Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Security policies are propagated with warning. 0x534 : No mapping

51 views
Skip to first unread message

CUENCAME_SERVER

unread,
Jun 19, 2008, 7:56:00 PM6/19/08
to
Tengo este eveto en mi visor de sucesis de un windows 2000 advance server
saben que pasos a seguir para quitare este error.


Gracias


CUENCAME_SERVER

unread,
Jun 20, 2008, 11:30:01 AM6/20/08
to
Que tal fernando de echo ya lo hice y el resultado es el siguinete:
http://www.eventid.net/display.asp?eventid=1202&source=SCeCli
de ahi a donde me voy para seguri buscando solucionar es error

muchas gracias


"Fernando Reyes López" wrote:

> Mira el número de evento y el origen y busca en http://www.eventid.net
>
> --
>
> Un saludo
> Fernando Reyes [MS MVP]
> MCSE Windows 2000 / 2003
> MCSA Windows Server 2003
> http://freyes.svetlian.com
> http://urpiano.wordpress.com
> RSS: http://urpiano.wordpress.com/feed
> freyes.champú@champú.mvps.org
> (Aclárate la cabeza si quieres escribirme)
>
>
> "CUENCAME_SERVER" <CUENCAM...@discussions.microsoft.com> escribió en el
> mensaje de noticias
> news:F74CF15C-95F9-438E...@microsoft.com...

José Antonio Quílez [MS MVP]

unread,
Jun 20, 2008, 1:46:06 PM6/20/08
to
Si miras la rama de asignación de derechos de usuario en las directivas de
seguridad de las GPO que se aplican a ese servidor, verás que cada derecho
tiene configurados los usuarios o grupos a los que se aplicará. Sin
embargo, a veces alguna aplicación tipo servidor (porque de forma manual no
es normal que se haga), al instalarse otorga derechos a determinadas cuentas
de servicio que se crean expresamente. Suele ocurrir con servicios tipo SQL
o IIS. Estos derechos se suelen configurar por la aplicación en la directiva
de seguridad local, generalmente. El problema suele aparecer si después se
desinstala ese servicio; lo correcto sería que el proceso de desinstalación,
al eliminar la cuenta de servicio, también quitara los derechos que le
otorgó al instalarse, pero a veces esto no ocurre, sino que se elimina la
cuenta, y no se corrigen los derechos. También, a veces, se borran a mano
cuentas de servicio del tipo de las IUSR_SERVIDOR. El caso es que en la
política de seguridad te aparecen derechos que se asignan a cuentas del tipo
S-1-5-..., es decir, que queda la asignación al SID de la antigua cuenta,
pero como ésta ya no existe en el sistema, ya no puede aplicarle el derecho
y te registra ese evento en el visor de sucesos.

Un saludo

--
José Antonio Quílez [MS MVP]

http://msmvps.com/blogs/quilez/

"CUENCAME_SERVER" <CUENCAM...@discussions.microsoft.com> escribió en el

mensaje de noticias:4B88617B-F852-405E...@microsoft.com...

CUENCAME_SERVER

unread,
Jun 20, 2008, 2:03:01 PM6/20/08
to
ok. entiendo y como es que peudo eliminar este evento o va ser dificil hacerlo

Garcias

CUENCAME_SERVER

unread,
Jun 20, 2008, 2:11:01 PM6/20/08
to
SceSrv
1003

Policy change from LSA/SAM can't be saved in the policy storage. Error 4312
to save policy change for account
S-1-5-21-1614895754-448539723-839522115-2604 in the default GPOs. For more
debugging information, please look security\logs\scepol.log under Windows
root.


SceCli
1202


Security policies are propagated with warning. 0x534 : No mapping between
account names and security IDs was done.

For best results in resolving this event, log on with a non-administrative
account and search http://support.microsoft.com for "troubleshooting 1202
events".
A user account in one or more Group policy objects (GPOs) could not be
resolved to a SID. This error is possibly caused by a mistyped nor deleted
user account referenced in either the User Rights or Restricted Groups branch
of a GPO. To resolve this event, contact an administrator in the domain to
perform the following actions:

1.Identify accounts that could not be resolved to a SID: From the command
prompt, type: FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log
The string following "Cannot find" in the FIND output identifies the problem
account names.
Example: Cannot find JohnDough.
In this case, the SID for username "JohnDough" could not be determined. This
most likely occurs because the account was deleted, renamed, or is spelled
differently (e.g. "JohnDoe").

2.Identify the GPOs that contain the unresolvable account name:
From the command prompt type FIND /I "JohnDough"
%SYSTEMROOT%\Security\templates\policies\gpt*.*
The output of the FIND command will resemble the following:
---------- GPT00000.DOM
---------- GPT00001.DOM
SeRemoteShutdownPrivilege=JohnDough
This indicates that of all the GPO’s being applied to this machine, the
unresolvable account exists only in one GPO. Specifically, the cached GPO
named GPT00001.DOM.
Now we need to determine the friendly name of this GPO in the next step.

3. Locate the friendly names of each of the GPOs that contain an
unresolvable account name. These GPOs were identified in the previous step.
From the command prompt, type: FIND /I "[Mapping]"
%SYSTEMROOT%\Security\Logs\winlogon.log
The string following "[Mapping] gpt0000?.dom =" in the FIND output
identifies the friendly names for all GPO’s being applied to this machine.
Example: [Mapping] gpt00001.dom = User Rights Policy
In this case, the GPO that contains the unresolvable account (gpt00001.dom)
has a friendly name of "User Rights Policy".

4. Remove unresolved accounts from each GPO that contains an unresolvable
account.
a. Start -> Run -> MMC.EXE
b. From the File menu select "Add/Remove Snap-in…"
c. From the "Add/Remove Snap-in" dialog box select "Add…"
d. In the "Add Standalone Snap-in" dialog box select "Group Policy" and
click "Add"
e. In the "Select Group Policy Object" dialog box click the "Browse" button.
f. On the "Browse for a Group Policy Object" dialog box choose the "All" tab
g. Right click on the first policy identified in step 3 and choose edit
h. Review each setting under Computer Configuration/ Windows Settings/
Security Settings/ Local Policies/ User Rights
Assignment or Computer Configuration/ Windows Settings/ SecuritySettings/
Restricted Groups for accounts identified in step 1.
i. Repeat steps 3g and 3h for all subsequent GPOs identified in step 3.

No se si me pedas ayudar a guiarme coo reparar estos errores

Gracias

José Antonio Quílez [MS MVP]

unread,
Jun 20, 2008, 4:40:27 PM6/20/08
to
Busca la GPO o política local que define el derecho para esa cuenta de
usuario (S-1-5-21-161....) y la editas, borrando ese SID. Dejará de
aparecerte el error.

Saludos

"CUENCAME_SERVER" <CUENCAM...@discussions.microsoft.com> escribió en el

mensaje de noticias:3B314E83-7BAA-4B13...@microsoft.com...

Cueancame_server

unread,
Jun 20, 2008, 11:36:00 PM6/20/08
to
Error 1332: No mapping between account names and security IDs was done.
Cannot find Power Users.
Configure S-1-5-32-545.
Configure S-1-1-0.
Configure S-1-5-6.
Configure S-1-5-21-1214440339-57989841-839522115-501.
Configure S-1-5-21-1214440339-57989841-839522115-1000.
Configure S-1-5-21-1214440339-57989841-839522115-500.

User Rights configuration completed with error.

fisicamente que lugar encuentro esto para eliminarlo tengo respaldar algo ???

que tan critico es esto

0 new messages