Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Authentification inter-forêts AD - groupes manquants dans le PAC

ayi

Lors d’une authentification inter-forêts AD, certains groupes sont manquants dans le PAC (Privilege Attribute Certificate). Les utilisateurs ne reçoivent pas toutes leurs appartenances de groupe.

ayi_2

Ce problème est généralement lié au SID Filtering (filtrage des SID). Par défaut, les approbations de forêt filtrent les SID pour empêcher les attaques d’élévation de privilèges.
Pour résoudre :
<ol>
<li>Vérifiez que les groupes sont bien universels (les groupes globaux ne traversent pas les forêts)</li>
<li>Vérifiez les paramètres de filtrage SID de l’approbation</li>
<li>Activez l’historique SID si nécessaire : <code>netdom trust /EnableSIDHistory:yes</code></li>
</ol>