Sharepoint2013 AD组用户不同步
背景:
SP2013列表库使用AD安全组授权访问,向AD安全组添加一个用户A,在Sharepoint AD同步(增量和完全)后,用户A仍然无法访问列表库;
原因:
参考:安全令牌上的缓存
SP2013默认使用Claims 声明式身份验证,AD组的信息被装到安全令牌中,而安全令牌服务(STS:Security Token Service)默认是有10个小时的缓存期的。
解决方案3种:
- 等它过期(推荐);
- IIS重启会自动清理缓存的令牌(推荐);
- 缩短缓存时间(不推荐)
$mysts = Get-SPSecurityTokenServiceConfig
$mysts.WindowsTokenLifetime = (New-TimeSpan -Minutes 2)
$mysts.LogonTokenCacheExpirationWindow= (New-TimeSpan -Minutes 1)
$mysts.Update()