Аккаунты типа Foreign Security Principals представляют собой ссылки на аккаунты, расположенные в другом домене. Такие аккаунты создаются в домене при попытке обращения к ним, и располагаются в следующем контейнере:

CN=ForeignSecurityPrincipals,DC=arasaka,DC=local

При этом, если мы добавим в какую-либо группу аккаунт из доверенного домена - в консоли AD UC мы не увидим доверенный домен. Аккаунт будет выглядеть так, словно он принадлежит текущему домену. Это происходит потому что отображается не аккаунт другого домена, а Foreign Security Principal, который создался в текущем домене.

На таком аккаунте будет красная стрелка. Пример:

Вывести пользователей из группы, содержащей в себе FSP при помощи стандартного для таких ситуаций командлета Get-AdGroupMember - не получится.

Get-ADGroupMember -identity "some_group_with_FSP"
Get-ADGroupMember : Произошла неопределенная ошибка

Для вывода членов группы нам потребуется спайпить результат командлета Get-ADGroup для Get-ADObect следующим образом:

Get-ADGroup -Identity "some_group_with_FSP" -Properties Members -Server dc01.arasaka.local | Select-Object -ExpandProperty Members | Get-ADObject -Server dc01.arasaka.local | Where-Object ObjectClass -eq foreignSecurityPrincipal