win server 2008/2012 中的組策略錯誤 1202

我們有 2 個域控制器（Windows 完全更新）

• dc01 - Windows 2008 R2
• dc02 - Windows 2012 R2 > 最近添加

在兩個 DC 的事件查看器中，我收到很多 1202 錯誤

Event 2012 SECLI
Security policies were propagated with warning. 0x534 : No mapping between account names and security IDs was done.

當我在域控制器上執行 find 命令時，

C:\Users\XXXXX>FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log

---------- C:\WINDOWS\SECURITY\LOGS\WINLOGON.LOG
       Cannot find admin.
       Cannot find SAPServiceOQS.
       Cannot find SAPServiceOPR.
       Cannot find SAPServiceODV.
       Cannot find SAPServiceDAA.
       Cannot find Oqsadm.
       Cannot find opradm.
       Cannot find Local Administrators.
       Cannot find daaadm.
       Cannot find XXXsapdev\SAPServiceDAA.
       Cannot find XXXsapdev\SAPServiceODV.
       Cannot find administrator@vsphere.local.
       Cannot find SAPServiceR3D.
       Cannot find SAPServiceR3Q.
       Cannot find semapisrv.
       Cannot find semwebsrv.

以上所有帳戶都不是 DOMAIN 的一部分，它們是在 SAP、SQL 等不同的應用程序伺服器中創建的，有些是本地應用程序伺服器的特定帳戶，負責啟動停止 SAP 伺服器中的各種服務或在本地應用程序系統中執行其他任務.

當我在域或客戶端上執行 RSoP.msc 時，我得到了這個

我該如何解決這個問題？如果我刪除這些帳戶，那麼各種應用程序伺服器上的許多服務將無法執行，因為它們需要權限才能執行。

我可以忽略這些消息嗎？

您完全可以忽略這些警告。

策略已設置，但僅在實際擁有這些使用者帳戶的系統上才能辨識使用者帳戶。所有其他系統都會生成警告。

要解決此問題，您應該使用 OU、WMI 篩選或 GPO 上的安全權限將您的策略定位到需要它們的特定電腦。

引用自：https://serverfault.com/questions/926832