用户的 AD 帐户已删除然后重新创建,现在无法访问 TFS

用户的 AD 帐户已删除然后重新创建,现在无法访问 TFS

我有一位用户几个月前曾访问过我们的 Team Foundation Server (TFS) 2013 实例(他能够通过 Web 界面访问查询、工作项、积压等)。最近,我们需要删除他的帐户并重新创建。他不再能使用重新创建的帐户访问 TFS(这是同一个域\用户名)。

我需要做什么才能再次授予他们访问权限?我尝试删除所有权限并重新添加,但无济于事。

答案1

如果您删除用户帐户,则会发生三件事。

  1. 帐户被删除。更重要的是,用户帐户的 SID 也被删除。
  2. 该帐户的 SID 引用已从所有安全组中删除。
  3. 任何资源权限中的账户 SID 引用都将成为孤立项。

如果您重新创建同名的用户帐户,它将具有不同的 SID。这就是为什么您需要重新为该用户分配对任何组或资源(文件、文件夹、打印机等)的权限。即使 SAM 帐户名(用户名)和密码与以前相同。

我需要做什么才能再次授予他们访问权限?我尝试删除所有权限并重新添加,但无济于事。

我可以非常肯定地说,当您重新添加这些权限时,您确实忽略了一个重要(可能很小)的地方。可能是组权限(请参阅上面的第 2 点)。

答案2

丹尼尔的回答是正确的,但你可以做得更好。TFS 有一个鲜为人知的实用程序来管理用户身份,描述如下https://msdn.microsoft.com/en-us/library/ms253054.aspx

TFSConfig Identities /change

可能已经太晚了,但想象一下这个动作的顺序。

  1. 帐户 DOMAIN\user 已从 AD 中删除 (SID 1234)
  2. TFS 将在其数据库中标记已删除的身份
  3. 创建帐户 DOMAIN\user-temp (SID 2345)
  4. 使用 TFSConfig 将 TFS 身份 DOMAIN\user 重新关联到 DOMAIN\user-temp
  5. 将 DOMAIN\user-temp 重命名为 DOMAIN\user

相关内容