danke für deinen Tipp. Zunächst dachte ich "sehr abwegig", doch im Nachhinein lagst du gar nicht so weit weg: Der Befehl
netdom trust domain.local /domain:domain.weitweg /enablesidhistory:yes
wurde zwar mit "ausgeführt" quittiert, doch funktional geändert hat sich nichts, wie in deinem Hinweis. Nach wie vor wurde "Der SID-Verlauf ist für diese Vertrauensstellung deaktiviert." angezeigt. Nach stundenlanger Suche habe ich die Lösung nun gefunden. Mit einem deutschsprachigen Betriebssystem ausgeführt muss der Befehl heißen:
netdom trust domain.local /domain:domain.weitweg /enablesidhistory:ja
Abgesetzt und alles geht - manchmal sind's die kleinen Dinge....