0x80070534 именам пользователей не сопоставлены коды защиты данных

0x80070534 именам пользователей не сопоставлены коды защиты данных

Профиль | Отправить PM | Цитировать

Продолжу мысль, собственно чего полез то проверять утилитой.
В журнале ошибок выскакивает постоянно ошибки 1000
Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (1332).
и 1202
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.
Дополнительные сведения содержатся в разделе «Устранение неполадок» справки по безопасности.

Ошибка распространенная, долго пытаюсь с ней бороть, но что-то у меня ни как не выходит! Может кто сталкивался с таким, помогите, а то мне это уже поднадоело, сил нет!

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 20
Благодарности: 0

SkyF я вчера там был и смотрел эту информацию (у меня ее кже целый архиф), я догадываюсь, что все гинеальное просто, но вот все равно не могу врубиться где что искать то!

вот выдержка из winlogon.log

—-Настройка прав пользователя.
Настройка S-1-5-32-544.
Настройка S-1-5-32-551.
Настройка S-1-5-11.
Настройка S-1-5-21-1757981266-861567501-725345543-1003.
Настройка Опытные пользователи.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
Не удалось найти Опытные пользователи.
Настройка S-1-5-32-545.
Настройка S-1-1-0.

Ошибка при настройке прав пользователя.
-cut-

проверил утилиткой из resource kit, и вот такая ошибка

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 20
Благодарности: 0

SkyF ты просто гений.
Огромное тебе спасибо.
Как я и предполагал все оказалось просто!
после удаления «опытные пользователи» ошибки исчезли.
хотя gpotool /verbose

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 1070
Благодарности: 17

[Сопоставление] gpt00001.inf = Default Domain Controllers Policy ——————————————- 08/29/2004 14:35:48

—-Деинициализация модуля настройки.
——————————————-
08/29/2004 14:35:50
—-Модуль конфигурации инициализирован успешно.—-

—-Чтение данных шаблона конфигурации.

—-Настройка прав пользователя.
Настройка S-1-5-32-549.
Настройка S-1-5-32-551.
Настройка S-1-5-32-544.
Настройка S-1-5-11.
Настройка S-1-1-0.
Настройка S-1-5-6.
Настройка S-1-5-32-550.
Настройка S-1-5-32-548.
Настройка S-1-5-21-436374069-1957994488-725345543-1000.

Настройка прав пользователя выполнена успешно.

—-Настройка членства в группах.

Настройка членства в группах выполнена успешно.

что нашлось на форуме:
Dmitry Sher советовал:

Такое может быть если вы удалили пользователей, не удалив предварительно их права в Политиках безопасности. Проверь их если есть в разрешениях пользователи с именем *S-11-31-31(набор цифр), то убивай их.

проверьте журналы, о которых говорится в статье. можно и вручную просмотреть
%SYSTEMROOT%\security\logs\winlogon.log

проанализируйте, на что они ругаются.

скажите, а политики безопасности Вы настраивали/изменяли дополнительно сами?

ооо. в общем вот эту статью прочти на Microsoft: KB 324383

Скорее всего проблема в том, что в политике упоминаются не существующие пользователи и группы.

что у вас там с ГП роисходило, что вы настраивали?
какие ГП настраивали? создавали свои или ОГП по умолчанию изменяли (а это неправильно).

ЗЫ резервные копии состояния системы делать не забывайте сейчас, а то важные параметры изменяете.. потом будет трудно вернуть без копии..

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 1070
Благодарности: 17

Цитата:
[Сопоставление] gpt00001.inf = Default Domain Controllers Policy
——————————————-
08/29/2004 14:35:48

—-Деинициализация модуля настройки.

что у вас там с ГП роисходило, что вы настраивали? какие ГП настраивали? создавали свои или ОГП по умолчанию изменяли (а это неправильно).

Источник

0x80070534 именам пользователей не сопоставлены коды защиты данных

Судя по Queue Position предполагаю что есть еще какие то незаконченые задания в очереди. Но через Manage Queue их не видно.

Может быть еще это поможет.

В Event Loge каждую минуту 4 ошибки:

1)
Source: Office SharePoint Server
Event ID: 6482

Application Server Administration job failed for service instance Microsoft.Office.Project.Server.Administration.ProjectApplicationServiceInstance (35f040c0-175a-4d74-8c3f-14d9345eb80f).

Reason: The specified account name is invalid.
Parameter name: account

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

2)
Application Server Administration job failed for service instance Microsoft.Office.Server.Search.Administration.SearchServiceInstance (76798d2b-5ff0-4cc6-a7c7-96f7ce07c3d4).

Reason: Именам пользователей не сопоставлены коды защиты данных. (Exception from HRESULT: 0x80070534)

Techinal Support Details:
System.Runtime.InteropServices.COMException (0x80070534): Именам пользователей не сопоставлены коды защиты данных. (Exception from HRESULT: 0x80070534)
at Microsoft.Office.Server.Search.Administration.MSSITLB.IGatherApplication2.SetUsersPermittedToQuery(String[] psaAccountNames, Int32 fForce)
at Microsoft.Office.Server.Search.Administration.SearchApi.SetUsersPermittedToQuery(String[] userNames, Boolean force)
at Microsoft.Office.Server.Search.Administration.SearchServiceInstance.Synchronize()
at Microsoft.Office.Server.Administration.ApplicationServerJob.ProvisionLocalSharedServiceInstances(Boolean isAdministrationServiceJob)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

3)
Application Server Administration job failed for service instance Microsoft.Office.Excel.Server.ExcelServerSharedWebServiceInstance (5febf57a-3597-4dd9-8ed1-39df2a3f69a5).

Reason: The specified account name is invalid.
Parameter name: account

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

4)
Application Server Administration job failed for service instance Microsoft.Office.Server.Search.Administration.SearchAdminSharedWebServiceInstance (7edfa87a-a929-4b7f-a5fd-10596ab2d30d).

Reason: The specified account name is invalid.
Parameter name: account

Источник

0x80070534 именам пользователей не сопоставлены коды защиты данных

Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 18.10.2003
Время: 0:13:43
Пользоват ель: Нет данных
Компьютер: BRAIN
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела «Troubleshooting 1202 events» («Диагностика события 1202»).
Не удалось разрешить в SID учетную запись или один из объектов групповой политики (GPO). Эта ошибка скорее всего вызвана неправильно введенной или удаленной учетной записью, на которую имеется ссылка в ветви «Права пользователя» или «Группы с ограниченным доступом» GPO. Для диагностики этого события администратору домена следует выполнить следующие действия:

1. Определить учетные записи, которые не удалось разрешить в SID: в командной строке введите: FIND /I «Не удалось найти» %SYSTEMROOT%\Security\Logs\winlogon.log
Строка, следующая за «Не удалось найти» в результирующей информации FIND определяет проблемные имена учетных записей.
Пример: Не удается найти JohnDough.
В этом случае, не удалось определить SID для имени пользователя «JohnDough». Вероятно, это вызвано тем, что учетная запись была удалена, переименована или просто пишется по-другому (например: «JohnDoe»).

2. Определить те GPO, которые содержат несопоставимое имя учетной записи:
В командной строке введите: FIND /I «JohnDough» %SYSTEMROOT%\Security\Templates\policies\gpt*.*
Результиру ющая информация команды FIND может выглядеть примерно так:
———- GPT00000.DOM
———- GPT00001.DOM
SeRemoteShutdownPrivilege=JohnDough
Это указывает, что из всех GPO, примененных к этому компьютеру, несопоставимая учетная запись существует только в одном GPO. Конкретно, в кэшированном GPO под именем GPT00001.DOM.
Теперь нужно определить понятное имя для этого GPO.

3. Определить понятные имена для каждого из GPO, содержащего несопоставимое имя учетной записи: Эти GPO были определены на предыдущем шаге.
В командной строке введите: FIND /I «[Сопоставление]» %SYSTEMROOT%\Security\Logs\winlogon.log
Строка, следующая за «[Сопоставление] gpt0000?.dom =» в результирующей информации FIND определяет понятные имена для всех GPO, примененных к этому компьютеру.
Пример: [Сопоставление] gpt00001.dom = Политика прав пользователей
Это указывает, что GPO, содержащее несопоставимое имя учетной записи (gpt00001.dom) имеет понятное имя «Политика прав пользователей».

Выполняю пункт 1.
(FIND /I «Не удалось найти» %SYSTEMROOT%\Security\Logs\winlogon.log)
Результат:
Не удалось найти Администраторы.

Выполняю пункт 2.
(FIND /I «Администраторы» %SYSTEMROOT%\Security\Templates\policies\gpt*.*
)
Результат:

такой же результат если елси я ввиду любую фигню вместо «Администраторы» т.е. это означает что он в политиах никаких «Администраторы» не нашел
куда копать дальше ведь чтобы выполнить третий пункт нужно выполнить 2-ой

Вернуться к началу4u3u

первый FIND *точно* выдает «Администраторы»? Может, ты ошибку в одной букве сделал, когда политики менял?
Попробуй вторым FIND’ом найти не «Администраторы», а, например, «Адм»

>Может, ты ошибку в одной букве сделал, когда политики менял?
нееее.. там фича была в том что я мигрировал с NT4 server(англ.) а там все имена пользователей были на английском типа (administrator, domen user. )
а мигрировал я на win2k server(русский) а там все именна русские(Администратор, пользовтель домена. ) и видать где то группа «Администраторы» не прибилась до конца(а именно в групповых политиках наверно) вот теперь она и флудить что вроде группы нету, а вроде есть но в политиках =)

Это общий алгоритм, который расчитан на большое количество политик и который приводит к предсказуемому результату. Если у тебя куча политик, то совсем нелишним будет сначала определить, в какой именно политике проблема. Прекапывать их вручную значительно дольше.

Я не понял, что означает заголовок твоего сообщения «не катит». Что именно не катит?

Пункт 3 объясняет, как определенный dom файл соотнести с определенной политикой. В твоем случае это необязательно, так что, как ты и сказал, открывай политики в mmc и ищи вручную.

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах

Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

Источник

0x80070534 именам пользователей не сопоставлены коды защиты данных

Этот форум закрыт. Спасибо за участие!

Спрашивающий

Общие обсуждения

В настоящий момент групповая политика не корректно применяется к контроллерам домена.

После попытки применения политик в системном журнале отображается событие с кодом 1202, источник SceCli, описание :

Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

Справка по данному вопросу размещена на веб-узле http://support.microsoft.com. Запросите «troubleshooting 1202 events».

Ошибка 0x534 происходит, когда учетная запись пользователя в одном или нескольких объектах групповой политики (GPOs) не может быть разрешена в SID. Данная ошибка могла возникнуть в результате опечатки или удаления учетной записи из раздела объектов групповой политики. Чтобы разрешить данное событие, обратитесь к администратору домена для выполнения следующего:

1. Определить учетные записи, которые не могут быть разрешены в SID:

В командной строке введите: FIND /I «Не удается найти» %SYSTEMROOT%\Security\Logs\winlogon.log

Строка, следующая за «Не удается найти» в результирующей информации FIND определяет проблемные имена учетных записей.

Пример: Не удается найти JohnDough.

In this case, the SID for username «JohnDough» could not be determined. This most likely occurs because the account was deleted, renamed, or is spelled differently (e.g. «JohnDoe»).

2. Используйте RSoP для определения специальных прав пользователя, групп ограничений и источника GPO, содержащих проблемные учетные записи:

b. Просмотрите результаты Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя и Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Группы с ограниченным доступом на наличие ошибок. помеченных красным X.

c. Для каждого помеченного красным Х ресурса из Прав пользователей или Групп с ограниченным доступом будет выведена соответствующая GPO, содержащая параметры проблемной политики, в столбце с названием «Источник GPO». Обратите внимание на специальные Права пользователей, Группы с ограниченным доступом и содержащие and Источник GPO, которые создают ошибки.

3. Чтобы удалить неразрешенные учетные записи из групповой политики

b. В меню Файл выберите команду «Добавить или удалить оснастку. «

c. В диалоге «Добавить или удалить оснастку» выберите «Добавить. «

d. В диалоге «Добавить изолированную оснастку» выберите «Групповая политика (RSoP)»и нажмите «Добавить»

d. В диалоге «Выбрать объект групповой политики» нажмите кнопку «Обзор».

d. В диалоге «Поиск объекта групповой политики» выберите вкладку «Все»

g. Для каждого исходного объекта GPO, определенного в шаге 2, исправьте Права пользователей или Группы с ограниченным доступом, отмеченные красным Х. Данные Права пользователя или Группы с ограниченным доступом можно исправить, удалив или исправив проблемные учетные записи, обнаруженные в шаге 1.

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».

Ставить эксперименты и поправлять эту ошибку в «боевых» условиях на рабочей системе не представляется возможным, так как ошибки допущены интеграторами еще при стадии проектировании и разворачивании инфраструктуры.

В результате объекты в оснастке «результирующая политика» имеют следующий зачеркнуты красным крестом.О шибки проявляются в тех объектах, в свойствах которых определены русскоязычные названия встроенных групп и участников безопасности.

Выявлено «что воду мутят» 2 группы : Гости, Операторы Архива, Администраторы.

Все ответы

В Restricted Groups добавлено две групы «Администраторы» и «Administrators» и вних включены группы из АД, вобщем все те кого я хочу видеть локальными админамина рабочих станциях,тобишь, персонал отдела поддержки. Это определено другой политикой, которая применяется и работает.

Здесь же служба не может разрешить имена групп «гости» и «операторы архива»и «администраторы», именно в политике для контроллеров домена.

Пробовал в политиках изменить «гости» на «Guests» и другие группы по аналогии. Ошиби пропадают. Но.

Запутался я уже. незнаю куда копать.

Вот кусок из лог файла: (winlogon.log)

—-Настройка прав пользователя.
SeInteractiveLogonRight необходимо назначить учетной записи администраторов. Этот параметр настроен.
Настройка S-1-5-21-3881642236-1769550874-3900973804-1123.
Настройка S-1-5-20.
Настройка S-1-5-19.
Настройка Администраторы.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
Не удалось найти Администраторы.
Настройка Операторы архива.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
Не удалось найти Операторы архива.
Настройка S-1-5-21-3881642236-1769550874-3900973804-512.
Настройка S-1-5-21-3881642236-1769550874-3900973804-1122.
Настройка S-1-5-21-3881642236-1769550874-3900973804-1001.
Настройка S-1-5-21-3881642236-1769550874-3900973804-1124.
Настройка S-1-5-32-554.
Настройка S-1-5-11.
Настройка S-1-1-0.
Настройка Гости.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
Не удалось найти Гости.
Настройка S-1-5-7.

Источник