Симптомы
Windows Server 2012 R2, контроллер домена, который получает входящие Kerberos билет на выдачу билета (TGT) через границы доверия леса всегда будет фильтровать из PAC все групповые идентификаторы SID, представляющий хорошо известных учетных записей, имеющих низкий номер RID в домене, например идентификатор SID группы «Администраторы домена» в домене. Эта проблема возникает, когда контроллер домена находится в другом лесу и на функциональном уровне Windows Server 2016 технической апробации и тени участника группы с SID, представляющий хорошо известных учетных записей содержит этого леса.
Решение
Чтобы устранить эту проблему, установите .Примечание. Это обновление добавляет новый флаг доверия TRUST_ATTRIBUTE_PIM_TRUST на контроллеры домена Windows Server 2012 R2. Билет включает контроллеры домена, распознавать билеты Kerberos, поступающих из леса узле-бастионе. После установки этого обновления, этот флаг для задания атрибута объекта доверенного домена в системе контейнера позволит контроллеру домена, а контроллер домена будет интерпретировать групп при выполнении .
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Ссылки
Дополнительные сведения о , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.
