Проверка вхождения пользователя в группу Active Directory

Дано: Есть ноутбук подключающийся к корпоративной сети при помощи VPN, на ноутбуке установлен Cisco AnyConnect Start Before Login Module, т.е. пользователь авторизуется непосредственно в домене, а не использует кэшированную запись. Хотя на другом ноуте, работает даже с кэшированной записью и без VPN. При попытке проверить вхождение пользователя в любой группе выдаёт ошибку:

Исключение при вызове "IsInRole" с "1" аргументами: "Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом."

для проверки используется команда powershell

[Security.Principal.WindowsPrincipal]::new(
[System.Security.Principal.WindowsIdentity]::GetCurrent()
).isinrole('Domain Users')

Test-ComputerSecureChannel показывает что с трастами полный порядок

Get-WMIObject Win32_ComputerSystem и $env:LOGONSERVER показывают верную информацию

на домен контроллере lastlogon и для пользователя и для компьютера свежие

как-то идеи закончились, может кто пнёт в нужном направлении?