Nie można używać funkcji usługi Active Directory tle głównej grupy dla grup, które zawsze są filtrowane w systemie Windows

Objawy

Windows Server 2012 R2, który kontroler domeny, który odbiera przychodzące Kerberos bilet do przyznania biletu (TGT) od granicy zaufania lasu, zawsze będzie filtrować spośród wszystkich SAW grupy identyfikatorów SID reprezentujących dobrze znanych kont, które mają niski numer RID w domenie, takich jak identyfikator SID grupy "Administratorzy domeny" w jego domenie. Ten problem występuje, gdy kontroler domeny jest w innym lesie i na poziomie funkcjonalności systemu Windows Server 2016 Technical Preview i grupy głównej cienia, która ma identyfikator SID konta dobrze znanych posiada tego lasu.

Rozwiązanie

Aby rozwiązać ten problem, należy zainstalować .

Uwaga: Ta aktualizacja dodaje nową flagę zaufania TRUST_ATTRIBUTE_PIM_TRUST się z kontrolerami domeny systemu Windows Server 2012 R2. Bilet włącza te kontrolery domeny do rozpoznawania biletów Kerberos pochodzących z lasu bastionu. Po zainstalowaniu tej aktualizacji, kontroler domeny umożliwi ta flaga ma być ustawiony na atrybut obiektu domeny zaufanej w jego kontenera systemu i kontroler domeny będzie interpretował grup podczas wykonywania .

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.

Powiązane artykuły

Więcej informacji na temat stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×