Симптоми
Windows Server 2012 R2 домейн контролер, който получава входящ билет предоставяне билет от Kerberos (TGT) от през гора доверие граница винаги ще филтър от всички PAC група SIDs, представляващи известни акаунти, които имат ниско число RIDs в неговия домейн, като например SID на групата "Администратори на домейн" в неговия домейн. Този проблем възниква, когато домейнов контролер в друга гора и функционално ниво на Windows Server 2016 технически преглед и гората притежава сянка основна група, която има SID, представляващи известни акаунт.
Решение
За да решите този проблем, инсталирайте .Забележка Тази актуализация добавя нов сигурност флаг TRUST_ATTRIBUTE_PIM_TRUST Windows Server 2012 R2 домейн контролери. Билета позволява тези контролери да разпознае Kerberos билети от гората бастион. След като инсталирате тази актуализация, домейн контролера ще позволи този флаг да бъде зададен атрибут на обект на надежден домейн в своята система контейнер и домейн контролера ще интерпретира групи, когато извършва .
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Препратки
Научете повече за , използвана за описание на софтуерните актуализации от Microsoft.
