jsydfhg 10 Geschrieben 10. November 2006 Melden Teilen Geschrieben 10. November 2006 Hallo, seit gestern läuft mein Anwendungsprotokoll auf dem DC (Windows Server 2000 SP4) mit folgender Warnung voll: Ereignistyp: Warnung Ereignisquelle: SceCli Ereigniskategorie: Keine Ereigniskennung: 1202 Datum: 09.11.2006 Zeit: 21:31:24y Benutzer: Nicht zutreffend Computer: DC-BP-2 Beschreibung: Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. 1. Identifizieren Sie Konten, für die keine SID aufgelöst werden konnte. Geben Sie dazu folgendes ein: FIND /I "nicht gefunden" %SYSTEMROOT%\Security\Logs\winlogon.log Die Ausgabe des FIND-Befehls enthält jeweils den problematischen Kontonamen. Beispiel: JoergFrey wurde nicht gefunden. In diesem Fall konnte die SID für den Benutzernamen "JoergFrey" nicht ermittelt werden. Dies kann vor allem dann geschehen, wenn das Konto gelöscht oder umbenannt wurde, oder wenn es unterschiedlich geschrieben wird (z.B. JoergFrei). 2.Identifizieren Sie alle Gruppenrichtlinienobjekte, die einen nicht aufgelösten Kontonamen enthalten. Geben Sie in der Eingabeaufforderung folgendes ein FIND /I "JoergFrey" %SYSTEMROOT%\Security\templates\policies\gpt*.* Die Ausgabe des FIND-Befehls ähnelt der Folgenden: ---------- GPT00000.DOM ---------- GPT00001.DOM SeRemoteShutdownPrivilege=JoergFrey Dies indiziert, dass von allen Gruppenrichtlinienobjekten, die auf den Computer angewendet wurden, nur eins das nicht aufgelöste Konto enthält. Speziell das zwischengespeicherten Gruppenrichtlinienobjekt GPT00001.DOM. Im nächsten Schritt wird der Anzeigename des Gruppenrichtlinienobjekts ermittelt. 3. Identifizieren Sie die Anzeigenamen aller Gruppenrichtlinienobjekte, die einen nicht aufgelösten Kontennamen enthalten. Diese Gruppenrichtlinienobjekte wurden im vorherigen Schritt identifiziert. Geben Sie in der Eingabeaufforderung folgendes ein: FIND /I "[Zuordnung]" %SYSTEMROOT%\Security\Logs\winlogon.log Die auf "[Zuordnung] gpt0000?.dom =" folgende Zeichenfolge in der Ausgabe von FIND identifiziert die Anzeigenamen für alle Gruppenrichtlinienobjekte, die auf diesen Computer angewendet werden. Beispiel: [Zuordnung] gpt00001.dom = Benutzerrechterichtlinie In diesem Fall hat das Gruppenrichtlinienobjekt, das das nicht aufgelöste Konto (gpt00001.dom) enthält, den Anzeigenamen "Benutzerrechterichtlinie". 4. Löschen Sie nicht aufgelöste Konten aus allen Gruppenrichtlinienobjekten, die ein solches Konto enthalten. a. Start -> Ausführen -> MMC.Exe b. Wählen Sie im Menü "Datei" den Eintrag "Snap-In hinzufügen/entfernen..." c. Klicken Sie auf dem Dialogfeld "Snap-In hinzufügen/entfernen" auf die Schaltfläche "Hinzufügen...". d. Wählen Sie auf dem Dialogfeld "Eigenständiges Snap-In hinzufügen" den Eintrag "Gruppenrichtlinie" aus und klicken Sie auf "Hinzufügen". e. Klicken Sie auf dem Dialogfeld "Gruppenrichtlinienobjekt auswählen" auf die Schaltfläche "Durchsuchen..." f. Wählen Sie auf dem Dialogfeld "Gruppenrichtlinienobjekt suchen" die Registerkarte "Alle" aus. g. Klicken Sie mit der rechten Maustaste auf die erste in Schritt 3 identifizierte Richtlinie und wählen Sie "Bearbeiten" h. Überprüfen Sie all Einstellungen unter Computerkonfiguration/ Windows-Einstellungen/ Sichterheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten bzw. Computerkonfiguration/ indows-Einstellungen/ Sichterheitseinstellungen/ Eingeschränkte Gruppen für die in Schritt 1 identifizierten Konten i. Wiederholen Sie die Schritte 4g und 4h für alle folgenden Gruppenrichtlinienobjekte, die in Schritt 3 identifiziert wurden. Ich habe die folgenden Schritte abgearbeitet und die verursachenden Konten (IWAM_Server / IUSR_Server) sowie die betroffenen Richtlinien identifiziert. Nur was soll in Punkt 4.h. überprüft werden? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. November 2006 Melden Teilen Geschrieben 10. November 2006 Nur was soll in Punkt 4.h. überprüft werden? Offensichtlich ist eines der Konten in einer der Richtlinien einegtragen gewesen. Er kann jetzt aber die SID des kontos nicht mehr in den Namen auflösen, deshalb wird vemtl. nur noch die SID und nicht mehr der Name in der Richtlinieneinstellung drin stehen. Wurde da eines der Konten gelöscht? grizzly999 Zitieren Link zu diesem Kommentar
jsydfhg 10 Geschrieben 10. November 2006 Autor Melden Teilen Geschrieben 10. November 2006 Also, die User IWAM_Server / IUSR_Server gibt es in meiner ADS gar nicht es gibt nur IWAM_DC-BP-2 / IUSR_DC-BP-2. Bei den beiden Usern handelt es sich ja um vom System vordefiniert Internetgastkonten, anscheinend wurde IWAM_Server / IUSR_Server manuell vom alten DC entfernt. Der 2. DC (DC-BP-2) wurde erst vorgestern von mir installiert, deshalb sind dort die Konten noch vorhanden. Werden diese Konten benötigt oder kann ich diese einfach aus der Richtlinie entfernen? Bei uns arbeitet niemand mit diesen Konten. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. November 2006 Melden Teilen Geschrieben 10. November 2006 Wenn du den IIS brauchst, oder später mal einsetzen willst, braucht du die Konten. Ersetze die GPO-Settings mit dem jetz korrekten Konto und lösche die SID des alten raus. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.