Lors d’une authentification inter-forêts AD, certains groupes sont manquants dans le PAC (Privilege Attribute Certificate). Les utilisateurs ne reçoivent pas toutes leurs appartenances de groupe.
Ce problème est généralement lié au SID Filtering (filtrage des SID). Par défaut, les approbations de forêt filtrent les SID pour empêcher les attaques d’élévation de privilèges.
Pour résoudre :
- Vérifiez que les groupes sont bien universels (les groupes globaux ne traversent pas les forêts)
- Vérifiez les paramètres de filtrage SID de l’approbation
- Activez l’historique SID si nécessaire :
netdom trust /EnableSIDHistory:yes