ADFS：某些使用者無法登錄

我在 Server 2019 上執行了一個新的 ADFS 實現。設置後，我使用 /adfs/ls/IdpInitiatedSignon.aspx 測試了各種使用者帳戶的身份驗證。我測試的大多數帳戶都可以正常工作，沒有任何問題。但是，有一些帳戶表現出以下行為：

• 使用錯誤的使用者名/密碼登錄會導致顯示使用者名/密碼不正確的錯誤消息。這是預期的和可取的。
• 使用正確的使用者名/密碼登錄會導致頁面刷新，再次顯示登錄表單。沒有錯誤資訊。我將此稱為*“刷新登錄”*。

在 ADFS 伺服器上的安全事件日誌中，我看到以下三個與“刷新登錄”相關的事件：

• 事件 4648 - 嘗試使用顯式憑據登錄。
• 事件 4624 - 帳戶已成功登錄。
• 事件 4625 - 帳戶登錄失敗（失敗原因：未知使用者名或密碼錯誤）

幾條資訊：

• ADFS 配置為使用名為 FsGmsa 的組託管服務帳戶。它是 Windows 授權訪問組的成員。
• 啟用“表單”和“Microsoft Passport 身份驗證”作為主要身份驗證方法。我最終將添加 Azure MFA。
• 所有測試都在內網執行。
• 所有證書均有效且未過期。
• 無論使用什麼電腦/設備，對於相同的使用者，我都會得到相同的結果。
• 我找不到有效的帳戶和無效的帳戶之間的任何相似之處或差異。

Windows 授權訪問組無權讀取相關帳戶的tokenGroupsGlobalAndUniversal屬性。這些是我為解決此問題而採取的步驟：

1. 打開 Active Directory 使用者和電腦
2. 轉到查看菜單並確保選中高級功能選項。
3. 打開所需使用者帳戶的屬性。
4. 點擊安全選項卡。
5. 點擊高級按鈕。
6. 查找“Windows 授權訪問組”主體的允許條目。

• 如果有條目，請點擊編輯按鈕。
• 如果沒有條目，請點擊“添加”按鈕。

7. 權限條目的頂部應如下所示：

• 主體：Windows 授權訪問組
• 類型：允許
• 適用於：僅此對象

8. 如果這是一個新條目，請一直滾動到視窗底部，然後點擊全部清除按鈕。
9. 對Read tokenGroupsGlobalAndUniversal屬性添加檢查。它接近列表的底部。
10. 點擊“確定”關閉“權限條目”視窗。
11. 點擊“確定”關閉“*高級安全設置”*視窗。
12. 點擊“確定”進入帳戶屬性視窗。

您將需要對有問題的其他帳戶重複步驟 3-12。之後，測試您的帳戶，他們應該可以毫無問題地登錄。

引用自：https://serverfault.com/questions/1078222