Die häufigsten Fehler in der Ereignis-Anzeige:
Quelle: userenv
Ereignis: 1000
Quelle: scecli
Ereignis: 1202, oder 1001 alle 5 Minuten …
Interessant ist der jeweilige Status Code und die dazugehörige Flags-Angabe.
Diese Fehler können diverse Ursachen haben. Eine der häufigsten Ursachen gerade bei (0x534) ist ein in den Gruppen/Sicherheitsrichtlinien noch eingetragener Account, der gelöscht wurde. Ein Hauptverdächtiger stellt der IIS_User dar, denn bei der Default Installation vom W2K Server ist der IIS integriert und viele Administratoren, entfernen nachträglich den IIS. Da aber der IIS, wie auch diverse andere Programme und Dienste einen eigenen User mitbringen und dieser oft in der Default Domain Policy hinterlegt wird, kommt es zu einem Konflikt, wenn dieser Benutzer-Account entfernt wird. In der Richtlinie sind oftmals spezielle Rechte für diesen Benutzer definiert (Recht auf lokale Anmeldung, Verwaltung/Start von Diensten etc.) und diese können nicht mehr zugeordnet werden.
Es taucht in der entsprechenden Richtlinie immer noch die verwendete SID des Accounts auf.
Der einfachste Weg zur Lösung führt über http://www.eventid.net/search.asp
Diese Suchmaschine ist schneller und effektiver als die Suche in der MS Knowledgebase, es werden eigene Lösungen angeboten und auch die MS KB Artikel aufgelistet. Leider sind die direkten Links über EventID nicht mehr erreichbar, sondern werden nur noch für Abonnenten angeboten.
Aber der Qxxxxxx Artikel wird ja genannt und ist dann schnell gefunden.
Tipp: hinterlegt euch einen Favoriten zu einem MS KB Artikel in dem ihr die die ID (die Artikelnummer) entfernt, dann braucht ihr nur noch die URL um diese Artikelnummer erweitern, die ihr euch ansehen wollt.
Beipiel: http://support.microsoft.com?kbid= zur Vervollständigung reicht die XXXXXX Nummer.
Direkte Links zu EventID:
http://www.eventid.net/display.asp?eventid=1000&source=userenv
http://www.eventid.net/display.asp?eventid=1202&source=scecli
http://www.eventid.net/display.asp?eventid=1001&source=scecli