Sintomas
Um Windows Server 2012 R2 sempre filtraria controlador de domínio que recebe uma entrada Kerberos concessão de permissão (TGT) de em um limite de confiança de floresta de PAC todos os SIDs que representam contas bem conhecidas que tenham baixo número RIDs no seu domínio, como o SID do grupo "Domain Admins" em seu domínio de grupo. Esse problema ocorre quando um controlador de domínio está em outra floresta e com o nível funcional do Windows Server 2016 Technical Preview e floresta mantém um grupo principal de sombra que tem um SID que representa uma conta bem conhecida.
Resolução
Para corrigir esse problema, instale o .
Observação: Esta atualização adiciona o novo sinalizador de confiança TRUST_ATTRIBUTE_PIM_TRUST para controladores de domínio do Windows Server 2012 R2. A permissão permite que os controladores de domínio reconhecer os tíquetes Kerberos proveniente da floresta bastião. Depois de instalar esta atualização, o controlador de domínio permitirá que esse sinalizador esteja definido no atributo de um objeto de domínio confiável na seu recipiente do sistema e o controlador de domínio irá interpretar os grupos quando ele executa a .
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Referências
Saiba mais sobre a usada pela Microsoft para descrever as atualizações de software.