Sümptomid
Windows Server 2012 R2 domeenikontrollerit, millest saab sissetuleva Kerberose piletit andmine pilet (TGT) üle piiri metsa usaldus oleks alati filtreerida välja kõik PAC rühmas esindavad tuntud kontod, mis on väiksema numbri RIDs oma domeeni, näiteks "Domeeni administraatorid" rühma oma domeeni SID sid. See probleem ilmneb siis, kui domeenikontroller on teises metsas ja Windows Server 2016 tehniline töörühm funktsionaaltasemele ning et metsa varikoopia peamine rühm, mis on SID, mis esindavad tuntud konto.
Lahendus
Selle probleemi lahendamiseks installige .
Märkus. See värskendus lisab uue trust lipu TRUST_ATTRIBUTE_PIM_TRUST Windows Server 2012 R2 domeenikontrolleritesse. Pilet võimaldab nende domeenikontrollerid Kerberose piletit pärit Bastioni metsas ära tunda. Pärast selle värskenduse installimist domeenikontrolleri võimaldab seda lippu usaldusväärsest domeenist objekti atribuudi määramisel selle süsteemi pakend ja domeenikontrolleri tõlgendada rühmad, kui seda teeb .
Olek
Microsoft on kinnitanud, et see probleem esineb jaotises "Kehtib järgmiste toodete kohta" loetletud Microsofti toodetel.
Viited
Teave selle Microsofti tarkvaravärskenduste iseloomustamiseks.