Get ADGroupMember 從遠端樹系將網域本機群組的錯誤傳回給成員

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3171600
徵狀
假設您使用Get ADGroupMember指令程式,來識別 [Active Directory 網域服務 (AD DS) 中群組的成員。不過,當您執行此指令程式的網域本機群組,就會傳回下列錯誤 ︰

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
發生的原因
如果群組的成員已從帳戶樹系中移除其帳戶的另一個樹系,就會發生這個問題。成員都會在本機網域的外部安全性主體 (FSP)。在群組的 [LDIFDE 匯出,成員資格所示,如下所示 ︰
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
刪除來源帳戶的 sid 時, FSP 未更新或移除,以反映此刪除。Manuallyverify,您必須移除這些 FSP 參考。
解決方案
若要解決這個問題,請啟用記錄有關這些 Sid,並要求由使用中的目錄 web 服務所執行的解析度。如此一來,您可以識別無法解析的帳戶。若要這麼做,請執行Get ADGroupMember指令程式的網域控制站上 contoso.com (其中 「 版面配置區 」 代表有問題的網域)。

若要啟用記錄,請執行下列命令列 ︰

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
您會看到具有名為c:\windows\debug\lsp.log,追蹤的 SID 名稱解析的檔案的嘗試。當您重新執行此指令程式,此指令程式執行的所在的網域控制站上時,檔案將會記錄失敗,並將如下所示 ︰

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
請檢查下列項目 toverify,這是這個問題 (在前面的範例輸出) 的相關區段 ︰
  • 此程序是C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe
  • 將要求傳送到不同的樹系中網域控制站 — 例如, northwindsails.com
  • 傳回碼是0xc0000073,它等於 STATUS_NONE_MAPPED。

若要尋找 FSP 物件,執行下列命令 (取代網域名稱和 Sid) ︰
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

這個 FSP 的原始物件不存在,因此您可以放心刪除它。如此一來也從所有的所屬的群組移除 ︰

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

警告:本文為自動翻譯

內容

文章識別碼:3171600 - 最後檢閱時間:06/23/2016 17:07:00 - 修訂: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtzh
意見反應