Vous ne pouvez pas afficher les programmes « RemoteApp » qui se trouvent sur un serveur hôte de Session Bureau à distance fonctionnant sous Windows Server 2008 R2 à l’aide de l’accès Web Bureau à distance

S’applique à : Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

Symptômes


Lorsque vous utilisez un compte d’utilisateur de domaine pour ouvrir une session sur l’accès Web aux services Bureau à distance (l’accès Web Bureau à distance), vous ne pouvez pas afficher la liste des programmes RemoteApp qui se trouvent sur un serveur hôte de Session Bureau à distance fonctionnant sous Windows Server 2008 R2. Toutefois, les comptes locaux peuvent afficher les programmes RemoteApp .



En outre, les journaux de suivi de l’accès Web Bureau à distance une erreur semblable à l’erreur suivante :

[Erreur] Démarrage de filtrage : erreur App filtrage : pas pu initialiser le contexte à partir du SID. SID : S-1-5-21-1997477047-1508330638-219632125-223304, erreur : 0 x 80070005

Cause


Ce problème se produit lorsqu’un domaine est créé à l’aide de l’option autorisations compatibles uniquement avec les systèmes d’exploitation Windows Server 2003 ou de Windows 2000. Lorsque cette option est sélectionnée, les intégrées de groupe tout le monde fait pas un membre du groupe « Accès Compatible pré-Windows 2000 ». Ce problème se produit également si l’appartenance au groupe est modifiée ultérieurement pour ne sont plus tout le monde le groupe dans le cadre d’une procédure de renforcement de la sécurité domaine.

Résolution


Pour résoudre ce problème, ajoutez le compte d’ordinateur de bureau à distance Web Access au groupe d’accès d’autorisation Windows sur le contrôleur de domaine.

Plus d'informations


La fonction AuthzInitializeContextFromSid lit l’attribut tokenGroupsGlobalAndUniversal de l’identificateur de sécurité spécifié dans un appel de fonction. Cela est fait afin de déterminer les appartenances de l’utilisateur actuel. Si l’objet de l’utilisateur est dans le domaine des Services de domaine Active Directory (AD DS), le contexte d’appel doit avoir accès en lecture à l’attribut tokenGroupsGlobalAndUniversal de l’objet utilisateur. Accès en lecture à l’attribut tokenGroupsGlobalAndUniversal est accordé au groupe « Accès Compatible pré-Windows 2000 Server ». Toutefois, les nouveaux domaines contiennent un groupe « Accès Compatible pré-Windows 2000 Server » vide. Il s’agit par défaut, car la sélection de l’installation par défaut est compatible avec Windows 2000 Server et Windows Server 2003 les autorisations. Par conséquent, les applications n’aient pas accès à l’attribut tokenGroupsGlobalAndUniversal . Dans ce cas, la fonction AuthzInitializeContextFromSid échoue avec une erreur ACCESS_DENIED. Les applications qui utilisent cette fonction doivent gérer correctement cette erreur et doivent fournir une documentation de prise en charge. Pour simplifier l’octroi d’autorisation de comptes pour interroger les informations de groupe sur un utilisateur, ajoutez les comptes doivent avoir la possibilité de rechercher des informations de groupe au groupe d’accès d’autorisation Windows.