Sie können "RemoteApp"-Programme auf einem RD-Sitzungshostserver nicht mithilfe von Remotedesktop-Webzugriff anzeigen.
Dieser Artikel bietet eine Lösung für das Problem, dass Sie "RemoteApp"-Programme auf einem RD-Sitzungshostserver nicht mithilfe von RD-Webzugriff anzeigen können.
Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 978322
Symptome
Wenn Sie sich mit einem Domänenbenutzerkonto bei Remotedesktop-Webzugriff (RD Web Access) anmelden, können Sie die Liste der RemoteApp-Programme nicht anzeigen, die sich auf einem RD-Sitzungshostserver befinden, auf dem Windows Server 2008 R2 ausgeführt wird. Die lokalen Konten können jedoch die RemoteApp-Programme anzeigen.
Darüber hinaus protokolliert die Remotedesktop-Web access-Ablaufverfolgung einen Fehler, der dem folgenden Fehler ähnelt:
[Fehler] App-Filterung: Fehler beim Starten der Filterung: Der Kontext konnte nicht über die SID initialisiert werden. SID: S-1-5-21-1997477047-1508330638-219632125-223304, Fehler: 0x80070005
Ursache
Dieses Problem tritt auf, wenn eine Domäne mit der Option Berechtigungen erstellt wird , die nur mit Windows 2000- oder Windows Server 2003-Betriebssystemen kompatibel sind. Wenn diese Option ausgewählt ist, wird die integrierte Gruppe Jeder nicht zu einem Mitglied der Gruppe "Pre-Windows 2000 Compatible Access" (Kompatibler Zugriff vor Windows 2000) gemacht. Dieses Problem tritt auch auf, wenn die Mitgliedschaft der Gruppe später so geändert wird, dass die Gruppe Jeder nicht mehr als Teil eines Domänensicherheitshärtungsverfahrens enthalten ist.
Lösung
Um dieses Problem zu beheben, fügen Sie das Remotedesktop-Webzugriffs-Computerkonto der Windows-Autorisierungszugriffsgruppe auf dem Domänencontroller hinzu.
Weitere Informationen
Die AuthzInitializeContextFromSid-Funktion liest das tokenGroupsGlobalAndUniversal-Attribut der SID, das in einem Funktionsaufruf angegeben wird. Dies erfolgt, um die Gruppenmitgliedschaften des aktuellen Benutzers zu bestimmen. Wenn sich das Objekt des Benutzers in Active Directory Domain Services (AD DS) befindet, muss der aufrufende Kontext Über Lesezugriff auf das tokenGroupsGlobalAndUniversal-Attribut im Benutzerobjekt verfügen. Lesezugriff auf das tokenGroupsGlobalAndUniversal-Attribut wird der Gruppe "Serverkompatibler Zugriff vor Windows 2000" gewährt. Neue Domänen enthalten jedoch eine leere Gruppe "Pre-Windows 2000 Server Compatible Access". Dies ist standardmäßig der Fall, da die Standardeinrichtungsauswahl berechtigungen ist, die mit Windows 2000 Server und Windows Server 2003 kompatibel sind. Daher haben Anwendungen möglicherweise keinen Zugriff auf das tokenGroupsGlobalAndUniversal-Attribut. In diesem Fall schlägt die AuthzInitializeContextFromSid-Funktion zusammen mit einem ACCESS_DENIED Fehler fehl. Anwendungen, die diese Funktion verwenden, sollten diesen Fehler ordnungsgemäß behandeln und unterstützende Dokumentation bereitstellen. Um konten die Berechtigung zum Abfragen der Gruppeninformationen zu einem Benutzer zu vereinfachen, fügen Sie Konten hinzu, die die Möglichkeit benötigen, Gruppeninformationen zur Windows-Autorisierungszugriffsgruppe nachzuschlagen.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für