Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведено решение проблемы, которую нельзя просматривать программы RemoteApp на сервере узла сеансов удаленных рабочих стола с помощью веб-доступа к удаленным рабочим столам.
Исходный номер базы знаний: 978322
Симптомы
При использовании учетной записи пользователя домена для входа в веб-доступ к удаленному рабочему столу (RD Web Access) невозможно просмотреть список программ RemoteApp, работающих на сервере узла сеансов удаленных рабочих столов под управлением Windows Server 2008 R2. Однако локальные учетные записи могут просматривать программы RemoteApp .
Кроме того, трассировка веб-доступа по удаленным рабочим столам регистрирует ошибку, похожую на следующую ошибку:
[Ошибка] Фильтрация приложений:Ошибка при запуске фильтрации: не удалось инициализировать контекст из sid. SID: S-1-5-21-1997477047-1508330638-2196325-223304, ошибка: 0x80070005
Причина
Эта проблема возникает при создании домена с помощью параметров , совместимых только с операционными системами Windows 2000 или Windows Server 2003. При выборе этого параметра встроенная группа "Все" не входит в группу "Совместимый с Windows 2000 Access". Эта проблема также возникает, если членство в группе позже изменено, чтобы больше не включать группу "Все" в рамках процедуры защиты безопасности домена.
Решение
Чтобы устранить эту проблему, добавьте учетную запись компьютера RD Web Access в группу доступа к авторизации Windows на контроллере домена.
Дополнительная информация
Функция AuthzInitializeContextFromSid считывает атрибут tokenGroupsGlobalAndUniversal идентификатора БЕЗОПАСНОСТИ, указанного в вызове функции. Это делается для определения членства в группах текущего пользователя. Если объект пользователя находится в службах домен Active Directory (AD DS), вызывающий контекст должен иметь доступ на чтение к атрибуту tokenGroupsGlobalAndUniversal в объекте пользователя. Доступ на чтение к атрибуту tokenGroupsGlobalAndUniversal предоставляется группе "Доступ, совместимый с сервером Pre-Windows 2000". Однако новые домены содержат пустую группу "Совместимый с сервером Windows 2000 Access". Это по умолчанию, так как выбор настройки по умолчанию совместим с Windows 2000 Server и Windows Server 2003. Поэтому приложения могут не иметь доступа к атрибуту tokenGroupsGlobalAndUniversal. В этом случае функция AuthzInitializeContextFromSid завершается ошибкой ACCESS_DENIED. Приложения, использующие эту функцию, должны правильно обрабатывать эту ошибку и предоставлять поддержку документации. Чтобы упростить предоставление учетных записей для запроса сведений о группе пользователя, добавьте учетные записи, которым требуется возможность поиска сведений о группе доступа к авторизации Windows.