DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 324383 - Dernière mise à jour: mercredi 26 février 2014 - Version: 1.0

 
Avertissement
Cet article s'applique à Windows 2000. Le support technique pour Windows 2000 a pris fin le 13 juillet 2010. Le Centre de solutions pour la clôture du support Windows 2000 (http://support.microsoft.com/ph/1131/fr) est un point de départ pour préparer votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, reportez-vous à la Politique de support Microsoft (http://support.microsoft.com/lifecycle/?ln=fr) .

Sommaire

Résumé

Cet article décrit plusieurs méthodes de diagnostic et de résolution des événements SCECLI 1202.

Plus d'informations

La première procédure de résolution de ces événements consiste à identifier le code d'erreur Win32. Ce code indique le type d'erreur à l'origine de l'événement SCECLI 1202. L'exemple suivant illustre un événement SCECLI 1202. Le code d'erreur est indiqué dans le champ Description. Dans cet exemple, le code d'erreur est 0x534. Le texte situé après le code d'erreur est la description de l'erreur.

Type de l'événement : Avertissement
Source de l'événement : SceCli
Catégorie de l'événement : Aucune
ID d'événement : 1202
Date : JJ/MM/AAAA
Heure : HH:MM:SS
Utilisateur : N/A
Ordinateur : %nom_ordinateur%
Description : Les stratégies de sécurité sont propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué. Consultez les informations détaillées dans la section Résolution de l'Aide sur la sécurité.

Après avoir déterminé le code d'erreur, recherchez la section correspondant à ce code dans cet article et appliquez les procédures de résolution présentées dans cette section.

0x534 : Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.
- ou -
0x6fc : La relation d'approbation entre le domaine principal et le domaine approuvé a échoué.

Ces codes d'erreur indiquent l'échec de la résolution d'un compte de sécurité vers un identificateur de sécurité (SID). Ceci se produit généralement soit parce que le nom du compte n'a pas été tapé correctement, soit parce que le compte a été supprimé après avoir été ajouté au paramètre de stratégie de sécurité. Ce problème se produit généralement dans la section Droits de l'utilisateur ou Groupes restreints du paramètre de stratégie de sécurité. Il peut également se produire si le compte est authentifié par une approbation et qu'ensuite la relation d'approbation est interrompue.

Pour résoudre ce problème, procédez comme suit :
  1. Déterminez le compte à l'origine de l'erreur. Pour ce faire, activez l'enregistrement de débogage pour l'extension côté client de la configuration de sécurité. Pour cela, procédez comme suit :
    1. Démarrez l'Éditeur du Registre.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Dans le menu Edition, cliquez sur Ajout d'une valeur, puis ajoutez la valeur de Registre suivante :
      Nom de la valeur : ExtensionDebugLevel
      Type de données : DWORD
      Données de la valeur : 2
    4. Quittez l'Éditeur du Registre.
  2. Actualisez les paramètres de la stratégie pour reproduire l'erreur. Pour actualiser ces paramètres, tapez la commande suivante à une invite de commandes, puis appuyez sur Entrée :
    secedit /refreshpolicy machine_policy /enforce
    Cette opération crée un fichier nommé Winlogon.log dans le dossier %SYSTEMROOT%\Security\Logs.
  3. Recherchez le compte à l'origine du problème. Pour cela, tapez la commande suivante à une invite de commandes, puis appuyez sur Entrée :
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    Le résultat de la recherche identifie les noms de comptes à l'origine du problème : par exemple, "Cannot find MichaelAlexander". Dans cet exemple, le compte d'utilisateur MichaelAlexander n'existe pas dans le domaine ou est épelé différemment (par exemple, MichelleAlexander).

    Déterminez la raison pour laquelle ce compte ne peut pas être résolu. Par exemple, vérifiez si le problème est dû à une erreur typographique, à la suppression du compte, à une stratégie incorrecte appliquée à cet ordinateur ou à un problème de relation d'approbation.
  4. Si vous déterminez que le compte doit être supprimé de la stratégie, recherchez la stratégie et le paramètre à l'origine du problème. Pour identifier le paramètre qui contient le compte non résolu, tapez la commande suivante à l'invite de commandes sur l'ordinateur qui produit l'événement SCECLI 1202, puis appuyez sur Entrée :
    c:\>find /i "nom_compte" %SYSTEMROOT%\security\templates\policies\gpt*.*
    Dans notre exemple, la syntaxe et les résultats seront les suivants :
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Ceci identifie GPT00002.inf comme étant le modèle de sécurité mis en cache de l'objet GPO (objet de stratégie de groupe) contenant le paramètre à l'origine du problème. Ce paramètre est en outre identifié comme SeInteractiveLogonRight. Le nom complet de SeInteractiveLogonRight est « Ouvrir une session localement ».

    Pour consulter une liste de constantes (par exemple, SeInteractiveLogonRight) avec leur nom complet (par exemple, Ouvrir une session localement), reportez-vous au « Guide des systèmes distribués » dans le Kit de ressources Microsoft Windows 2000 Server. Cette liste est située dans la section « Droits de l'utilisateur » de l'annexe.
  5. Déterminez l'objet GPO contenant le paramètre à l'origine du problème. Effectuez une recherche sur le texte « GPOPath= » dans le modèle de sécurité mis en cache identifié à l'étape 4. Dans cet exemple, vous pouvez voir les informations suivantes :
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    La chaîne située entre « GPOPath= » et « \MACHINE » est le GUID de l'objet GPO.
  6. Pour identifier le nom convivial de l'objet GPO, utilisez l'utilitaire du Kit de ressources Gpotool.exe. Tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :
    gpotool /verbose
    Recherchez le GUID identifié à l'étape 5 dans le résultat. Les quatre lignes suivant le GUID contiennent le nom convivial de la stratégie. Par exemple :
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    
Vous avez ainsi identifié le compte, le paramètre et l'objet GPO à l'origine du problème. Pour résoudre le problème, supprimez ou remplacez l'entrée fautive.

0x2 : Le fichier spécifié est introuvable.

Cette erreur est semblable aux erreurs 0x534 et 0x6fc en ce sens qu'elle est provoquée par un nom de compte qui ne peut pas être résolu. Lorsque l'erreur 0x2 se produit, elle indique généralement que le nom de compte non résoluble est spécifié dans un paramètre de stratégie Groupes restreints.

Pour résoudre ce problème, procédez comme suit :
  1. Déterminez dans quel service ou quel objet le problème se produit. Pour ce faire, activez l'enregistrement de débogage pour l'extension côté client de la configuration de sécurité. Pour cela, procédez comme suit :
    1. Démarrez l'Éditeur du Registre.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Dans le menu Edition, cliquez sur Ajout d'une valeur, puis ajoutez la valeur de Registre suivante :
      Nom de la valeur : ExtensionDebugLevel
      Type de données : DWORD
      Données de la valeur : 2
    4. Quittez l'Éditeur du Registre.
  2. Actualisez les paramètres de la stratégie pour reproduire l'erreur. Pour actualiser ces paramètres, tapez la commande suivante à une invite de commandes, puis appuyez sur Entrée :
    secedit /refreshpolicy machine_policy /enforce
    Ceci crée un fichier nommé Winlogon.log dans le dossier %SYSTEMROOT%\Security\Logs.
  3. Tapez la commande suivante à une invite de commandes, puis appuyez sur Entrée :
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    Le résultat de la recherche identifie les noms de comptes à l'origine du problème : par exemple, "Cannot find MichaelAlexander". Dans cet exemple, le compte d'utilisateur MichaelAlexander n'existe pas dans le domaine ou est épelé différemment (par exemple, MichelleAlexander).

    Déterminez la raison pour laquelle ce compte ne peut pas être résolu. Par exemple, vérifiez si le problème est dû à une erreur typographique, à la suppression du compte, à une stratégie incorrecte appliquée à cet ordinateur ou à un problème de relation d'approbation.
  4. Si vous déterminez que le compte doit être supprimé de la stratégie, recherchez la stratégie et le paramètre à l'origine du problème. Pour déterminer le paramètre qui contient le compte non résolu, tapez la commande suivante à l'invite de commandes sur l'ordinateur qui produit l'événement SCECLI 1202, puis appuyez sur Entrée :
    c:\>find /i "nom_compte" %SYSTEMROOT%\security\templates\policies\gpt*.*
    Dans notre exemple, la syntaxe et les résultats seront les suivants :
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Ceci identifie GPT00002.inf comme étant le modèle de sécurité mis en cache de l'objet GPO (objet de stratégie de groupe) contenant le paramètre à l'origine du problème. Ce paramètre est en outre identifié comme SeInteractiveLogonRight. Le nom complet de SeInteractiveLogonRight est « Ouvrir une session localement ».

    Pour consulter une liste de constantes (par exemple, SeInteractiveLogonRight) avec leur nom complet (par exemple, Ouvrir une session localement), reportez-vous au « Guide des systèmes distribués » dans le Kit de ressources Microsoft Windows 2000 Server. Cette liste est située dans la section « Droits de l'utilisateur » de l'annexe.
  5. Déterminez l'objet GPO contenant le paramètre à l'origine du problème. Effectuez une recherche sur le texte « GPOPath= » dans le modèle de sécurité mis en cache identifié à l'étape 4. Dans cet exemple, vous pouvez voir les informations suivantes :
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    La chaîne située entre « GPOPath= » et « \MACHINE » est le GUID de l'objet GPO.
  6. Pour identifier le nom convivial de l'objet GPO, utilisez l'utilitaire du Kit de ressources Gpotool.exe. Tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :
    gpotool /verbose
    Recherchez le GUID identifié à l'étape 5 dans le résultat. Les quatre lignes suivant le GUID contiennent le nom convivial de la stratégie. Par exemple :
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    

Vous avez ainsi identifié le compte, le paramètre et l'objet GPO à l'origine du problème. Pour résoudre le problème, recherchez les instances du compte à l'origine du problème (« MichaelAlexander » dans notre exemple) dans la section Groupes restreints de la stratégie de sécurité, puis supprimez ou remplacez l'entrée fautive.

0x5 : Accès refusé.

Cette erreur se produit généralement si le système ne dispose pas des autorisations nécessaires pour mettre à jour la liste de contrôle d'accès d'un service. Ceci peut être le cas si l'Administrateur définit des autorisations sur un service dans une stratégie mais n'accorde pas au compte système les autorisations Contrôle total.

Pour résoudre ce problème, procédez comme suit :
  1. Déterminez dans quel service ou quel objet le problème se produit. Pour ce faire, activez l'enregistrement de débogage pour l'extension côté client de la configuration de sécurité. Pour cela, procédez comme suit :
    1. Démarrez l'Éditeur du Registre.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Dans le menu Edition, cliquez sur Ajout d'une valeur, puis ajoutez la valeur de Registre suivante :
      Nom de la valeur : ExtensionDebugLevel
      Type de données : DWORD
      Données de la valeur : 2
    4. Quittez l'Éditeur du Registre.
  2. Actualisez les paramètres de la stratégie pour reproduire l'erreur. Pour actualiser ces paramètres, tapez la commande suivante à une invite de commandes, puis appuyez sur Entrée :
    secedit /refreshpolicy machine_policy /enforce
    Ceci crée un fichier nommé Winlogon.log dans le dossier %SYSTEMROOT%\Security\Logs.
  3. Tapez la commande suivante à une invite de commandes, puis appuyez sur Entrée :
    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
    Le résultat de la recherche identifie le service comprenant les autorisations incorrectes : par exemple, "Error opening Dnscache". Dnscache est le nom abrégé du service DNS Client.
  4. Déterminez la ou les stratégies qui tentent de modifier les autorisations du service. Pour cela, tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :
    find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
    Les lignes suivantes illustrent un exemple de commande et son résultat :
    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    
  5. Déterminez l'objet GPO contenant le paramètre à l'origine du problème. Effectuez une recherche sur le texte « GPOPath= » dans le modèle de sécurité mis en cache identifié à l'étape 4. Dans cet exemple, vous pouvez voir les informations suivantes :
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    La chaîne située entre « GPOPath= » et « \MACHINE » est le GUID de l'objet GPO.
  6. Pour identifier le nom convivial de l'objet GPO, utilisez l'utilitaire du Kit de ressources Gpotool.exe. Tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :
    gpotool /verbose
    Recherchez le GUID identifié à l'étape 5 dans le résultat. Les quatre lignes suivant le GUID contiennent le nom convivial de la stratégie. Par exemple :
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    
Vous avez désormais identifié le service comprenant les autorisations incorrectes et l'objet GPO à l'origine du problème. Pour résoudre le problème, recherchez les instances du service comprenant les autorisations incorrectes dans la section Services système de la stratégie de sécurité, puis accordez au compte système les autorisations de contrôle total sur ce service.

0x4b8 : Une erreur étendue s'est produite.

L'erreur 0x4b8 est générique et peut être provoquée par différents problèmes. Pour résoudre ces erreurs, procédez comme suit :
  1. Activez l'enregistrement de débogage pour l'extension côté client de la configuration de sécurité. Pour cela, procédez comme suit :
    1. Démarrez l'Éditeur du Registre.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Dans le menu Edition, cliquez sur Ajout d'une valeur, puis ajoutez la valeur de Registre suivante :
      Nom de la valeur : ExtensionDebugLevel
      Type de données : DWORD
      Données de la valeur : 2
    4. Quittez l'Éditeur du Registre.
  2. Actualisez les paramètres de la stratégie pour reproduire l'erreur. Pour actualiser ces paramètres, tapez la commande suivante à une invite de commandes, puis appuyez sur Entrée :
    secedit /refreshpolicy machine_policy /enforce
    Ceci crée un fichier nommé Winlogon.log dans le dossier %SYSTEMROOT%\Security\Logs.
  3. Consultez les articles ci-dessous dans la Base de connaissances Microsoft. Ces articles décrivent des problèmes connus pouvant provoquer l'erreur 0x4b8. Cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
    260715  (http://support.microsoft.com/kb/260715/fr/ ) ID d'événement 1000 et 1202 après la configuration de stratégies
    278316  (http://support.microsoft.com/kb/278316/fr/ ) Les ID d'événement ESENT 1000, 1202, 412 et 454 sont enregistrés de façon répétée dans le journal d'événements d'applications
Remarque Il s'agit d'un article de « PUBLICATION RAPIDE » rédigé directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'état, en réponse à des problèmes émergents. En raison du délai rapide de mise à disposition, les informations peuvent contenir des erreurs typographiques et, à tout moment et sans préavis, faire l'objet de révisions. Pour d'autres considérations, consultez les Conditions d'utilisation (http://go.microsoft.com/fwlink/?LinkId=151500) .

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhotfixserver kbqfe kbhowto KB324383
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store