Usuarios y equipos de Active Directory no enumeran miembros de un grupo global

Tengo un solo bosque del dominio en el nivel funcional de Windows Server 2003 (el dominio y el bosque son ambos en 2003). Tenemos 3 controlleres de dominio que ejecutan Windows Server 2003, todos los cuales son catálogos globales.

Tenemos varios Grupos de Seguridad Global cada uno con varios miembros. Sin embargo, cuando se utilizan usuarios de Active Directory y equipos para ver los miembros de estos grupos, la list está vacía. Si voy a los usuarios individuales y compruebo la list para el miembro de, veo los grupos asociados.

También he intentado usar el cmdlet PowerShell Get-AdGroupMember , pero también devuelve una list vacía.

Los derechos asociados a estos grupos funcionan para los usuarios asociados.

A la izquierda está la list de miembros de mi count. A la derecha está el grupo del que soy miembro, pero no muestra miembros en la pestaña Miembros.

introduzca la descripción de la imagen aquí

Si añado a alguien que ya no es miembro, se agregarán y se enumerarán. La próxima vez que cargue la página de properties, se mostrará vacía de nuevo. Si agrego a alguien que ya es miembro, cuando bash save el grupo, me dirá que ya son miembros.

Así funciona funcionalmente. Sólo necesito poder enumerar a los miembros.

¿Alguien ha visto esto antes o tiene ideas sobre cómo corregir el problema?

2 Solutions collect form web for “Usuarios y equipos de Active Directory no enumeran miembros de un grupo global”

Desde un inicio de session para uno de estos usuarios, invoque:

 gpresult /v /scope user 

Busque el encabezado:

 The user is a part of the following security groups 

¿Hay algún grupo en la list?
¿Es posible que un grupo diferente, o un método de grupo no esté concediendo a los usuarios estos privilegios?

***Seguir:

Gracias por las fotos. Tratar de imaginar lo que puede conducir a esto. Posiblemente un límite para enumerar las properties del grupo. Tal vez alguien en su org modificado Perms para estos grupos? ¿Existe el problema en todos los grupos, o sólo en un pequeño subset? Si el más tarde, ¿residen en una UO común, quizás con permissions más restrictivos?
Ejecute DSACLS pasándole el DN del nombre del grupo.

 DSACLS "CN=groupname,DC=mydomain,DC=com" 

Será largo, puede que desee networkingireccionar a un file de text. ¿Hay alguna ACL de DENY?

¿Qué es la ACL para "Usuarios autenticados"? Debería parecerse a esto

 Allow NT AUTHORITY\Authenticated Users SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT 

Se ha ocultado la pertenencia del grupo debido a una configuration de las properties de Exchange del grupo de security. Si hace clic con el button derecho del ratón en el grupo, podrá acceder a las tareas de Exchange. A partir de ahí fui capaz de mostrar la membresía. El resultado final cambió las properties de security para permitir ver la pertenencia del grupo.

introduzca la descripción de la imagen aquí

  • Cambio de Dominio de una máquina - ¿alguna manera de mantener el perfil existente intacto?
  • SID incorrecto para la count de administrador
  • XP, Cómo permitir a los usuarios forzar el cierre de session de otros usuarios en una estación de trabajo bloqueada
  • ¿Cómo cerrar de forma progtwigda usuarios inactivos en Windows Server 2012 R2?
  • ¿Existe un server / cliente IRC que admita la integración con Active Directory?
  • Establecer la antigüedad máxima de la contraseña de dominio en Windows 2008
  • inicio de session lento en el directory activo
  • Autenticación Kerberos con Java y ActiveDirectory: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.