系统日志中出现事件编号1202、来源为SceCli的警告错误信息的处理方法

Troubleshooting warning message event 1202 from SceCli in application event

故障现象
事件查看器中出现错误日志
错误    2008-2-27    8:32:26    SceCli    无    1202    N/A    SERVER-DC2

详细内容为：
日期：2008-2-27；时间：8:32:26；类型：警告；用户：N/A；计算机：SERVER-DC2；来源：SceCli；类别：无；事件：1202描述：
安全策略已传播，但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。
有关此问题的高级帮助可以在 http://support.microsoft.com 找到。
查询 "troubleshooting 1202 events"。
当在一个或多个组策略对象(GPO)中的用户帐户不能解析为一个 SID 时发生错误 0x534。导致此错误的原因可能是在用户权限或一个 GPO 的受限制的组分支中引用的用户帐户键入错误或已被删除。要解析此事件，请联系域的管理员，执行下列操作:
1.      识别不能解析为一个 SID 的帐户:
在命令行中，键入: FIND /I "Cannot find" %SYSTEMROOT%"Security"Logs"winlogon.log
在 FIND 的输出中，"Cannot find" 后面的字符串就是有问题的帐户名。
示例: Cannot find JohnDough。
在这种情况下，用户名 "JohnDough" 的 SID 不能确定。这通常是因为帐户已经被删除，被重命名，或拼写错误(例如，"JohnDoe")。
2.      用 RSoP 来识别特定的用户权限，受限制的组，和饱含有问题帐户的源 GPO:
a.      开始 -> 运行 -> RSoP.msc
b.      查看“计算机配置"Windows 设置"安全设置"本地策略"用户权限分配”和“计算机配置"Windows 设置"安全设置"本地策略"受限制的组”的结果，查找用红色的 X 标记的错误。
c.      对于任何用红色的 X 标记的用户权限或受限制的组，包含有问题的策略的相应 GPO 在标题为“源 GPO”的列中列出。注意产生错误的特定用户权限，受限制的组和包含的源 GPO。
3.      从组策略中删除不能解析的帐户
a.      开始 -> 运行 -> MMC.EXE
b.      从“文件”菜单选择“添加/删除管理单元...”
c.      从“添加/删除管理单元”对话框选择“添加...”
d.      在“添加独立管理单元”对话框中选择“组策略对象编辑器”，然后单击“添加”
e.      在“选择组策略对象”对话框中，单击“浏览”按钮
f.       在“浏览组策略对象”对话框中，选择“全部”选项卡
g.      对于在步骤 2 中识别出的每一个源 GPO，更正在步骤 2 中用红色的 X 标出的特定用户权限或受限制的组。这些用户权限或受限制的组可以通过删除或更正到在步骤 1 中识别出的有问题帐户的引用来进行更正。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持

原因分析
日志描述中给出了具体的错误代码号0x534，描述为No mapping between account names and security IDs was done.（0x534：帐户名称和安全标识符之间没有进行映射。）
表示在系统中有账号（不单指用户账号）只存在账户名称，而没有对应的SID来进行标识，所以系统无法进行关系映射。所以在将安全账户解析为安全标识符 (SID) 时失败。

解决方法
1、启用安全配置客户端扩展的调试日志记录，确定导致故障的账户。
（1）启动注册表编辑器。
（2）找到并单击下面的注册表子项：HKEY_LOCAL_MACHINE"Software"Microsoft"Windows NT"CurrentVersion"Winlogon"GPExtensions"{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
（3）在“编辑”菜单上，单击“添加数值”，然后添加以下注册表值：
数值名称：ExtensionDebugLevel；数据类型：DWORD；数值数据：2。
（4）退出注册表编辑器。
2、等待策略刷新生效，然后查找问题帐户。
在命令行输入find /i "cannot find" %SYSTEMROOT%"security"logs"winlogon.log （中文操作系统输入 find /i "找不到" %SYSTEMROOT%"security"logs"winlogon.log)。输出结果中将标识出有问题的帐户的名称。
在本例中：输出的结果是“找不到帐户Domain Adminis”。但这个帐号在系统中并不存在，因此确定是此帐号的问题。
3、确定无法解析此帐户的原因。例如，查找录入错误、被删除的帐户、应用到此计算机的错误策略或信任问题。
（1）在运行中输入rsop.msc，打开策略的结果集，系统会标识出那个策略有问题。
（2）编辑组策略，修正策略设置。
在本例中，策略“安全设置-本地策略-用户权利指派-允许在本地登录中”，有用户组“Domain Adminis”，而没有组“Domain Admins”（注意第一个多了一个i）,因此出现策略错误。修正后问题解决。