Вы настраиваете Active Directory Authentication Policy и, в качестве условия контроля доступа, устанавливаете необходимость членства в определённом Authentication Policy Silo. Далее, вы используете эту политику в silo, определённом выше, для соответствующих типов объектов. Вы настраиваете этот silo только на аудит ограничений.
В этом случае, утверждение типа AuthenticationSilo не выпускается для ваших объектов безопасности.
Почему это происходит?
Как описано в разделе 3.1.1.11.2.18 GetAuthSiloClaim технической спецификации по Active Directory, утверждение типа AuthenticationSilo выпускается только тогда, когда Authentication Silo находится в режиме принудительного применения ограничений (“Enforce policy restrictions”):
/*
Check if user is assigned to an enforced silo.
*/
assignedSilo := pADPrincipal!msDS-AssignedAuthNPolicySilo
if (assignedSilo = NULL ||
assignedSilo!msDS-AuthNPolicySiloEnforced = FALSE)
return NULL
endif
Решение
Я пока не нашёл способа изменить это поведение, просто помните о нём, пока настраиваете ваши Authentication Policies.