Como resolvo um código de erro 1385 no Systems Manager após uma falha na execução do AWS-UpdateWindowsAMI ou do AWSEC2-RunSysprep?

Breve descrição

Se você tentar executar o runbook AWS-UpdateWindowsAMI do Automation ou o documento AWSEC2-RunSysprep sem os privilégios administrativos necessários, eles falharão. Você também verá pelo menos uma mensagem de erro descrevendo essa falha.

Na saída do Systems Manager Automation (SSM Automation), você recebe o seguinte erro:

Sysprep failed with error: LogonUser failed with error code : 1385

Nos logs do Systems Manager Agent (SSM Agent), você recebe o seguinte erro:

"RunSysprep": {
"status": "Failed",
"code": 4294967295
"output": Start of Start-AwsUwiSysprep\r\n Sysprep failed with error: LogonUser failed with error code : 1385\r\n\n----------ERROR-------\nfailed to run commands: exit status 4294967295",
"standardError": " failed to run commands: exit status 4294967295"
}

Na saída do ID de comando que aparece para AWS-UpdateWindowsAMI ou AWSEC2-RunSysprep, você recebe o seguinte erro:

Info | Start of Start-AwsUwiSysprep
Info | Starting EC2Launch method of sysprep.
Error | Sysprep failed with error: LogonUser failed with error code : 1385

Esse problema ocorre quando o Administrador não é adicionado à configuração de política de grupo LogOnAsABatchJob. Nesse caso, o Administrador é o usuário em que os Documentos do SSM estão sendo executados.

Para alterar as configurações da política e resolver esse problema, siga as próximas etapas.

Resolução

Se a instância fizer parte de um grupo de trabalho local:

1. Conecte-se à sua instância do Windows usando o Remote Desktop ou o Fleet Manager, um recurso do AWS Systems Manager.
   Observação: faça login usando uma conta com privilégios administrativos.
2. Execute uma janela do prompt de comando.
3. Digite gpedit.msc para abrir a janela Editor de diretivas de grupo local.
4. Navegue até Política do computador local\Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Atribuição de direitos do usuário.
5. Escolha LogOnAsABatchJob e, em seguida, selecione o botão Adicionar usuário ou grupo.
6. Digite Administrador na caixa de texto e selecione Verificar nomes para pesquisar essa função.
7. Destaque a função com Administrador como o Nome de Logon e, em seguida, selecione OK.
8. Na janela do prompt de comando, digite o seguinte:

gpupdate /force /target:computer

Esse comando reaplica as diretivas de grupo imediatamente após a atualização das configurações de Objeto de Diretiva de Grupo (GPO).

No console do Systems Manager, execute seu runbook ou documento do Systems Manager: AWS-UpdateWindowsAMI ou AWSEC2-RunSysprep.

Se a instância fizer parte de um domínio:

1. Faça login em qualquer instância que esteja associada ao domínio em que o erro ocorreu. Faça login usando o Remote Desktop ou o Fleet Manager.
   Observação: faça login como um usuário que faz parte do grupo Administradores de Domínio.
2. Abra uma janela do prompt de comando.
3. Digite gpedit.msc para abrir a janela Editor de diretivas de grupo local.
4. Navegue até Política do computador local\Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Atribuição de direitos do usuário.
5. Escolha LogOnAsABatchJob e, em seguida, selecione o botão Adicionar usuário ou grupo.
6. Digite Administrador na caixa de texto e selecione Verificar nomes para pesquisar essa função.
7. Destaque a função com Administrador como o Nome de Logon e, em seguida, selecione OK.
8. Na janela do prompt de comando, digite o seguinte:

gpupdate /force /target:computer

Esse comando reaplica as políticas de grupo imediatamente após a atualização da área de configurações de GPO.

• No console do Systems Manager, execute seu runbook ou documento do Systems Manager: AWS-UpdateWindowsAMI ou AWSEC2-RunSysprep.

---

Informações relacionadas

AWS-UpdateWindowsAmi

Usar políticas gerenciadas para o EC2 Image Builder

Fazer logon como um trabalho em lotes