Objawy
Windows Server 2012 R2, który kontroler domeny, który odbiera przychodzące Kerberos bilet do przyznania biletu (TGT) od granicy zaufania lasu, zawsze będzie filtrować spośród wszystkich SAW grupy identyfikatorów SID reprezentujących dobrze znanych kont, które mają niski numer RID w domenie, takich jak identyfikator SID grupy "Administratorzy domeny" w jego domenie. Ten problem występuje, gdy kontroler domeny jest w innym lesie i na poziomie funkcjonalności systemu Windows Server 2016 Technical Preview i grupy głównej cienia, która ma identyfikator SID konta dobrze znanych posiada tego lasu.
Rozwiązanie
Aby rozwiązać ten problem, należy zainstalować .
Uwaga: Ta aktualizacja dodaje nową flagę zaufania TRUST_ATTRIBUTE_PIM_TRUST się z kontrolerami domeny systemu Windows Server 2012 R2. Bilet włącza te kontrolery domeny do rozpoznawania biletów Kerberos pochodzących z lasu bastionu. Po zainstalowaniu tej aktualizacji, kontroler domeny umożliwi ta flaga ma być ustawiony na atrybut obiektu domeny zaufanej w jego kontenera systemu i kontroler domeny będzie interpretował grup podczas wykonywania .
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Powiązane artykuły
Więcej informacji na temat stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.