我有一个 Windows Server 2003 功能级别的单域林(域和林均为 2003)。我们有 3 个运行 Windows Server 2003 的域控制器,它们都是全局目录。
我们有几个全局安全组,每个组都有多个成员。但是,当使用 Active Directory 用户和计算机查看这些组的成员时,列表为空。如果我转到单个用户并检查成员列表,我确实会看到关联的组。
我也尝试使用 PowerShell Get-AdGroupMember
cmdlet,但它也返回一个空列表。
与这些组相关的权利适用于相关的用户。
左侧是我帐户的成员列表。右侧是我所属的群组,但在“成员”选项卡上未显示任何成员。
如果我添加的某人还不是成员,他们将被添加并列出。下次我加载属性页面时,它将再次显示为空。如果我添加的某人已经是成员,当我尝试保存该组时,它会告诉我他们已经是成员。
从功能上来说,它是可行的。我只需要能够枚举成员。
有人见过这个问题或者知道如何解决这个问题吗?
答案1
从其中一个用户的登录中调用:
gpresult /v /scope user
寻找标题:
The user is a part of the following security groups
是否列出了任何组?
是否有可能由其他组或非组方法授予用户这些权限?
***跟进:
谢谢你的图片。试着想象一下是什么导致了这种情况。可能是对枚举组属性的限制。也许贵组织中的某个人修改了这些组的权限?问题存在于所有组中,还是只存在于一小部分组中?如果是后者,它们是否位于一个公共 OU 中,可能具有更严格的权限?
运行 DSACLS 并将组名的 DN 传递给它。
DSACLS "CN=groupname,DC=mydomain,DC=com"
它会很长,您可能需要重定向到文本文件。是否有任何 DENY ACL?
“经过身份验证的用户”的 ACL 是什么?它应该类似于以下内容
Allow NT AUTHORITY\Authenticated Users
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
答案2
由于安全组的 Exchange 属性配置,该组的成员身份被隐藏。右键单击该组允许访问 Exchange 任务。从那里我可以取消隐藏成员身份。最终结果更改了安全属性以允许查看组的成员身份。