您無法使用 RD Web Access 在 RD 工作階段主機伺服器上查看「RemoteApp」程式

本文提供使用 RD Web Access 無法在 RD 工作階段主機伺服器上查看「RemoteApp」程式的問題解決方法。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   978322

徵狀

當您使用網域使用者帳戶登入遠端桌面 Web Access (RD Web Access) 時,您無法在執行 Windows Server 2008 R2 的 RD 工作階段主機伺服器上,查看 RemoteApp 程式的清單。 不過,本機帳戶可以查看 RemoteApp 程式。

此外,RD Web Access 追蹤會記錄與下列錯誤類似的錯誤:

錯誤應用程式篩選:開始篩選時發生錯誤:無法從 SID 初始化 coNtext。 SID: S-1-5-21-1997477047-1508330638-219632125-223304,錯誤:0x80070005

原因

當使用 僅與 windows 2000 或 Windows Server 2003 作業系統相容的選項許可權來建立網域時,就會發生此問題。 選取此選項時,內建的 Everyone 群組不會成為「Pre-Windows 2000 相容存取」群組的成員。 如果此群組的成員資格稍後已變更為「網域安全性強化」程式的一部分,也會發生此問題。

解決方案

若要解決此問題,請將 RD Web Access 電腦帳戶新增至網域控制站上的 Windows 授權存取群組。

詳細資訊

AuthzInitializeCoNtextFromSid 函數會讀取在函數呼叫中指定之 SID 的 tokenGroupsGlobalAndUniversal 屬性。 這樣做是為了判斷目前使用者的群組成員資格。 如果使用者的物件位於 Active Directory 網域服務 (AD DS) 中,則呼叫內容必須具有 user 物件中 tokenGroupsGlobalAndUniversal 屬性的讀取權限。 TokenGroupsGlobalAndUniversal 屬性的讀取權限會授與「Pre-Windows 2000 Server 相容存取」群組。 不過,新網域會包含空的「Pre-Windows 2000 Server 相容存取」群組。 此為預設值,因為預設設定選項是與 Windows 2000 Server 及 Windows Server 2003 相容的許可權。 因此,應用程式可能無法存取 tokenGroupsGlobalAndUniversal 屬性。 在此情況下,AuthzInitializeCoNtextFromSid 函數會一起失敗,並 ACCESS_DENIED 錯誤。 使用此函數的應用程式應該會正確地處理此錯誤,並且應該提供支援檔。 若要簡化授權帳戶查詢使用者的群組資訊的許可權,請將需要其群組資訊查閱的帳戶新增至 Windows 授權存取群組。