Logo Informatizzati

Premessa: l'articolo è lungo, ma le operazioni da svolgere si limitano ai primi due paragrafi (prima della riga orizzontale insomma).


Può capitare che un client Windows (XP/2000) in un dominio con Active Directory, non riesca a prendere le policy di dominio.
Nel visualizzatore eventi potrebbe comparire un messaggio tipo:
Criteri di protezione propagati con avviso. 0x4b8 : Si  verificato un errore esteso.
Per ottenere risultati ottimali nella risoluzione dell'evento, accedere con un account non amministrativo ed effettuare una ricerca in http://support.microsoft.com "Troubleshooting Event 1202's".


In questo caso occorre cercare sul client il file Secedit.sdb e rinominarlo per esempio in Secedit.old.
Dopodichè occorre aprire un prompt dei comandi e scrivere:
secedit /refreshpolicy machine_policy /enforce

L'operazione va eseguita con un utente amministratore.
Per completezza, di seguito riporto l'articolo in cui "La Signora" spiega cosa fare (sinceramente il metodo sopra funziona...):


Risoluzione dei problemi relativi alla protezione dei dati

Individuare quale problema si è verificato.

Il database di protezione è danneggiato.
Il criterio di protezione non viene propagato correttamente.
I criteri di protezione vengono propagati ma viene visualizzato il seguente avviso: "0x534: Non è stato effettuato alcun mapping tra nomi di account e ID di protezione".
Viene visualizzato il seguente messaggio di errore: Impossibile accedere adesso. Il dominio <NOME_DOMINIO> non è disponibile.

Il database di protezione è danneggiato.

Causa: arresto non corretto del computer o errore a livello del software.

Soluzione: al prompt dei comandi eseguire esentutl /g per controllare l'integrità del database di protezione dalla cartella %windir%\Security\Database\Secedit.sdb.

Se il database è danneggiato:

1.

Cercare di ripristinarlo digitando esentutl /r al prompt dei comandi dalla cartella %windir%\Security. Se il problema sussiste, digitare esentutl /p al prompt dei comandi dalla cartella %windir%\Security\Database\Secedit.sdb.

2.

Al termine dell'operazione, eliminare i file registro in %windir%\Security.

Il criterio di protezione non viene propagato correttamente.

Causa: varie cause.

Soluzione: tramite Gruppo di criteri risultante individuare l'oggetto Criteri di gruppo che causa il problema.

Controllare il file registro Il file registro si trova in %systemroot%\Security\Logs\Winlogon.log. È possibile esaminarne il contenuto per identificare errori specifici che si verificano durante la propagazione dei criteri nel computer.

I criteri di protezione vengono propagati ma viene visualizzato il seguente avviso: "0x534: Non è stato effettuato alcun mapping tra nomi di account e ID di protezione".

Causa: ciò si verifica in genere quando il criterio di protezione concede diritti ad account utente o di gruppo inesistenti.


Soluzione: individuare gli account non validi.

1.

In Notepad aprire il file registro che si trova in %systemroot%\security\logs\winlogon.log. Nei sistemi della famiglia Windows Server 2003 e nei computer che eseguono Windows XP questo file viene creato per impostazione predefinita durante la propagazione dei criteri.

2.

Cercare l'errore 1332 che indica i nomi di account che non sono stati risolti.

3.

Rimuovere i nomi di account non risolti dai criteri del dominio.

Se gli account fanno parte dell'oggetto Dominio predefinito o Controller di dominio predefinito di Criteri di gruppo, è possibile modificare i criteri nel nodo Impostazioni di protezione di Criteri di gruppo per rimuovere questi nomi di account. Se gli account sono disponibili in altre posizioni, potrebbe essere necessario esaminare tutti gli oggetti Criteri di gruppo definiti nel dominio e rimuoverli individualmente.

Viene visualizzato il seguente messaggio di errore: "Impossibile accedere adesso. Il dominio <NOME_DOMINIO> non è disponibile".

Causa: il controller di dominio non è disponibile e le informazioni di accesso di un utente non vengono memorizzate nella cache. Il criterio di protezione Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) è impostato su 0.

Soluzione: modificare il criterio di protezione.

Commenti offerti da CComment