Sintomas
Um servidor Windows 2012 R2 controlador de domínio que recebe uma entrada Kerberos senha-concessão de autorização (TGT) de através de um limite de fidedignidade de floresta sempre iria filtrar do carvão activado em pó todos os SID que representam contas bem conhecidas que tenham RIDs do número de baixa no respectivo domínio, tais como o SID do "grupo Admins do domínio" no respectivo domínio de grupo. Este problema ocorre quando um controlador de domínio noutra floresta e no nível funcional do Windows Server 2016 pré-visualização técnica e essa floresta detém um grupo de principal de sombra que tenha um SID que representam uma conta bem conhecida.
Resolução
Para corrigir este problema, instale .
Nota Esta actualização adiciona o novo sinalizador de fidedignidade TRUST_ATTRIBUTE_PIM_TRUST para controladores de domínio do Windows Server R2 de 2012. O "ticket" permite que os controladores de domínio reconhecer bilhetes Kerberos provenientes da floresta de contorno. Depois de instalar esta actualização, o controlador de domínio irá permitir que este sinalizador a definir no atributo de um objecto de domínio fidedigno no respectivo contentor do sistema e o controlador de domínio irá interpretar os grupos quando efectuar a .
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Referências
Obter informações sobre a utilizada pela Microsoft para descrever actualizações de software.
