我们有 2 个域控制器(Windows 已完全更新)
- dc01-Windows 2008 R2
- dc02 - Windows 2012 R2 > 最近添加
在两个 DC 的事件查看器中,我收到大量 1202 错误
Event 2012 SECLI
Security policies were propagated with warning. 0x534 : No mapping between account names and security IDs was done.
当我在域控制器上运行 find 命令时,
C:\Users\XXXXX>FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log
---------- C:\WINDOWS\SECURITY\LOGS\WINLOGON.LOG
Cannot find admin.
Cannot find SAPServiceOQS.
Cannot find SAPServiceOPR.
Cannot find SAPServiceODV.
Cannot find SAPServiceDAA.
Cannot find Oqsadm.
Cannot find opradm.
Cannot find Local Administrators.
Cannot find daaadm.
Cannot find XXXsapdev\SAPServiceDAA.
Cannot find XXXsapdev\SAPServiceODV.
Cannot find [email protected].
Cannot find SAPServiceR3D.
Cannot find SAPServiceR3Q.
Cannot find semapisrv.
Cannot find semwebsrv.
所有以上帐户都不属于 DOMAIN,它们是在不同的应用程序服务器(如 SAP、SQL 等)中创建的,其中一些是本地应用程序服务器特定帐户,负责启动停止 SAP 服务器中的各种服务或在本地应用程序系统中执行其他任务。
当我在域或客户端上运行 RSoP.msc 时,出现此问题
我该如何解决这个问题?如果我删除这些帐户,那么各种应用程序服务器上的许多服务将无法运行,因为它们需要权限才能运行。
我可以忽略这些消息吗?
答案1
您完全可以忽略这些警告。
策略已设置,但用户帐户仅在实际拥有这些用户帐户的系统上被识别。所有其他系统都会生成警告。
要解决此问题,您应该使用 OU、WMI 过滤或 GPO 上的安全权限将策略定位到需要它们的特定机器。