不能总是筛在 Windows 中的组使用 活动目录(AD) 阴影主体组特征

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3155495
症状
跨目录林信任边界从接收传入的 Kerberos 票证授予票证 (TGT) 的域控制器将始终从所有 PAC 筛选 Windows Server 2012 R2 组合表示它如其所在域中"域管理员"组的 SID 的域中有低数个 Rid 的已知帐户的 Sid。当域控制器是在另一个目录林和 Windows 服务器 2016年技术预览功能级别,该林包含具有一个表示已知帐户的 SID 的阴影主体组,则会出现此问题。
解决方案
若要解决此问题,请安装 5 月 2016年累积更新 Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2.

注意:此更新将添加到 Windows Server 2012 R2 域控制器TRUST_ATTRIBUTE_PIM_TRUST的新信任标志。票证使这些域控制器无法识别来自堡垒林的 Kerberos 票证。安装此更新后,域控制器将允许在上设置此标志trustAttributes 在执行时,其系统容器和域控制器中的受信任的域对象的属性将解释组 SID 筛选.
状态
Microsoft 已经确认这是"适用于"一节中列出的 Microsoft 产品中的问题。
参考
Learnabout术语 Microsoft 用于描述软件更新。

警告:本文已自动翻译

属性

文章 ID:3155495 - 上次审阅时间:05/18/2016 07:52:00 - 修订版本: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbexpertiseadvanced kbmt KB3155495 KbMtzh
反馈