Kunt u de functie Active Directory schaduw principal groepen voor groepen die altijd in Windows worden uitgefilterd

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3155495
Symptomen
Een Windows Server 2012 R2-domeincontroller die een binnenkomende Kerberos-ticket-granting-ticket (TGT) van over de grens van een forest-vertrouwensrelatie ontvangt altijd filteren uit de PAC alle SID's bekende rekeningen met lage aantal RID's in het domein, zoals de beveiligings-id van de groep 'Domeinbeheerders' in het domein die groep. Dit probleem treedt op wanneer een domeincontroller in een ander forest en het functionaliteitsniveau Windows Server 2016 technische Preview is en dat forest bevat een schaduw principal groep met een SID die een bekende account vertegenwoordigt.
Oplossing
U kunt dit probleem oplossen, installeren Mei 2016 updatepakket voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2.

Opmerking Deze update voegt de nieuwe vertrouwensrelatie vlag TRUST_ATTRIBUTE_PIM_TRUSTaan domeincontrollers van Windows Server 2012 R2. Het ticket kan deze domeincontrollers de Kerberos-tickets die afkomstig zijn van het forest bastionhost herkennen. Nadat u deze update hebt geïnstalleerd, kan de domeincontroller deze vlag worden ingesteld op detrustAttributes kenmerk van een vertrouwd domein-object in de systeemcontainer en de domeincontroller zal de groepen interpreteren bij het uitvoeren SID-filtering.
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Referenties
Learnabout determinologie die door Microsoft wordt gebruikt om software-updates te beschrijven.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3155495 - Laatst bijgewerkt: 05/18/2016 06:40:00 - Revisie: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbexpertiseadvanced kbmt KB3155495 KbMtnl
Feedback