Symptom
Windows Server 2012 R2-domänkontrollant som tar emot ett inkommande Kerberos biljettbeviljande biljett (TGT) från över en gräns för skogen förtroende alltid filtreras av PAC alla grupp-SID som representerar välkända konton som har låg nummer RID: er i domänen, till exempel "Domänadministratörer" i sin domän-SID. Det här problemet uppstår när en domänkontrollant i en annan skog och funktionalitetsnivån Windows Server 2016 teknisk förhandsgranskning och skogen innehåller en skugga primära grupp som har en SID som representerar välkända kontot.
Lösning
Åtgärda problemet genom att installera .Obs! Den här uppdateringen lägger till nya förtroende flaggan TRUST_ATTRIBUTE_PIM_TRUST till domänkontrollanter med Windows Server 2012 R2. Biljetten kan dessa domänkontrollanter att känna igen Kerberos-biljetter från skyddsvärddator skogen. När du har installerat den här uppdateringen domänkontrollanten kan den här flaggan anges på attributet för betrodda domänobjekt i dess systembehållare och domänkontrollanten tolkar grupperna när utförs.
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Referenser
Lär dig mer om den som Microsoft använder för att beskriva programuppdateringar.
