Команда Identities
Команду Identities можно использовать для создания списка или изменения идентификатора безопасности пользователей и групп в развертывании Visual Studio Team Foundation Server 2012 (TFS).Возможно, потребуется изменить или обновить идентификатор безопасности для пользователей и групп в одном из следующих случаев:
изменение домена развертывания
переход из рабочей группы в домен или из домена в рабочую группу.
миграция учетных записей между доменами в Active Directory
.gif "Примечание")
ПримечаниеВыполнение этой команды не требуется при изменении доменов в пределах одного и того же леса Active Directory.TFS будет автоматически обрабатывать изменения идентификаторов безопасности для перемещения в пределах одного и того же леса.
Необходимые разрешения
Для использования команды Identities нужно быть членом группы безопасности Администраторы Team Foundation на сервере уровня приложений Team Foundation. Нужно также быть членом группы безопасности sysadmin в SQL Server на сервере уровня данных для Team Foundation.Дополнительные сведения см. в разделе Разрешения Team Foundation Server.
| Примечание |
|---|
Даже если вход в систему выполнен с учетными данными администратора, чтобы выполнить эту функцию, необходимо открыть окно командной строки с повышенными привилегиями. |
TFSConfig Identities [/change /fromdomain:DomainName1 /todomain:DomainName2 [/account:AccountName] [/toaccount:AccountName]] [/sqlInstance:ServerName /databaseName:DatabaseName] [/account:AccountName] [/usesqlalwayson]
Параметры
Заполнитель |
Описание |
|---|---|
DomainName |
Задает имя домена, из которого (/fromdomain) или в который (/todomain) производится изменение идентификаторов безопасности.Если необходимо указать рабочую группу, используйте имя компьютера в качестве имени домена. |
AccountName |
Задает имя учетной записи, которую требуется отобразить или изменить.При использовании этого параметра с /change после /account необходимо указать учетную запись, которую нужно изменить, а после /toaccount – учетную запись, которой ее следует заменить.Не следует включать имя домена или компьютера с именем учетной записи. |
ServerName |
Указывает имя сервера, на котором размещены базы данных конфигурации для TFS, и, если требуется использовать экземпляр, отличный от экземпляра по умолчанию, имя экземпляра.Если задается экземпляр, необходимо использовать следующий формат: имя_сервера\имя_экземпляра |
DatabaseName |
Указывает имя базы данных конфигурации.По умолчанию для этой базы данных используется имя TFS_ConfigurationDB. |
Параметр |
Описание |
|---|---|
/change |
Указывает, что требуется изменить, а не перечислить удостоверения. |
/fromdomain:DomainName |
Требуется при использовании /change.Задает исходный домен сертификатов, которые требуется изменить.При переходе из среды рабочей группы указывает имя компьютера. |
/todomain:DomainName |
Требуется при использовании /change.Задает имя домена, для которого требуется изменить удостоверения.При переходе в среду рабочей группы указывает имя компьютера. |
/account:AccountName |
Задает имя учетной записи, для которой требуется перечислить или изменить удостоверения. |
/toaccount:AccountName |
Задает имя учетной записи, для которой требуется изменить удостоверения. |
/SQLInstance:ServerName |
Указывает имя сервера, на котором работает SQL Server, и, если используется экземпляр, отличный от экземпляра по умолчанию, имя экземпляра.Если задается экземпляр, необходимо использовать следующий формат: Имя_сервера\Имя_экземпляра |
/DatabaseName:DatabaseName |
Указывает имя базы данных конфигурации для TFS. |
/usesqlalwayson |
Указывает, что базы данных являются частью групп обеспечения доступности AlwaysOn в SQL Server.Если настроено, этот параметр задает MultiSubnetFailover в строке подключения. Дополнительные сведения см. в разделе Группы обеспечения доступности AlwaysOn (SQL Server). |
Заметки
При необходимости перед настройкой сервера уровня приложений для развертывания можно задать в базе данных изменение идентификаторов.Например, можно указать базе данных изменить учетную запись службы при клонировании развертывания TFS.
При изменении идентификаторов, в Windows уже должна существовать конечная учетная запись или учетные записи.
Для обновления свойств учетных записей, которые изменяются с помощью этой команды, следует дождаться следующей синхронизации идентификаторов с Windows.Это требование относится к переходам от группы к пользователю, от пользователя к группе и от учетной записи домена к локальной учетной записи.
Примеры
В следующем примере показано создать список имен всех пользователей и групп Windows, которые хранятся в TFS, и отобразить сведения о том, совпадает ли идентификатор безопасности каждого пользователя или группы с идентификатором безопасности в Windows.Администраторы домена Contoso1 создали группы доменов, например "Contoso1\Developers" и "Contoso1\Testers", чтобы упростить управление разрешениями для TFS, служб отчетов SQL Server и Продукты SharePoint.
| Примечание |
|---|
Примеры приводятся только для иллюстрации и являются вымышленными.Реальная ассоциация не подразумевается. |
TFSConfig Identities
Пример результатов выполнения
TFSConfig - Team Foundation Server Configuration Tool
Copyright © Microsoft Corporation. All rights reserved.
Account Name Exists (see note 1) Matches (see note 2)
--------------------------------------------------------------------
CREATOR OWNER True True
Contoso1\hholt True True
BUILTIN\Administrators True True
Contoso1\Developers True True
Contoso1\Testers True True
Contoso1\PMs True True
Contoso1\jpeoples True True
Contoso1\Domain Admins True True
Contoso1\SVCACCT1 True True
9 security identifiers (SIDs) were found stored in Team Foundation Server. Of these, 9 were found in Windows. 0 had differing SIDs.
В следующем примере демонстрируется изменение идентификаторов безопасности для всех учетных записей в Team Foundation Server из домена Contoso1 на идентификаторы безопасности для учетных записей с совпадающими именами в домене ContosoPrime.Идентификаторы SID будут обновлены только для совпадающих имен учетных записей.Например, если учетная запись "hholt" существует как Contoso1\hholt и ContosoPrime\hholt, SID учетной записи будет изменен на SID для ContosoPrime\hholt.Если учетная запись "ContosoPrime\hholt" не существует, идентификатор безопасности не будет обновлен для Contoso1\hholt.
TFSConfig Identities /change /fromdomain:Contoso1 /todomain:ContosoPrime
В следующем примере демонстрируется замена учетной записи для одной учетной записи пользователя Contoso1\hholt учетной записью для учетной записи пользователя ContosoPrime\jpeoples.
TFSConfig Identities /change /fromdomain:Contoso1 /todomain:ContosoPrime /account:hholt /toaccount:jpeoples
В следующем примере демонстрируется изменение идентификатора безопасности учетной записи службы "NT AUTHORITY\NETWORK SERVICE", используемой в развертывании Team Foundation Server при изменении домена развертывания Contoso1 на ContosoPrime.Чтобы изменить системную учетную запись, например сетевую службу, необходимо выполнить процесс из двух этапов.Сначала нужно заменить учетную запись службы AUTHORITY\NETWORK NT SERVICE учетной записью домена в новом домене (TempSVC ), а затем изменить эту учетную запись снова на NETWORK SERVICE на сервере в новом домене.База данных конфигурации размещается на сервере с именем "ContosoMain" на именованном экземпляре "TeamDatabases в SQL Server.
TFSConfig Identities /change /fromdomain:"NT AUTHORITY" /todomain:ContosoPrime /account:"NETWORK SERVICE" /toaccount:TempSVC /SQLInstance:ContosoMain\TeamDatabases /DatabaseName:TFS_ConfigurationDB
TFSConfig Identities /change /fromdomain:ContosoPrime /todomain:"NT AUTHORITY" /account:TempSVC /toaccount:"NETWORK SERVICE"
См. также
Другие ресурсы
Использование средств командной строки Team Foundation Server
Administering Team Foundation Server
Службы и учетные записи служб сервера Team Foundation Server