Sintomi
Un controller di dominio che riceve un ingresso Kerberos ticket di concessione ticket (TGT) da oltre un limite di trust tra insiemi di strutture verranno sempre filtrate da tutte le PAC di Windows Server 2012 R2 gruppo SID che rappresenta ben noto account che dispongono di RID bassa-numero nel relativo dominio, ad esempio il SID del gruppo "Domain Admins" nel proprio dominio. Questo problema si verifica quando un controller di dominio in un altro insieme di strutture e al livello di funzionalità Windows Server 2016 Technical Preview e dell'insieme di strutture contiene un gruppo principale di ombreggiatura che dispone di un SID che rappresenta un account ben noto.
Risoluzione
Per risolvere questo problema, installare .
Nota: Questo aggiornamento aggiunge il nuovo flag di attendibilità TRUST_ATTRIBUTE_PIM_TRUST ai controller di dominio Windows Server 2012 R2. Il ticket consente di riconoscere i ticket Kerberos proveniente dalla foresta bastion i controller di dominio. Dopo aver installato questo aggiornamento, il controller di dominio consente questo flag deve essere impostato sull'attributo dell'oggetto dominio trusted nel proprio contenitore di sistema e il controller di dominio interpreterà i gruppi quando esegue .
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Riferimenti
Informazioni sulla utilizzata da Microsoft per descrivere gli aggiornamenti software.