Usuarios y equipos de Active Directory no enumeran miembros de un grupo global

Tengo un solo bosque del dominio en el nivel funcional de Windows Server 2003 (el dominio y el bosque son ambos en 2003). Tenemos 3 controlleres de dominio que ejecutan Windows Server 2003, todos los cuales son catálogos globales.

Tenemos varios Grupos de Seguridad Global cada uno con varios miembros. Sin embargo, cuando se utilizan usuarios de Active Directory y equipos para ver los miembros de estos grupos, la list está vacía. Si voy a los usuarios individuales y compruebo la list para el miembro de, veo los grupos asociados.

También he intentado usar el cmdlet PowerShell Get-AdGroupMember , pero también devuelve una list vacía.

Los derechos asociados a estos grupos funcionan para los usuarios asociados.

A la izquierda está la list de miembros de mi count. A la derecha está el grupo del que soy miembro, pero no muestra miembros en la pestaña Miembros.

introduzca la descripción de la imagen aquí

Si añado a alguien que ya no es miembro, se agregarán y se enumerarán. La próxima vez que cargue la página de properties, se mostrará vacía de nuevo. Si agrego a alguien que ya es miembro, cuando bash save el grupo, me dirá que ya son miembros.

Así funciona funcionalmente. Sólo necesito poder enumerar a los miembros.

¿Alguien ha visto esto antes o tiene ideas sobre cómo corregir el problema?

2 Solutions collect form web for “Usuarios y equipos de Active Directory no enumeran miembros de un grupo global”

Desde un inicio de session para uno de estos usuarios, invoque:

 gpresult /v /scope user 

Busque el encabezado:

 The user is a part of the following security groups 

¿Hay algún grupo en la list?
¿Es posible que un grupo diferente, o un método de grupo no esté concediendo a los usuarios estos privilegios?

***Seguir:

Gracias por las fotos. Tratar de imaginar lo que puede conducir a esto. Posiblemente un límite para enumerar las properties del grupo. Tal vez alguien en su org modificado Perms para estos grupos? ¿Existe el problema en todos los grupos, o sólo en un pequeño subset? Si el más tarde, ¿residen en una UO común, quizás con permissions más restrictivos?
Ejecute DSACLS pasándole el DN del nombre del grupo.

 DSACLS "CN=groupname,DC=mydomain,DC=com" 

Será largo, puede que desee networkingireccionar a un file de text. ¿Hay alguna ACL de DENY?

¿Qué es la ACL para "Usuarios autenticados"? Debería parecerse a esto

 Allow NT AUTHORITY\Authenticated Users SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT 

Se ha ocultado la pertenencia del grupo debido a una configuration de las properties de Exchange del grupo de security. Si hace clic con el button derecho del ratón en el grupo, podrá acceder a las tareas de Exchange. A partir de ahí fui capaz de mostrar la membresía. El resultado final cambió las properties de security para permitir ver la pertenencia del grupo.

introduzca la descripción de la imagen aquí

  • Informes de Active Directory / Aplicación de software
  • Evento 34 en caching de escritura de Windows 2008 R2 y sysvol en la unidad del sistema
  • Active Directory config: ¿Alguien puede explicar información conflictiva?
  • El server DNS de Windows elimina su propio logging A en recarga
  • Problemas con Active Directory en 2010 después de instalar Visual Studio 2012
  • No se pueden ver dominios de confianza en ADUC
  • Cambio de propiedad de files con PowerShell 2.0
  • ¿Tener un número extremadamente alto de replicación de socios en Active Directory plantea un problema en 2014?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.