Jay Michaud's questions

在调查过滤令牌对我的文件权限的影响时，我注意到除了常规系统定义的过滤组之外，我的一个全局安全组正在被过滤。

我的 Active Directory 环境是 Windows Server 2003 功能级别上的单域林。我将调用域“mydomain.example.com”。我作为“MYDOMAIN\Domain Admins”组和“MYDOMAIN\MySecurityGroup”全局安全组（以及其他）的成员登录到 Windows Server 2008 Enterprise Edition 计算机（不是域控制器）。当我从提升的命令提示符处运行“whoami /groups”时，我看到了我的帐户所属的组的完整列表，如预期的那样。当我从常规的非提升命令提示符运行“whoami /groups”时，我看到相同的组列表，但以下组被描述为“仅用于拒绝的组”。

1. 内置\管理员
2. MYDOMAIN\Schema 管理员
3. MYDOMAIN\提供远程协助助手
4. MYDOMAIN\MySecurityGroup

上面的数字 1 到 3 是基于 Microsoft 文档的预期；4 号不是。“MYDOMAIN\MySecurityGroup”全局安全组是我创建的一个组。它包含三个非内置的全局安全组，这些安全组只包含非内置的用户帐户。（也就是说，我创建了属于“MYDOMAIN\MySecurityGroup”全局安全组成员的所有帐户和组。）我的帐户所属的其他类似组没有从我的登录令牌中过滤掉，并且此组未在此计算机的安全设置或组策略中授予任何特定用户权限。

什么会导致这一组从我的登录令牌中被过滤掉？

我正在使用组策略重定向几个文件夹。在 Windows XP 客户端上一切正常，但在 Windows Vista 客户端上，一些文件夹重定向，其中一些无法重定向。对于失败的事件，将记录以下事件（标识信息已更改）：

日志名称：应用程序
来源：Microsoft-Windows-文件夹重定向
日期：2009 年 5 月 14 日下午 2:34:38
事件编号：502
任务类别：无
级别：错误
关键词：经典
用户：公司\用户名
计算机：machinename.corp.mycompany.com
描述：
未能应用策略并将文件夹“桌面”重定向到“\\corp.mycompany.com\net\users\desktop\username”。
 重定向选项=1001。
 发生以下错误：“无法创建文件夹“\\corp.mycompany.com\net\users\desktop\username”。
 错误详细信息：“此文件当前无法在此计算机上使用。
”。

我已确保不存在具有相关名称的预先存在的文件夹，因此我可以确定 Windows 会创建具有所需权限的文件夹。我使用 TechNet 的指导设置了对父文件夹的权限，并且可以在以相关用户身份登录时使用命令提示符手动创建相关文件夹。

为什么会失败？我应该寻找哪些可能的原因？

编辑：我尝试了 Zoredache 的建议，备用测试 GPO 和重定向文件夹共享工作。然后我切换回原来的位置，打开审计，并在客户端使用 ProcMon 进行监控，一切正常。我们托管重定向文件夹的文件服务器是一个虚拟机，我在切换到新的重定向文件夹共享的同时关闭了同一主机上的几个其他虚拟机。这很愚蠢，因为现在我不知道是否存在导致问题的虚拟机主机上的资源问题，或者是否存在 Heisenbug——当我审核和监视重定向的文件夹创建时该 bug 消失了过程。尽管我没有任何证据表明 Zoredache 的建议解决了我的特定问题，但我承认这是极好的建议，