有人可以指出文档或解释在需要授权用户执行某些操作时 AD DS 中的验证工作方式吗?据我记得,用户的 SID 或令牌应该包含添加到其中的组的 SID,但我想澄清的是,是否要验证/做出授权决定 AD DS 或接收用户 SID 的任何其他授权机制都会尝试通过枚举所有组中的用户来检查实际的组成员身份,以确保用户仍然是该组的成员(据我所知,用户的 SID 可以包含他已被删除的组的 SID,但他的 SID 尚未刷新)。关于这个特定方面有什么好的文档/解释吗?
授权用户时进行 Microsoft AD DS 组成员身份验证