Symptomen
Een Windows Server 2012 R2-domeincontroller die een binnenkomende Kerberos-ticket-granting-ticket (TGT) van over de grens van een forest-vertrouwensrelatie ontvangt altijd filteren uit de PAC alle SID's bekende rekeningen met lage aantal RID's in het domein, zoals de beveiligings-id van de groep 'Domeinbeheerders' in het domein die groep. Dit probleem treedt op wanneer een domeincontroller in een ander forest en het functionaliteitsniveau Windows Server 2016 technische Preview is en dat forest bevat een schaduw principal groep met een SID die een bekende account vertegenwoordigt.
Oplossing
U kunt dit probleem oplossen door Installeer .
Opmerking Deze update voegt de nieuwe vertrouwensrelatie vlag TRUST_ATTRIBUTE_PIM_TRUST aan domeincontrollers van Windows Server 2012 R2. Het ticket kan deze domeincontrollers de Kerberos-tickets die afkomstig zijn van het forest bastionhost herkennen. Nadat u deze update installeert, wordt de domeincontroller kan deze vlag worden ingesteld op het kenmerk van een vertrouwd domein-object in de systeemcontainer en de domeincontroller de groepen zal interpreteren als wordt.
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Referenties
Meer informatie over de die door Microsoft wordt gebruikt om softwareupdates te beschrijven.