Может ли кто-нибудь указать на документацию или объяснить, как работает проверка в AD DS, когда необходимо авторизовать пользователя для выполнения некоторых действий. Насколько я помню, SID пользователя или токен должны содержать добавленные в него SID групп, но я хочу уточнить, следует ли проверять / принимать решение об авторизации AD DS или любой другой механизм авторизации, получающий SID пользователя, пытается выйти и проверить фактическую группу членство путем перечисления пользователей во всех группах, чтобы убедиться, что пользователь все еще является членом этой группы (насколько я понимаю, SID пользователя может содержать SID группы, из которой он уже был удален, но его SID еще не обновлен). Любая хорошая документация / объяснение по этому конкретному аспекту?