Symptomer
En Windows Server 2012 R2 domenekontrolleren som mottar en innkommende Kerberos tilgangsbillett (TGT) fra over en grenselinje for klarering av skog alltid å filtrere ut av PAC alle gruppere sidene som representerer velkjente kontoer som har lav-nummer Rider i sitt domene, for eksempel siden i gruppen "Domain Admins" i sitt domene. Dette problemet oppstår når en domenekontroller er i en annen skog og på Windows Server 2016 tekniske Preview funksjonsnivået og skogen som inneholder en sikkerhetskontohaver skygge-gruppe som har en SID som representerer et velkjent konto.
Oppløsning
Hvis du vil løse dette problemet, installerer du .
Obs! Denne oppdateringen legger til nye klarering flagget TRUST_ATTRIBUTE_PIM_TRUST til domenekontrollere for Windows Server 2012 R2. Billetten kan disse domenekontrollere til å gjenkjenne Kerberos-billetter fra bastion-skogen. Når du har installert denne oppdateringen, domenekontrolleren, kan dette flagget angis på -attributtet for et klarert domene-objektet i systembeholderen, og domenekontrolleren vil tolke gruppene når det utfører .
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Referanser
Lær mer om som Microsoft bruker til å beskrive oppdateringer av programvare.