Eu tenho uma floresta de domínio único no nível funcional do Windows Server 2003 (domínio e floresta são ambos em 2003). Temos 3 controladores de domínio executando o Windows Server 2003, todos eles são catálogos globais.
Temos vários Grupos de Segurança Global, cada um com vários membros. No entanto, ao usar usuários e computadores do Active Directory para visualizar membros desses grupos, a lista fica vazia. Se eu for para usuários individuais e verificar a lista para Membro de, eu vejo os grupos associados.
Eu também tentei usar o cmdlet PowerShell Get-AdGroupMember , mas ele também retorna uma lista vazia.
Os direitos associados a esses grupos funcionam para os usuários associados.
À esquerda está a lista de membros da minha conta. À direita está o grupo do qual sou membro, mas não mostra membros na guia Membros.
Se eu adicionar alguém que ainda não seja membro, eles serão adicionados e listados. Na próxima vez que carregar a página de propriedades, ela será mostrada vazia novamente. Se eu adicionar alguém que já seja membro, quando eu tentar salvar o grupo, ele me dirá que eles já são membros.
Então funcionalmente funciona. Eu só preciso poder enumerar os membros.
Alguém já viu isso antes ou tem ideias sobre como corrigir o problema?
A associação do grupo foi ocultada devido a uma configuração das propriedades do Exchange do Grupo de segurança. Clicar com o botão direito do mouse no grupo permite o acesso a tarefas do Exchange. De lá, consegui mostrar a associação. O resultado final alterou as propriedades de segurança para permitir a visualização da associação do grupo.
De um login para um desses usuários, invoque:
gpresult /v /scope user
Procure o título:
The user is a part of the following security groups
Existe algum grupo listado?
É possível um grupo diferente, ou um método não-grupo está concedendo aos usuários esses privilégios?
*** Acompanhamento:
Obrigado pelas fotos. Tentando imaginar o que pode levar a isso. Possivelmente, um limite na enumeração das propriedades do grupo. Talvez alguém na sua organização modifique permanentes para esses grupos? O problema existe em todos os grupos ou apenas em um pequeno subconjunto? Se mais tarde, eles residem em uma OU comum, talvez com permissões mais restritivas?
Execute o DSACLS passando o DN do nome do grupo.
DSACLS "CN=groupname,DC=mydomain,DC=com"
Será longo, você pode querer redirecionar para um arquivo de texto. Há algum DENY ACLs?
O que é a ACL para "Usuários autenticados"? Deve se parecer com isso
Allow NT AUTHORITY\Authenticated Users
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Tags active-directory