No puede ver los programas "RemoteApp" que se encuentran en un servidor Host de sesión de escritorio remoto que está ejecutando Windows Server 2008 R2 mediante acceso Web de RD

Se aplica a: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

Síntomas


Cuando utiliza una cuenta de usuario de dominio para iniciar sesión en acceso Web de escritorio remoto (acceso Web de escritorio remoto), no puede ver la lista de programas RemoteApp que se encuentran en un servidor Host de sesión de escritorio remoto que ejecuta Windows Server 2008 R2. Sin embargo, las cuentas locales pueden ver los programas de RemoteApp .



Además, seguimiento de acceso Web de RD registra un error similar al siguiente error:

[Error] App filtrado: error al iniciar el filtrado: no se pudo inicializar el contexto de SID. SID: S-1-5-21-1997477047-1508330638-219632125-223304, Error: 0 x 80070005

Causa


Este problema se produce cuando se crea un dominio mediante la opción permisos compatibles sólo con sistemas operativos Windows Server 2003 o de Windows 2000. Cuando se selecciona esta opción, los integrados grupo Todos no se realizan un miembro del grupo "Acceso Compatible anterior a Windows 2000". Este problema también se produce si la pertenencia del grupo se cambia más adelante para ya no incluye el todos grupo como parte de una procedimiento de refuerzo de la seguridad de dominio.

Solución


Para resolver este problema, agregue la cuenta de equipo de acceso Web de escritorio remoto al grupo de acceso de autorización de Windows en el controlador de dominio.

Más información


La función AuthzInitializeContextFromSid lee el atributo tokenGroupsGlobalAndUniversal del SID que se especifica en una llamada de función. Esto se hace para determinar la pertenencia a grupos del usuario actual. Si es el objeto del usuario en servicios de dominio de Active Directory (AD DS), el contexto de la llamada debe tener acceso de lectura al atributo tokenGroupsGlobalAndUniversal del objeto de usuario. Acceso de lectura al atributo tokenGroupsGlobalAndUniversal se concede al grupo "Acceso Compatible de versiones anteriores de Windows 2000 Server". Sin embargo, los nuevos dominios contienen un grupo "Acceso Compatible de versiones anteriores de Windows 2000 Server" vacío. Se trata de forma predeterminada, como la selección de la configuración predeterminada es permisos compatibles con Windows 2000 Server y Windows Server 2003. Por lo tanto, aplicaciones no pueden tener acceso al atributo tokenGroupsGlobalAndUniversal . En este caso, la función AuthzInitializeContextFromSid falla con un error ACCESS_DENIED. Las aplicaciones que utilizan esta función deben controlar correctamente este error y deben proporcionar la documentación de soporte. Para simplificar las cuentas con permiso para consultar la información sobre un usuario del grupo, agregue las cuentas que necesitan la capacidad de buscar información de grupo para el grupo de acceso de autorización de Windows.