计算机用户名与安全标识,安全策略已传播，但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。...

环境：WIN 2K SERVER +IIS+AD+IE 6

事件类型: 警告

事件来源: SceCli

事件种类: 无

事件 ID: 1202

日期:  2008-05-27

事件:  19:01:58

用户:  N/A

计算机: SERVER

描述:

安全策略已传播，但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。

解决此事件的最佳方案，请用非系统管理员账户登录并在 http://support.microsoft.com 上查找“Troubleshooting 1202 Events”。

一个或多个组策略对象(GPO)中的用户帐户不能解析成一个 SID。此错误可能是由于输错了或删除了在 GPO 的“用户权力”或“受限制的组”分支引用的用户帐户。要解决此事件，请和网域的系统管理员联系，执行下列操作:

1.识别不能解析成 SID 的账户: 从命令提示，输入: FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log

FIND 输出中 "Cannot find" 后面的字符串标识了有问题的账户名。

例如: Cannot find JohnDough。

此例子表明，不能决定用户名“JohnDough”的 SID。最可能的原因是账户被删除、改名或拼错(例如拼成了“JohnDoe”)。

2.识别包含未解析的账户名的 GPO:

从命令提示，输入 FIND /I "JohnDough" %SYSTEMROOT%\Security\templates\policies\gpt*.*

FIND 命令的输出为:

---------- GPT00000.DOM

---------- GPT00001.DOM

SeRemoteShutdownPrivilege=JohnDough

这表明所有应用到此机器的 GPO，未解析的账户名只存在于一个 GPO，也就是缓存中名为 GPT00001.DOM 的 GPO。

现在我们需要在下一步决定此 GPO 的好记的名称。

3. 找到每一个包含未解析的账户名的 GPO 的好记的名称。这些 GPO 已经在上一步识别。

从命令提示，输入: FIND /I "[Mapping]" %SYSTEMROOT%\Security\Logs\winlogon.log

FIND 的输出中跟在"[Mapping] gpt0000?.dom =" 后的字符串标识所有所有应用到此机器的 GPO 的好记的名称。

例如: [Mapping] gpt00001.dom = User Rights Policy

此例子表明，包含未解析的账户的 GPO(gpt00001.dom)有一个好记的名称“User Rights Policy”。

4. 从包含未解析的账户的 GPO 中删除未解析的账户。

a. [开始] -> 运行 -> MMC.EXE

b. 从文件菜单中选择“添加或删除管理单元…”

c. 从“添加或删除管理单元”对话框，选择“添加…”

d. 在“添加独立管理单元”对话框，选择“组策略”，并单击“添加”

e. 在“选择组策略对象”对话框，单击“浏览”按钮

f. 在“浏览组策略对象”对话框，选择“所有”选项卡

g. 右击第三步识别的策略，选择编辑

h. 对第一步识别的账户，复查“计算机配置/Windows 设置/安全设置/本地策略/用户权力分配”或“计算机配置/Windows 设置/安全设置/受限制的组”下的每一设置。

i. 对第三步识别的所有 GPO，重复 4g 和 4h。