Por que meus grupos de diretórios ativos não são exibidos ao consultar o usuário?

Eu tenho dois domínios A e B

O Domínio A contém um grupo de segurança SEC . Este grupo é usado para acessar um aplicativo da web. O grupo é um grupo de segurança e o tipo do grupo é o domínio local. Este domínio também contém a maioria dos usuários.

Domínio B contém alguns usuários, e esses usuários são membros diretos do grupo de segurança localizado no domínio A

No meu aplicativo da Web (ASP.NET MVC) eu uso o provedor de autenticação windows integrado, que verifica se um usuário é membro do grupo de segurança. Depois, localizo o usuário no diretório ativo e atribuo ao usuário várias funções com base nos grupos de diretórios ativos dos quais são membros.

Ao consultar a propriedade tokengroups nos usuários do domínio A , posso ver que eles são membros do grupo SEC .

Mas ao consultar os membros do domínio B , também usando a propriedade tokengroups, eu não vejo o grupo SEC na propriedade tokengroups.

Minhas perguntas

• Por que os membros do domínio B parecem não ser membros do grupo, quando realmente são? Eu uso a propriedade tokengroups ao procurar grupos em um usuário.

  O motivo pelo qual acredito é que posso ver os usuários na lista de membros quando observo as propriedades do grupo. Além disso, eles são autenticados no aplicativo da web, mas quando meu módulo tenta encontrar os grupos dos membros do domínio B , o grupo SEC simplesmente não está lá.

• A configuração atual, com todos os grupos sendo grupos de segurança e domínio local, é realmente o melhor caminho? O que eu preciso é de um monte de grupos "marcador" que eu possa adicionar grupos e usuários, a partir de vários domínios.

Para obter os grupos de segurança de um usuário, eu uso a propriedade tokengroups. Como este link