Síntomas
Un controlador de dominio que recibe un vale de concesión de vales Kerberos entrante (TGT) de a través de un límite de confianza de bosque se filtraría siempre fuera de la PAC todos los de Windows Server 2012 R2 grupo SID que representa las cuentas conocidas que tienen bajo número RID en su dominio, como el SID del grupo "Domain Admins" en su dominio. Este problema se produce cuando un controlador de dominio está en otro bosque y en el nivel funcional de Windows Server 2016 Technical Preview y ese bosque contiene un grupo principal de sombra que tiene un SID que representa una cuenta conocida.
Solución
Para corregir este problema, instale .
Nota: Esta actualización agrega la nueva marca de confianza TRUST_ATTRIBUTE_PIM_TRUST a controladores de dominio de Windows Server R2 de 2012. El vale permite reconocer los vales Kerberos procedente del bosque baluarte esos controladores de dominio. Después de instalar esta actualización, el controlador de dominio le permitirá este indicador se establezca en el atributo del objeto dominio de confianza en su contenedor de sistema y el controlador de dominio interpretará los grupos cuando realiza el .
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Referencias
Obtenga información acerca de la que utiliza Microsoft para describir las actualizaciones de software.