TFSSecurity無法解析身份

Question

我正在嘗試使用TFSSecurity來配置我們新的TFS 2017實例的安全性。當我通過將TFS服務器上的本地用戶帳戶添加到TFS組中時測試它時效果很好，但只要我更改爲嘗試添加域組或帳戶。這裏的命令，結果我得到：

PS C:> &"E:\TFS 2017\Tools\tfssecurity.exe" /g+ "n:[Project1]\Contributors" n:"DOMAIN1\TFS-Developers" /collection: http://myTfsServer:8080/tfs/PrimaryCollection

Microsoft (R) TFSSecurity - Team Foundation Server Security Tool Copyright (c) Microsoft Corporation. All rights reserved.

The target Team Foundation Server is http://myTfsServer:8080/tfs/PrimaryCollection .

Resolving identity "n:[Project1]\Contributors"...
[A] [Project1]\Contributors

Resolving identity "n:DOMAIN1\TFS-Developers"...

Error: The identity cannot be resolved.

我正在使用的DOMAIN1帳戶此命令，可以看到在Active Directory用戶和計算機的組因此它似乎不應該有一個問題解決身份。但是，該服務器未加入DOMAIN1上的網絡。它加入到名爲DOMAIN2的第二個域中，該域與DOMAIN1具有單向信任關係。我懷疑這可能是導致問題的原因，但我不確定如何解決此問題，或者如何診斷問題以確定是否知道此問題。有任何想法嗎？

Answer 1

事實證明，這不是一個域名信任問題。我使用了錯誤的組名。非常尷尬，但提醒你在假設它很複雜之前檢查那些愚蠢的東西。

Answer 2

你最好讓這兩個域互相信任。 具體來說，當你只做一種單向信任。在你的情況下，DOMAIN2需要信任域1，並支付注意力放在在這個thread提到：

the TFSSERVICE account must normally be a user in the more truested forest. Since accounts from the less trusted forest are not allowed to query this information from the more truested forest, you are unable to add users from the more trusted forest when the TFSSERVICE account comes from the less trusted forest.

這裏是一個博客，從不同的域添加用戶：http://blogs.agorainc.com/post/External-User-in-Team-Foundation-Server-(TFS)-with-Active-Directory.aspx