不能使用 RD Web Access 在 RD 会话主机服务器上查看"RemoteApp"程序

本文提供了无法使用 RD Web Access 在 RD 会话主机服务器上查看"RemoteApp"程序的问题的解决方法。

适用于:  Windows Server 2012R2
原始 KB 编号:   978322

症状

使用域用户帐户登录远程桌面 Web Access (RD Web Access) 时,无法查看运行 Windows Server 2008 R2 的 RD 会话主机服务器上 RemoteApp 程序的列表。 但是,本地帐户可以查看 RemoteApp 程序。

此外,RD Web Access 跟踪还会记录类似于以下错误的错误:

[错误]应用筛选:开始筛选时出错:无法从 SID 初始化上下文。 SID:S-1-5-21-1997477047-1508330638-219632125-223304,错误:0x80070005

原因

使用"仅与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限"选项创建域时,会出现此问题。 选择此选项后,内置"任何人"组不会成为"Pre-Windows 2000 Compatible Access"组的成员。 如果稍后将组的成员身份更改为在域安全强化过程中不再包括 Everyone 组,也会发生此问题。

解决方案

若要解决此问题,请向域控制器上的 Windows授权访问组添加 RD Web Access 计算机帐户。

更多信息

AuthzInitializeContextFromSid 函数读取函数调用中指定的 SID 的 tokenGroupsGlobalAndUniversal 属性。 这是为了确定当前用户的组成员身份。 如果用户的对象位于 Active Directory 域服务 (AD DS) 中,则调用上下文必须对 user 对象中的 tokenGroupsGlobalAndUniversal 属性具有读取访问权限。 对 tokenGroupsGlobalAndUniversal 属性的读取访问权限将授予"pre-Windows 2000 Server Compatible Access"组。 但是,新域包含一个空"pre-Windows 2000 Server Compatible Access"组。 默认情况下,这是因为默认设置选择与 Windows 2000 Server 和 Windows Server 2003 兼容。 因此,应用程序可能无法访问 tokenGroupsGlobalAndUniversal 属性。 在这种情况下,AuthzInitializeContextFromSid 函数失败,并出现ACCESS_DENIED错误。 使用此函数的应用程序应正确处理此错误,并且应提供支持文档。 若要简化向帐户授予查询有关用户的组信息的权限,请添加需要能够查找组信息的帐户Windows组。