目录
一、问题现象
今天巡检域控服务器时,发现告警如下:
安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。
有关此问题的高级帮助可以在 https://support.microsoft.com 找到。查询 "troubleshooting 1202 events"。
当在一个或多个组策略对象(GPO)中的用户帐户不能解析为一个 SID 时发生错误 0x534。导致此错误的原因可能是在用户权限或一个 GPO 的受限制的组分支中引用的用户帐户键入错误或已被删除。
二、问题解决
(一)官方方法
事件信息显示处理方法如下(照此操作未成功):
1. 识别不能解析为一个 SID 的帐户:
在命令行中,键入: FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log
在 FIND 的输出中,"Cannot find" 后面的字符串就是有问题的帐户名。
示例: Cannot find JohnDough。
在这种情况下,用户名 "JohnDough" 的 SID 不能确定。这通常是因为帐户已经被删除,被重命名,或拼写错误(例如,"JohnDoe")。
2. 用 RSoP 来识别特定的用户权限,受限制的组,和饱含有问题帐户的源 GPO:
a. 开始 -> 运行 -> RSoP.msc
b. 查看“计算机配置\Windows 设置\安全设置\本地策略\用户权限分配”和“计算机配置\Windows 设置\安全设置\本地策略\受限制的组”的结果,查找用红色的 X 标记的错误。
c. 对于任何用红色的 X 标记的用户权限或受限制的组,包含有问题的策略的相应 GPO 在标题为“源 GPO”的列中列出。注意产生错误的特定用户权限,受限制的组和包含的源 GPO。
3. 从组策略中删除不能解析的帐户
a. 开始 -> 运行 -> MMC.EXE
b. 从“文件”菜单选择“添加/删除管理单元...”
c. 从“添加/删除管理单元”对话框选择“添加...”
d. 在“添加独立管理单元”对话框中选择“组策略对象编辑器”,然后单击“添加”
e. 在“选择组策略对象”对话框中,单击“浏览”按钮
f. 在“浏览组策略对象”对话框中,选择“全部”选项卡
g. 对于在步骤 2 中识别出的每一个源 GPO,更正在步骤 2 中用红色的 X 标出的特定用户权限或受限制的组。这些用户权限或受限制的组可以通过删除或更正到在步骤 1 中识别出的有问题帐户的引用来进行更正。
(二)问题定位
在按照以上方法实际执行过程中,使用命令FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log后提示:“找不到文件 - C:\WINDOWS\SECURITY\LOGS\WINLOGON.LOG”
先忽略此步骤,然后在运行中输入“RSoP.msc”,弹出界面如下:
收集完信息后,有可能在“计算机配置--windows设置--安全设置--本地策略--用户权限分配”里面,策略名前面有红色叉(我的报错已经解决,所以用截图示意了下)。
在源GPO列可以看到具体是哪一个GPO出的问题,比如“Default Domain Controllers Policy”,也就是说是这个GPO配置中有不存在的账号触发了告警,具体的账号可以在系统里查下哪个已经不存在。
(三)问题处理
点开RSoP.msc收集到的错误策略,可以看到策略下有哪些账号,比如“作为服务登录属性”中,有个账号异常。
怎么在组策略中删除异常的账号呢?
打开服务器管理器,找到组策略管理,在组策略管理里,找到“Default Domain Controllers Policy”:
右击该组策略--编辑:
在“计算机配置--windows设置--安全设置--本地策略--用户权限分配”找到上面报错的具体策略:
然后点击“添加用户或组”,即可删除有问题的用户。
以上即可处理GPO中的用户帐户不能解析为一个 SID 时发生错误 0x534。
注意:一定要确认好是哪个用户帐户有问题。