RD Web Access を使用して RD セッション ホスト サーバー上の "RemoteApp" プログラムを表示することはできません

この記事では、RD Web Access を使用して RD セッション ホスト サーバーで "RemoteApp" プログラムを表示できない問題の解決方法について説明します。

適用対象:  Windows Server 2012R2
元の KB 番号:   978322

現象

ドメイン ユーザー アカウントを使用してリモート デスクトップ Web アクセス (RD Web Access) にログオンすると、Windows Server 2008 R2 を実行している RD セッション ホスト サーバー上の RemoteApp プログラムの一覧を表示できません。 ただし、ローカル アカウントは RemoteApp プログラムを表示 できます。

さらに、RD Web Access トレースは、次のエラーのようなエラーをログに記録します。

[エラー]アプリ のフィルター処理:フィルター処理の開始中にエラーが発生しました。SID からコンテキストを初期化できません。 SID: S-1-5-21-1997477047-1508330638-219632125-223304, エラー: 0x80070005

原因

この問題は 、Windows 2000 または Windows Server 2003 オペレーティング システムと互換性のあるオプションを使用してドメインが作成された場合に発生します。 このオプションを選択すると、組み込みの Everyone グループは "Pre-Windows 2000 互換アクセス" グループのメンバーにされません。 この問題は、グループのメンバーシップが後でドメイン セキュリティ強化手順の一部として Everyone グループを含めなくなった場合にも発生します。

解決方法

この問題を解決するには、ドメイン コントローラーの認証アクセス Windows RD Web Access コンピューター アカウントを追加します。

詳細

AuthzInitializeContextFromSid 関数は、関数呼び出しで指定された SID の tokenGroupsGlobalAndUniversal 属性を読み取ります。 これは、現在のユーザーのグループ メンバーシップを決定するために行われます。 ユーザーのオブジェクトが Active Directory ドメイン サービス (AD DS) にある場合、呼び出し元コンテキストは、ユーザー オブジェクトの tokenGroupsGlobalAndUniversal 属性への読み取りアクセス権を持っている必要があります。 tokenGroupsGlobalAndUniversal 属性への読み取りアクセスは、"pre-Windows 2000 Server 互換アクセス" グループに付与されます。 ただし、新しいドメインには空の "pre-Windows 2000 Server 互換アクセス" グループが含まれる。 既定では、既定のセットアップの選択は、Windows 2000 Server および Windows Server 2003 と互換性があるためです。 したがって、アプリケーションは tokenGroupsGlobalAndUniversal 属性にアクセスできない可能性があります。 この場合、AuthzInitializeContextFromSid 関数はエラーと共にACCESS_DENIEDします。 この関数を使用するアプリケーションは、このエラーを正しく処理し、サポート ドキュメントを提供する必要があります。 ユーザーに関するグループ情報を照会するためのアカウントアクセス許可の付与を簡略化するには、グループ情報を検索する機能が必要なアカウントを Windows 承認アクセス グループに追加します。