狀況
跨樹系信任界限接收連入 Kerberos 票證授與票證 (TGT) 的網域控制站永遠會篩選出所有的 PAC Windows Server 2012 R2 群組代表有低數字的 Rid 其網域,例如其網域中的 「 網域系統管理員 」 群組的 SID 的知名帳戶的 Sid。當網域控制站為另一個樹系中,並在 Windows 伺服器 2016年技術預覽功能層級,並且該樹系保留陰影的主要群組,包含代表已知的帳戶的 SID,就會發生這個問題。
解決方案
若要修正這個問題,請安裝。
注意這個更新會新增新的信任旗標TRUST_ATTRIBUTE_PIM_TRUST ,Windows Server 2012 R2 的網域控制站。票證可讓您辨識來自堡壘樹系的 Kerberos 票證的網域控制站。安裝這個更新之後,網域控制站會允許在其系統容器中,在受信任的網域物件的屬性上設定這個旗標,及執行時,網域控制站會解譯的群組。狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
參考
深入了解 Microsoft 會使用來描述軟體更新。