Active Directory用户和计算机不会列出全局组的成员
我在Windows Server 2003function级别上有一个域林(域和林都在2003年)。 我们有3个域控制器运行Windows Server 2003,所有这些都是全局编录。
我们有几个全球安全组,每个组都有几个成员。 但是,使用Active Directory用户和计算机查看这些组的成员时,该列表是空的。 如果我去个人用户,并检查成员列表,我看到相关的组。
我也尝试使用PowerShell的Get-AdGroupMember cmdlet,但它也返回一个空的列表。
与这些组相关的权限适用于关联的用户。
- joinSamba 4 AD域,缺lessDNS条目?
- Red Hat 6.5上的saslauthd NO“身份validation失败”
- 如何处理(和testing)混合多林与Office365
- Windows域帐户已过期与已禁用状态
- ADWS在Server 2003基础上
左边是我的帐户的成员名单。 右侧是我所属的组,但在“成员”选项卡上没有显示任何成员。
如果我添加了不是会员的人,他们将被添加并列出。 下次我加载属性页面时,它将再次显示为空。 如果我加了一个已经是会员的人,当我试图拯救这个团体时,会告诉我他们已经是会员了。
所以它在function上起作用。 我只需要能够枚举成员。
任何人以前看到这个或有想法如何纠正这个问题?
从其中一个用户的login名中,调用:
gpresult /v /scope user
寻找标题:
The user is a part of the following security groups
有没有列出任何组?
是否有可能是一个不同的组,或者非组方法是授予用户这些特权?
***跟进:
感谢您的照片。 想象一下可能导致这种情况的原因。 可能是枚举组属性的限制。 也许有人在你的组织修改了这些组的许可? 这个问题是否存在于所有群体中,还是仅存在一小部分? 如果后者,他们是否居住在一个共同的OU,也许有更多的限制性的权限?
运行DSACLS传递组名称的DN。
DSACLS "CN=groupname,DC=mydomain,DC=com"
这将是漫长的,你可能要redirect到一个文本文件。 有没有DENY ACL?
什么是“身份validation用户”的ACL? 它应该像这样
Allow NT AUTHORITY\Authenticated Users SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT
由于安全组的Exchange属性的configuration,该组的成员身份被隐藏。 右键单击该组允许访问Exchange任务。 从那里我能够取消隐藏会员资格。 最终结果改变了安全属性以允许查看该组的成员资格。
- 只允许root和domain组在Linux服务器上login
- 如何findGPO正在使用的模板?
- Powerbroker Open:无法自动挂载CIFS共享,kerberos票证在哪里?
- 获取广告组成员 – 不同的域名
- 移动一次后,无法将计算机帐户移动到新帐户
- 如果“安全筛选”选项卡为空,但GPO中是否有一个适用于“读取和应用”权限的安全组?
- 从远程系统部署域控制器时,SERVER2012 R2核心访问被拒绝
- GPO:从两个位置的文件夹redirect:获取个人文件夹两次?
- 使用ADUC实用程序search受信任的域时响应速度慢
- 在Azure虚拟机上托pipe的两个Active Directory林之间创build一个跨林信任? (单独订阅)