Symptômes
Un contrôleur de domaine qui reçoit un entrée Kerberos ticket d’accord de ticket (TGT) au-delà d’une limite d’approbation de forêt serait toujours filtrer de la PAC tous les Windows Server 2012 R2 groupe SID représentant des comptes bien connus qui ont un faible-numéro RID dans son domaine, telles que le SID du groupe « Administrateurs de domaine » dans son domaine. Ce problème se produit lorsqu’un contrôleur de domaine est dans une autre forêt et au niveau fonctionnel Windows Server 2016 Technical Preview et cette forêt conserve un groupe principal de clichés instantanés qui possède un SID représentant un compte bien connu.
Résolution
Pour résoudre ce problème, installez .
Remarque : Cette mise à jour ajoute le nouvel indicateur de confiance TRUST_ATTRIBUTE_PIM_TRUST sur les contrôleurs de domaine Windows Server 2012 R2. Le ticket permet à ces contrôleurs de domaine de reconnaître les tickets Kerberos provenant de la forêt de bastions Internet. Après avoir installé cette mise à jour, le contrôleur de domaine permettra de cet indicateur à être défini sur l’attribut de l’objet domaine approuvé dans son conteneur système et le contrôleur de domaine interprétera les groupes lorsqu’il effectue le .
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Références
Obtenir des informations sur la que Microsoft utilise pour décrire les mises à jour logicielles.