web-dev-qa-db-ja.com

Win Server2008 / 2012のグループポリシーエラー1202

2つのドメインコントローラーがあります(ウィンドウは完全に更新されています)

  • dc01-Windows 2008 R2
  • dc02-Windows 2012R2>最近追加されました

両方のDCのイベントビューアで、1202エラーがたくさん発生しています

Event 2012 SECLI
Security policies were propagated with warning. 0x534 : No mapping between account names and security IDs was done.

ドメインコントローラーでfindコマンドを実行すると、

C:\Users\XXXXX>FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log

---------- C:\WINDOWS\SECURITY\LOGS\WINLOGON.LOG
        Cannot find admin.
        Cannot find SAPServiceOQS.
        Cannot find SAPServiceOPR.
        Cannot find SAPServiceODV.
        Cannot find SAPServiceDAA.
        Cannot find Oqsadm.
        Cannot find opradm.
        Cannot find Local Administrators.
        Cannot find daaadm.
        Cannot find XXXsapdev\SAPServiceDAA.
        Cannot find XXXsapdev\SAPServiceODV.
        Cannot find [email protected].
        Cannot find SAPServiceR3D.
        Cannot find SAPServiceR3Q.
        Cannot find semapisrv.
        Cannot find semwebsrv.

上記のアカウントはすべてDOMAINの一部ではなく、SAP、SQLなどのさまざまなアプリケーションサーバーで作成されます。一部のアカウントは、SAPサーバーなどのさまざまなサービスの停止を開始したり、ローカルアプリケーションシステムで他のタスクを実行したりするローカルアプリケーションサーバー固有のアカウントです。 。

ドメインまたはクライアントでRSoP.mscを実行すると、これが表示されます

enter image description here

どうすればこれを解決できますか?これらのアカウントを削除すると、実行するために権限が必要になるため、さまざまなアプリケーションサーバー上の多くのサービスが機能しなくなります。

これらのメッセージを無視できますか?

active-directorywindows-server-2008-r2group-policy
2
iBBi

これらの警告は絶対に無視してかまいません。

ポリシーは設定されていますが、ユーザーアカウントは、実際にそれらのユーザーアカウントを持っているシステムでのみ認識されます。他のすべてのシステムは警告を生成します。

この問題を解決するには、OU、WMIフィルタリング、またはGPOのセキュリティアクセス許可を使用して、ポリシーを必要とする特定のマシンをポリシーの対象にする必要があります。

2
Appleoddity