Windows では常に除外するグループを Active Directory のシャドウのプリンシパルのグループ機能を使うことはできません。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3155495
現象
フォレストの信頼の境界を越えてから、受信した Kerberos チケット保証チケット (TGT) を受け取るドメイン コント ローラーがすべての PAC からフィルターは常に、Windows Server 2012 R2 では、Sid はそのドメイン内の"Domain Admins"グループの SID など、そのドメインの Rid の低数がある既知のアカウントを表すグループ化します。この問題は、ドメイン コント ローラーが別のフォレストと Windows Server 2016 のテクニカル プレビューの機能レベルにして、そのフォレストを表すよく知られたアカウントの SID を持つシャドウ プリンシパル グループに発生します。
解決方法
この問題を解決するのには次のようにインストールします。 Windows RT 8.1、Windows 8.1 では、Windows Server 2012 R2 の更新プログラムのロールアップを月 2016.

注: この更新プログラムは、Windows Server 2012 R2 のドメイン コント ローラーに新しい信頼フラグTRUST_ATTRIBUTE_PIM_TRUSTを追加します。チケットは、要塞のフォレストからの Kerberos チケットを認識するようにそれらのドメイン コント ローラーを有効にします。ドメイン コント ローラーに設定するには、このフラグによって、この更新プログラムをインストールした後、trustAttributes システム コンテナー、およびドメイン コント ローラーで、信頼されたドメイン オブジェクトの属性を実行するとき、グループの解釈は SID のフィルター処理.
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
関連情報
Learnabout、用語集 を参照してください。

警告: この記事は自動翻訳されています

プロパティ

文書番号:3155495 - 最終更新日: 05/18/2016 06:37:00 - リビジョン: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbexpertiseadvanced kbmt KB3155495 KbMtja
フィードバック