F-XXXXXXXXXX9

3. 修正组策略的异常设置

a.    开始 -> 运行 -> MMC.EXE
b.    从“文件”菜单选择“添加/删除管理单元...”

c.    从“添加/删除管理单元”对话框选择“添加...”
d.    在“添加独立管理单元”对话框中选择“组策略对象编辑器”，然后单击“添加”

e.    在“选择组策略对象”对话框中，单击“浏览”按钮
f.    在“浏览组策略对象”对话框中，选择“全部”选项卡（选择本地计算机也可以）

g.    对于在步骤 2 中识别出的每一个源 GPO，更正在步骤 2 中用红色的 X 标出的特定用户权限或受限制的组。(异常设置会以红X标出，右侧会显示该配置的源GPO)

如图:

最后，在域控中找到该组策略，在相应配置处进行修复即可，如修改账户名或删除该账户配置。

"本站所有文章均为原创，欢迎转载，请注明文章出处：https://blog.csdn.net/weixin_57323573?type=blog。本人习惯不定期对自己的博文进行修正和更新，因此请访问出处以查看本文的最新版本。"