Active Directory 用户和计算机未列出全局组的成员

Active Directory 用户和计算机未列出全局组的成员

我有一个 Windows Server 2003 功能级别的单域林(域和林均为 2003)。我们有 3 个运行 Windows Server 2003 的域控制器,它们都是全局目录。

我们有几个全局安全组,每个组都有多个成员。但是,当使用 Active Directory 用户和计算机查看这些组的成员时,列表为空。如果我转到单个用户并检查成员列表,我确实会看到关联的组。

我也尝试使用 PowerShell Get-AdGroupMembercmdlet,但它也返回一个空列表。

与这些组相关的权利适用于相关的用户。

左侧是我帐户的成员列表。右侧是我所属的群组,但在“成员”选项卡上未显示任何成员。

在此处输入图片描述

如果我添加的某人还不是成员,他们将被添加并列出。下次我加载属性页面时,它将再次显示为空。如果我添加的某人已经是成员,当我尝试保存该组时,它会告诉我他们已经是成员。

从功能上来说,它是可行的。我只需要能够枚举成员。

有人见过这个问题或者知道如何解决这个问题吗?

答案1

从其中一个用户的登录中调用:

gpresult /v /scope user

寻找标题:

The user is a part of the following security groups

是否列出了任何组?
是否有可能由其他组或非组方法授予用户这些权限?

***跟进:

谢谢你的图片。试着想象一下是什么导致了这种情况。可能是对枚举组属性的限制。也许贵组织中的某个人修改了这些组的权限?问题存在于所有组中,还是只存在于一小部分组中?如果是后者,它们是否位于一个公共 OU 中,可能具有更严格的权限?
运行 DSACLS 并将组名的 DN 传递给它。

DSACLS "CN=groupname,DC=mydomain,DC=com"

它会很长,您可能需要重定向到文本文件。是否有任何 DENY ACL?

“经过身份验证的用户”的 ACL 是什么?它应该类似于以下内容

Allow NT AUTHORITY\Authenticated Users
                                  SPECIAL ACCESS
                                  READ PERMISSONS
                                  LIST CONTENTS
                                  READ PROPERTY
                                  LIST OBJECT

答案2

由于安全组的 Exchange 属性配置,该组的成员身份被隐藏。右键单击该组允许访问 Exchange 任务。从那里我可以取消隐藏成员身份。最终结果更改了安全属性以允许查看组的成员身份。

在此处输入图片描述

相关内容