Einrichten von Gruppen für TFS-Bereitstellungen

Das Verwalten von Benutzern in TFS ist viel einfacher, wenn Sie dafür Windows- oder Active Directory-Gruppen erstellen. Dies gilt insbesondere, wenn Ihre Bereitstellung SharePoint Foundation und SQL Server Reporting Services umfasst.

Benutzer, Gruppen und Berechtigungen in Team Foundation Server-Bereitstellungen

Team Foundation Server, SharePoint-Produkte und alle SQL Server Reporting Services erhalten ihre eigenen Informationen zu Gruppen, Benutzern und Berechtigungen aufrecht. Um das Verwalten von Benutzern und Berechtigungen für diese Programme einfacher zu machen, können Sie Benutzergruppen mit ähnlichen Zugriffsanforderungen in der Bereitstellung erstellen und diesen Gruppen die erforderlichen Zugriffsberechtigungen für die verschiedenen Softwareprogramme erteilen und dann einfach nach Bedarf Benutzer zur Gruppe hinzufügen oder Benutzer aus einer Gruppe entfernen. Dies ist deutlich einfacher als einzelne Benutzer oder Benutzergruppen separat in drei verschiedenen Programmen zu verwalten.

Wenn sich der Server in einer Active Directory-Domäne befindet, können Sie bestimmte Active Directory-Gruppen erstellen, um die Benutzer zu verwalten. Dabei kann es sich um eine Gruppe von Entwicklern und Testern für alle Projekte in der Teamprojektsammlung oder um eine Gruppe von Benutzern handeln, die Projekte in der Auflistung erstellen und verwalten können. Entsprechend können Sie ein Active Directory-Konto für Dienste erstellen, das nicht für die Verwendung des Netzwerkdienst-Systemkontos als Dienstkonto konfiguriert werden kann. Erstellen Sie dazu ein Active Directory-Konto für SharePoint Foundation und als Datenquellenkonto mit Lesezugriff für Berichte in SQL Server Reporting Services.

Wichtig

Wenn Sie sich entscheiden, Active Directory-Gruppen in TFS zu verwenden, sollten Sie spezifische Gruppen zum Zwecke der Benutzerverwaltung in TFS erstellen.Wenn Sie bereits bestehende Gruppen verwenden, die zu einem anderen Zweck erstellt wurden und zudem von Benutzern verwaltet werden, die nicht mit TFS vertraut sind, kann dies zu unerwarteten Konsequenzen führen, wenn sich die Mitgliedschaft ändert, um eine andere Funktion zu unterstützen.

Die Standardauswahl während der Installation ist die Verwendung des Netzwerkdienst-Systemkontos als Dienstkonto für Team Foundation Server und SQL Server. Sie können ein bestimmtes Konto aus Sicherheitsgründen oder anderen Gründen als Dienstkonto verwenden, z. B. eine erweiterte Bereitstellung. Sie können auch ein spezifisches Active Directory-Konto erstellen, um es als Dienstkonto für SharePoint Foundation und als Datenquellen-Leserkonto für SQL Server Reporting Services zu verwenden.

Wenn sich der Server in einer Active Directory-Domäne befindet und Sie keine Berechtigungen haben, Active Directory-Gruppen oder -Konten zu erstellen, oder wenn Sie den Server in einer Arbeitsgruppe anstatt einer Domäne installieren, können Sie lokale Gruppen erstellen und verwenden, um Benutzer für SQL Server, SharePoint Foundation und Team Foundation Server zu verwalten. Entsprechend können Sie ein lokales Konto erstellen, um es als Dienstkonto zu verwenden. Beachten Sie jedoch, dass lokale Gruppen und Konten weniger stabil als Domänengruppen und -konten sind. Bei einem Serverfehler müssten Sie beispielsweise die Gruppen und Konten auf dem neuen Server vollkommen neu erstellen. Wenn Sie Active Directory-Gruppen und -Konten verwenden, werden die Gruppen und Konten beibehalten, auch wenn der Server ausfällt, der als Host für Team Foundation Server fungiert.

Nach Überprüfen der Geschäftsanforderungen für die neue Bereitstellung und der Sicherheitsforderungen mit den Projektmanagern können Sie z. B. entscheiden, drei Gruppen zum Verwalten der Mehrzahl an Benutzern in der Bereitstellung zu erstellen:

• Eine allgemeine Gruppe für Entwickler und Tester, die durchweg an allen Projekten in der Standardteamprojektsammlung teilnehmen. Diese Gruppe enthält die Mehrzahl der Benutzer. Sie können diese Gruppe TFS_ProjectContributors nennen.

• Eine kleine Gruppe von Projektadministratoren, die über Berechtigungen zum Erstellen und Verwalten von Projekten in der Auflistung verfügen. Sie können diese Gruppe TFS_ProjectAdmins nennen.

• Eine spezielle, eingeschränkte Gruppe von Vertragsnehmern, die lediglich über den Zugriff auf eines der Projekte verfügen. Sie können diese Gruppe TFS_RestrictedAccess nennen.

Später, wenn die Bereitstellung erweitert wird, entscheiden Sie sich möglicherweise dazu, andere Gruppen zu erstellen.

So erstellen Sie eine Gruppe in Active Directory

• Erstellen Sie entsprechend Ihren geschäftlichen Anforderungen eine Sicherheitsgruppe, die eine lokale Domäne, eine globale Gruppe oder eine universelle Gruppe in Active Directory ist. Wenn die Gruppe beispielsweise Benutzer aus mehreren Domänen enthalten soll, erfüllt eine universelle Gruppe Ihre Anforderungen am besten. Weitere Informationen finden Sie unter Erstellen einer neuen Gruppe (Active Directory-Domänendienste).

So erstellen Sie eine lokale Gruppe auf dem Server

• Erstellen Sie eine lokale Gruppe, und weisen Sie ihr einen Namen zu, aus dem ihr Zweck unmittelbar hervorgeht. Standardgemäß hat jede Gruppe, die Sie erstellen, die gleichen Berechtigungen der Benutzerstandardgruppe auf dem entsprechenden Computer. Weitere Informationen finden Sie unter Erstellen einer lokalen Gruppe.

So erstellen Sie ein Konto, das als Dienstkonto in Active Directory verwendet wird

• Erstellen Sie ein Konto in Active Directory, legen Sie die Kennwortrichtlinie entsprechend Ihren geschäftlichen Anforderungen fest, und stellen Sie sicher, dass Konto wird für Delegierungszwecke vertraut für das Konto ausgewählt ist. Weitere Informationen finden Sie unter Erstellen eines neuen Benutzerkontos (Active Directory-Domänendienste) und Grundlegendes zu Benutzerkonten (Active Directory-Domänendienste).

So erstellen Sie ein lokales Konto, das als Dienstkonto auf dem Server verwendet wird

• Erstellen Sie ein lokales Konto, das als Dienstkonto verwendet werden soll, und ändern Sie dann die Gruppenmitgliedschaft und andere Eigenschaften des Kontos entsprechend den Sicherheitsanforderungen Ihres Unternehmens. Weitere Informationen finden Sie unter Erstellen eines lokalen Benutzerkontos.

Versuchen Sie dies als Nächstes:

• Hinzufügen von Benutzern zu Teamprojekten

F & A

F: Kann ich Gruppen verwenden, um den Zugriff auf Projekte oder Funktionen in TFS einzuschränken?

A: Ja, das ist möglich. Sie können bestimmte Gruppen zum Einschränken des Zugriffs auf Projekte, zum Verwalten von Zugriffsebenen und für andere Zwecke erstellen.

F: Gibt es eine einfachere Möglichkeit, Berechtigungen für TFS, SharePoint und Berichterstellung zu verwalten?

A: In TFS selbst gibt es keine solche Möglichkeit, Sie können jedoch das Team Foundation Server-Verwaltungstool von CodePlex verwenden.