Rd Web アクセスを使用して、RD セッションホストサーバー上で "RemoteApp" プログラムを表示できません

この記事では、rd Web アクセスを使用して、RD セッションホストサーバー上で "RemoteApp" プログラムを表示できない問題の解決方法を示します。

元の製品バージョン:   Windows Server 2012 R2
元の KB 番号:   978322

現象

ドメインユーザーアカウントを使用してリモートデスクトップ Web アクセス (RD Web アクセス) にログオンすると、Windows Server 2008 R2 を実行している RD セッションホストサーバー上の RemoteApp プログラムの一覧を表示できません。 ただし、ローカルアカウントは、 RemoteApp プログラムを表示することができます。

さらに、次のようなエラーがログに記録されます。

エラーアプリフィルター: フィルター処理の開始時にエラーが発生しました: SID からコンテキストを初期化できませんでした。 SID: S-1-5-21-1997477047-1508330638-219632125-223304、エラー: 0x80070005

原因

この問題は、 windows 2000 または Windows Server 2003 オペレーティングシステムとのみ互換性のあるオプションアクセス許可を使用してドメインを作成した場合に発生します。 このオプションが選択されている場合、組み込みの Everyone グループは、"Windows 2000 互換アクセス" グループのメンバーにはなりません。 この問題は、グループのメンバーシップが後で、ドメインセキュリティ強化手順の一部として Everyone グループを含まなくなった場合にも発生します。

解決方法

この問題を解決するには、ドメインコントローラーの Windows Authorization Access グループに RD Web Access のコンピューターアカウントを追加します。

詳細情報

AuthzInitializeContextFromSid 関数は、関数呼び出しで指定されている SID の tokenGroupsGlobalAndUniversal 属性を読み取ります。 これは、現在のユーザーのグループメンバーシップを決定するために行われます。 ユーザーのオブジェクトが Active Directory ドメインサービス (AD DS) にある場合、呼び出し元のコンテキストには、ユーザーオブジェクトの tokenGroupsGlobalAndUniversal attribute に対する読み取りアクセス権が必要です。 TokenGroupsGlobalAndUniversal 属性への読み取りアクセス許可は、"Windows 2000 より前のサーバー互換性のあるアクセス" グループに付与されます。 ただし、新しいドメインには、空の Windows 2000 サーバー互換アクセスグループが含まれています。 これは既定の設定です。既定では、Windows 2000 Server および Windows Server 2003 と互換性のあるアクセス許可が選択されます。 そのため、アプリケーションは、tokenGroupsGlobalAndUniversal 属性にアクセスできない場合があります。 この例では、AuthzInitializeContextFromSid 関数は、ACCESS_DENIED エラーと共に失敗します。 この関数を使用するアプリケーションは、このエラーを正しく処理し、サポートドキュメントを提供する必要があります。 ユーザーに関するグループ情報を照会するためのアカウントの付与権限を簡単にするために、Windows Authorization Access グループに対してグループ情報を検索する機能を必要とするアカウントを追加します。