Symptom
Windows Server 2012 R2-domänkontrollant som tar emot ett inkommande Kerberos biljettbeviljande biljett (TGT) från över en gräns för skogen förtroende alltid filtreras av PAC alla grupp-SID som representerar välkända konton som har låg nummer RID: er i domänen, till exempel "Domänadministratörer" i sin domän-SID. Det här problemet uppstår när en domänkontrollant i en annan skog och funktionalitetsnivån Windows Server 2016 teknisk förhandsgranskning och skogen innehåller en skugga primära grupp som har en SID som representerar välkända kontot.
Lösning
Åtgärda problemet genom att installera .
Obs! Den här uppdateringen lägger till nya förtroende flaggan TRUST_ATTRIBUTE_PIM_TRUST till domänkontrollanter med Windows Server 2012 R2. Biljetten kan dessa domänkontrollanter att känna igen Kerberos-biljetter från skyddsvärddator skogen. När du har installerat den här uppdateringen domänkontrollanten kan den här flaggan anges på attributet för betrodda domänobjekt i dess systembehållare och domänkontrollanten tolkar grupperna när utförs.
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Referenser
Lär dig mer om den som Microsoft använder för att beskriva programuppdateringar.