Die Prüfung der SID schlägt fehl durch Windows. Du hast eine SID angegeben, welche so aussieht : S-3-IA (wobei IA ein 64bit Integer von IdentifierAuthority ist).

Tatsächlich ist die Revisions-ID 3 nicht gültig. Ich habe dies auch noch nie gesehen. Zudem identifiziert die SID keinen Benutzer, sondern alleine die Autorität, welche solche SIDs vergibt. Windows NT vergibt z.B. SIDs mit S-1-5. Damit kann man alleine aber noch keine Prüfung z.B. mit Benutzern machen. Es fehlt also noch die Subautorität, d.h. eine für den Computer oder Domäne eindeutige Nummer. Diese Subautorität vergibt dann nochmals eine relative ID (RID) für die Benutzer.

Sehen denn alle Revision 3 SIDs bei dir so aus (keine SubAuth)? Sonst würde ich vorsichtig sagen, dass man diese vorher entfernen muss (wohl erstmal per Hand). Allerdings kenne ich mich mit AD zu wenig aus, um zu sagen, dass dies ohne Gefahr möglich ist. Auf jeden Fall sollten die AD Funktionen und AccessCheck damit umgehen können, weil sie einfach die SID Strukturen auf Gleichheit prüfen (zumindest AccessCheck). Die Standardfunktionen der WinAPI für die Manipulation von SIDs prüfen jedoch immer die Revision auf 1, so dass es zu diesem Fehler kommt.