在将用户添加到AD Group后,遇到个问题,在AD group有权限的站点,此用户仍然无法访问。
经过查询是因为SharePointFarm中Windows的settings影响的 - LogonTokenCacheExpirationWindow和WindowsTokenLifetTime
我们可以通过执行下面命令查看当前Windows的Securitytoken:
$mysts =Get-SPSecurityTokenServiceConfig
$mysts
从此处设置值可以算出securitytoken过期时间:
WindowsTokenLifetTime - LogonTokenCacheExpirationWindow = 10 hours -10 mins = 9 hours 50 mins
经过9小时50分钟Security token过期后,用户重新读取认证,此时重新登录站点,可以成功登录。
如果需要减少同步时间可以通过命令更新对应值,比如修改为2小时:
- $token = Get-SPSecurityTokenServiceConfig
- $token.WindowsTokenLifetime = (New-TimeSpan -hours 2)
- $mysts.LogonTokenCacheExpirationWindow
- $mysts.Update()
感谢阅读。
