Именам пользователей не сопоставлены коды защиты данных windows xp

Обновлено: 04.07.2024

Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash). Кроме того доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные факты на контроллерах домена AD не регистрируются.

Чтобы снизить риски, администраторы прибегают к переименованию имени стандартной локальной учетной записи Windows Administrator (Администратор). Существенно повысить безопасность учетных записей локальных администраторов позволяет использование системы, обеспечивающей периодическую смену пароля локального администратора на уникальный на всех компьютерах домен(к примеру, MS Local Administrator Password Solution). Но этим решением не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.

Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить доступ.

В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности с новыми SID. Это значит, что теперь доступна возможность не перечислять все возможные варианты SID локальных учёток, а использовать общий SID.

S-1-5-113	NT AUTHORITYLocal account	Все локальные учетная запись
S-1-5-114	NT AUTHORITYLocal account and member of Administrators group	Все локальные учетные записи с правами администратора

Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.

На сервере с Windows Server 2012 R2 убедимся, что локальной учетной записи administrator присвоены две новые группы NT AUTHORITYLocal account (SID S-1-5-113) и NT AUTHORITYLocal account and member of Administrators group (SID S-1-5-114):

Этот функционал можно добавить и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).

Проверить, имеются ли данные группы в системе можно по их SID следующим образом:

$objS )
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value
Если скрипт возвращает NT AuthorityLocal account, значит данная локальная группа (с этим SID) имеется.

Чтобы ограничить сетевой доступ под локальным учетным записям, с этими SID-ами в токене, можно воспользоваться следующими политиками, которые находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

Deny access to this computer from the network – Отказ в доступе к компьютеру из сети
DenylogonthroughRemoteDesktopServices – Запретить вход в систему через службу с удаленного рабочего стола

Добавляем в данные политики Local account и Local account and member of Administrators group и обновляем политику с помощью gpupdate /force.

Таким образом, можно ограничить доступ по сети под локальными учетными записями независимо от их имен, увеличить уровень защищенности корпоративной среды.

Причина, по которой вы получаете вариант «Нет сопоставления между именами учетных записей и идентификаторами безопасности», заключается либо в том, что у вас теперь есть учетная запись пользователя-сироты. Это произойдет, если вы удалите или переименуете старое имя пользователя, которое все еще использовалось системой, поскольку каждое имя пользователя имеет уникальный SID или это может быть поврежденный профиль пользователя.

«Нет сопоставления между именами учетных записей и идентификаторами безопасности»

Проверка параметров проводника

Перейдите в панель управления и откройте «Параметры проводника».
Выберите вкладку «Просмотр».
Прокрутите вниз и снимите флажок Использовать мастер общего доступа (рекомендуется).
Установите вкладку Свойства папки / Безопасность для папки, которую вы хотите сделать резервную копию, на Полный доступ для учетной записи SYSTEM.

Исправление обновления декабря 2019:

Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:

(дополнительное предложение для Advanced System Repair Pro -> Cайт | Лицензионное соглашение | Политика Kонфиденциальности | Удалить)

Использование редактора реестра

Первое, что нам нужно сделать, это найти учетные записи, которые вызывают проблемы.

Чтобы найти его, команда должна быть выполнена контроллером домена как администратор домена.

НАЙТИ / I «Невозможно найти»% SYSTEMROOT% Security Logs winlogon.log

Файл журнала не указан. Это потому что он не активирован. Для этого перейдите в regedit,
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGPExtensions

Затем дважды щелкните кнопку ExtensionDebugLevel и установите для него значение 2.

Когда газета создается впервые, нам нужно немного подождать, пока она соберет газеты.

Запустите SYSPREP

Если вы выбираете маршрут SYSPREP, вы должны действовать следующим образом:

Выберите «Выполнить» в меню «Пуск».
Введите C: WindowsSystem32sysprepsysprep.exe в поле и нажмите кнопку ОК.
Убедитесь, что выбран параметр «Ввести систему из коробки» (OOBE).
Установите флажок рядом с Обобщать (если этот флажок не установлен, идентификатор безопасности не изменяется).
Нажмите OK и следуйте инструкциям при перезагрузке системы.

CCNA, веб-разработчик, ПК для устранения неполадок

Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.

16 chobo [2011-06-16 19:50:00]

У меня есть проект службы Windows и настройки. Когда я нажимаю правой кнопкой мыши на проекте установки и нажимаю "установить", попросите меня за

Имя пользователя
Пароль
Подтвердите пароль

Я пробовал следующие комбинации

но он возвращается со следующей ошибкой

Не удалось сопоставить имена учетных записей и идентификатор безопасности

ServiceProcessInstaller

Честно говоря, я даже не уверен, почему мне подскажут имя пользователя и пароль, если я установил его в коде.

4 ответа

19 Harun [2011-06-17 09:27:00]

Пожалуйста, перекрестите, выполнили ли вы следующие шаги (, особенно шаг 5):

1.После создания проекта службы Windows перейдите в представление дизайна класса сервиса (просто дважды щелкните по классу service1.cs).

2. В окне дизайна щелкните правой кнопкой мыши и выберите "Добавить установщик". Это создаст класс установщика с именем ProjectInstaller.cs. Если вы не указали ProjectInstaller.cs или какую-либо ошибку при настройке ProjectInstaller.cs, это может привести к отключению службы в консоли обслуживания.

3. Настройте проектный проект ProjectInstaller.cs там, где есть два установщика →

см. вашу службу в консоли обслуживания.

Сохраните и попробуйте.

Надеюсь, это поможет вам.

8 djdanlib [2011-06-16 22:30:00]

Вы уверены, что вашей учетной записи пользователя разрешено эскалацию, верно? Это можно запретить с помощью сетевой и локальной политики безопасности.

Попробуйте его с учетной записью администратора, если он не работает.

Измените SID на сервере Server 2008 R2, используя следующие шаги:

Это помогло мне удалить ошибку.

Щелкните правой кнопкой мыши ServiceProcessInstaller1 и перейдите на вкладку свойств

Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

Справка по данному вопросу размещена на веб-узле http://support.microsoft.com. Запросите "troubleshooting 1202 events".

Ошибка 0x534 происходит, когда учетная запись пользователя в одном или нескольких объектах групповой политики (GPOs) не может быть разрешена в SID. Данная ошибка могла возникнуть в результате опечатки или удаления учетной записи из раздела объектов групповой политики. Чтобы разрешить данное событие, обратитесь к администратору домена для выполнения следующего:

1. Определить учетные записи, которые не могут быть разрешены в SID:

В командной строке введите: FIND /I "Не удается найти" %SYSTEMROOT%\Security\Logs\winlogon.log

Строка, следующая за "Не удается найти" в результирующей информации FIND определяет проблемные имена учетных записей.

Пример: Не удается найти JohnDough.

In this case, the SID for username "JohnDough" could not be determined. This most likely occurs because the account was deleted, renamed, or is spelled differently (e.g. "JohnDoe").

2. Используйте RSoP для определения специальных прав пользователя, групп ограничений и источника GPO, содержащих проблемные учетные записи:

a. Пуск -> Выполнить -> RSoP.msc

b. Просмотрите результаты Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя и Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Группы с ограниченным доступом на наличие ошибок. помеченных красным X.

c. Для каждого помеченного красным Х ресурса из Прав пользователей или Групп с ограниченным доступом будет выведена соответствующая GPO, содержащая параметры проблемной политики, в столбце с названием "Источник GPO". Обратите внимание на специальные Права пользователей, Группы с ограниченным доступом и содержащие and Источник GPO, которые создают ошибки.

3. Чтобы удалить неразрешенные учетные записи из групповой политики

a. Пуск -> Выполнить -> MMC.Exe

b. В меню Файл выберите команду "Добавить или удалить оснастку. "

c. В диалоге "Добавить или удалить оснастку" выберите "Добавить. "

d. В диалоге "Добавить изолированную оснастку" выберите "Групповая политика (RSoP)"и нажмите "Добавить"

d. В диалоге "Выбрать объект групповой политики" нажмите кнопку "Обзор".

d. В диалоге "Поиск объекта групповой политики" выберите вкладку "Все"

1. Определить учетные записи, которые не могут быть разрешены в SID:

Пример: Не удается найти JohnDough.

In this case, the SID for username "JohnDough" could not be determined. This most likely occurs because the account was deleted, renamed, or is spelled differently (e.g. "JohnDoe").

3. Чтобы удалить неразрешенные учетные записи из групповой политики

В winlogon.log обнаружил следующее:

----Настройка прав пользователя.
SeNetworkLogonRight необходимо назначить учетной записи "Контроллеры предприятия", чтобы распространение и репликация политики выполнялись успешно.
Произошла ошибка при назначении SeSystemtimePrivilege учетной записи "Администраторы". Этот параметр может блокировать возможность интерактивного входа для администраторов.
Настройка S-1-.
Настройка S-1-.
Настройка S-1-.
Настройка S-1-.
Настройка S-1-.
Настройка S-1-.
Настройка S-1-.
Настройка S-1-.
Настройка TsInternetUser.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
Не удалось найти TsInternetUser.
Настройка S-1-.
Настройка S-1-.
Настройка S-1-.

Причина, по которой вы получаете вариант «Сопоставление между именами учетных записей и идентификаторами безопасности не было выполнено», заключается либо в том, что у вас теперь есть потерянная учетная запись пользователя. Это произойдет, если вы удалите или переименуете свое старое имя пользователя, которое все еще использовалось системой, потому что каждое имя пользователя имеет уникальный SID, или это может быть поврежденный профиль пользователя.

«Сопоставления между именами учетных записей и идентификаторами безопасности не было»

Чтобы решить эту проблему, вы должны определить, какой пользователь является тем, чья учетная запись вызвала отключение. Самый простой способ сделать это - перейти в SQL Server Management Studio, подключиться к службам Analysis Services и проверить свойства каждой роли на своем сервере OLAP.

Проверка параметров проводника

Перейдите в панель управления и откройте «Параметры проводника».
Выберите вкладку «Просмотр».
Прокрутите вниз и снимите флажок Использовать мастер общего доступа (рекомендуется).
Установите вкладку Свойства папки / Безопасность для папки, которую вы хотите сделать резервную копию, на Полный доступ для учетной записи SYSTEM.

Ноябрьское обновление 2021:

Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows - нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение: