Définir les autorisations d'administrateur pour Team Foundation Server

  • Article

Pour effectuer la maintenance du système, planifier des sauvegardes, ajouter des fonctionnalités et effectuer d'autres tâches, les administrateurs dans Visual Studio Team Foundation Server (TFS) doivent pouvoir configurer et contrôler tous les aspects de TFS. C'est pourquoi les administrateurs TFS ont besoin d'autorisations d'administrateur dans les programmes logiciels avec lesquels TFS interopère.

Vous pouvez rapidement accorder ces autorisations aux administrateurs en les ajoutant au groupe Team Foundation Administrators dans Team Foundation Server (TFS). Toutefois, vous ne devez accorder ce niveau d'autorisation qu'à la quantité minimale d'utilisateurs nécessaires pour assurer le fonctionnement de TFS.

Ajouter des utilisateurs au groupe Administrateurs local TFS et en tant qu'administrateur de la Console Administration Team Foundation Server

  1. Sur le serveur de couche Application, ajoutez l'utilisateur au groupe Administrateurs local.

    Suivez les instructions correspondant à votre système d'exploitation

  2. Ouvrez la console Administration et ajoutez un utilisateur de la console.

    Cliquez ou appuyez sur Tab, puis entrez le nom d'utilisateur

  3. Examinez la progression pour vous assurer que le compte d'utilisateur est ajouté à tous les aspects du déploiement, y compris SharePoint et les ressources de création de rapports.

    Vérification de la progression

    Si vous exécutez un déploiement sur un serveur unique standard ou un déploiement sur plusieurs serveurs sans SharePoint ou la création de rapports, vous avez terminé. En revanche, si vous avez plusieurs couches Application, vous devez répéter ces deux étapes sur chaque serveur de couche Application. Et si vous avez SharePoint ou la création de rapports sur d'autres serveurs, vous devrez peut-être ajouter manuellement et séparément des utilisateurs administrateurs à ces produits.

Accorder des autorisations d'administration dans SharePoint Foundation

  1. Sur le serveur qui exécute les Produits SharePoint, ouvrez Administration centrale de SharePoint.

  2. Accordez des autorisations qui sont appropriées pour cet utilisateur au niveau de la batterie ou de l'application web, selon vos besoins de sécurité.

    Pour une interopérabilité optimale, envisagez d'ajouter des utilisateurs du groupe Team Foundation Administrators aux groupes suivants dans les Produits SharePoint :

    • Administrateurs de batterie

    • Groupe Administrateurs de la collection de sites pour toutes les collections de sites que le déploiement de Team Foundation Server utilise

    Suivez les instructions correspondant à votre version de SharePointSuivez les instructions correspondant à votre version de SharePoint

Accorder des autorisations d'administration dans Reporting Services

  1. Démarrez Internet Explorer.

  2. Dans la barre d'adresses, indiquez l'URL suivante, où serveur_de_rapports est le nom du serveur qui exécute Reporting Services : http://serveur_de_rapports/Reports/Pages/Folder.aspx

    Important

    Si vous utilisez une instance nommée, vous devez inclure son nom dans le chemin d'accès des rapports.Vous utilisez la syntaxe suivante, où serveur_de_rapports est le nom du serveur de rapports pour Team Foundation, et nom_instance le nom de l'instance de SQL Server : http://serveur_de_rapports/Reports_nom_instance/Pages/Folder.aspx

  3. Sélectionnez Paramètres du dossier, puis Nouvelle attribution de rôle.

  4. Ajoutez le nom du compte de l'utilisateur ou du groupe auquel vous voulez accorder des autorisations d'administration et accordez-lui l'appartenance au rôle Gestionnaire de contenu Team Foundation.

    Cliquez et choisissez, ou appuyez sur la touche Tab, la barre espace et entrée

Q et R

Q : Qui dois-je ajouter au rôle d'administrateur dans TFS ?

R : Les administrateurs maintiennent au moins un serveur qui exécute Team Foundation Server et ils administrent les autorisations et la sécurité pour d'autres rôles au niveau serveur et au niveau des collections de projets d'équipe. Il vous faut au moins un administrateur pour votre déploiement. Selon vos besoins en matière de disponibilité, vous devrez peut-être ajouter davantage d'administrateurs pour être sûr que quelqu'un sera disponible pour effectuer des tâches de niveau administrateur dans un délai assez court.

Par exemple, vous devez ajouter quelqu'un comme administrateur si cette personne est censée effectuer une ou plusieurs des tâches suivantes :

  • créer ou supprimer des collections de projets d'équipe ;

  • sauvegarder TFS ;

  • modifier des niveaux d'accès pour Team Web Access ;

  • gérer l'entrepôt de création de rapports ;

  • modifier les applications SharePoint utilisées par TFS ;

  • afficher et modifier des autorisations au niveau du serveur ;

  • déclencher des événements d'alertes.

Q : Quelles sont les autorisations optimales nécessaires pour gérer TFS, y compris tous ses composants et dépendances ?

R : Dans l'idéal, un administrateur pour TFS doit être membre des groupes suivants ou disposer des autorisations suivantes :

  • Team Foundation Server : Team Foundation Administrators ou avoir le jeu d'autorisations approprié au niveau du serveur défini sur Autoriser.

  • Windows : le groupe Administrateurs local sur le serveur qui exécute la console Administration pour Team Foundation. La console Administration requiert des autorisations d'administration pour fonctionner correctement.

  • Produits SharePoint : groupes ou autorisations appropriés dans l'Administration centrale de SharePoint. L'ajout des utilisateurs à un groupe quelconque des Produits SharePoint n'est peut-être pas nécessaire selon vos conditions de sécurité et de configuration de déploiement. Pour une interopérabilité optimale, envisagez de les ajouter aux groupes de Produits SharePoint suivants :

    • Administrateurs de batterie

    • Groupe Administrateurs de collections de sites pour toutes les collections de sites utilisées par le déploiement de Team Foundation Server.

  • Reporting Services : Gestionnaire de contenu Team Foundation et sysadmin ou l'appartenance au groupe db_owner pour la base de données de configuration, les bases de données d'analyse et de création de rapport, et les bases de données pour les collections de projets d'équipe.

  • SQL Server: sysadmin et serveradmin pour toutes les bases de données utilisées par TFS.

Q : Existe-t-il plusieurs manières d'accorder des autorisations d'administrateur dans TFS ?

R : oui. Vous pouvez accorder des autorisations d'administration pour Team Foundation Server de deux façons : à partir de la console Administration ou directement via chaque programme pour lequel vous voulez accorder des autorisations. Il est plus simple d'accorder des autorisations via la console Administration mais cela dépend de certaines conditions. Envisagez d'utiliser la console Administration lorsque toutes les conditions suivantes sont remplies :

  • Votre déploiement de Team Foundation Server est dans un environnement approuvé où le compte de service pour Team Foundation Server dispose d'autorisations dans les Produits SharePoint et SQL Server Reporting Services.

  • Tous les programmes s'exécutent sur le même ordinateur (déploiement sur un seul serveur).

  • Les conditions de sécurité pour votre déploiement ne restreignent pas l'attribution d'une ou de plusieurs autorisations de la liste à puces suivante.

Par défaut, l'ajout des utilisateurs à partir de la console Administration leur accorde l'appartenance aux groupes suivants dans un déploiement sur un seul serveur Team Foundation Server :

  • Groupe Team Foundation Administrators dans Team Foundation Server

  • Groupes IIS_IUSRS et TFS_APPTIER_SERVICE_WPG dans les services IIS (Internet Information Services)

  • Rôle Gestionnaire de contenu dans SQL Server Reporting Services, si la création de rapports est configurée

  • Groupe Administrateurs de batterie dans les Produits SharePoint, si le déploiement est configuré pour utiliser les Produits SharePoint.

  • Rôles DBO et TFSExecRole pour toutes les bases de données que Team Foundation Server utilise, notamment les bases de données de collection

Important

Vous ne pouvez pas ajouter d'utilisateur au groupe Administrateurs local en ajoutant le compte de cet utilisateur en tant qu'utilisateur de console.Vous devez ajouter manuellement l'utilisateur à ce groupe pour que cet utilisateur dispose de toutes les autorisations requises pour ouvrir et utiliser la console.De plus, si vous voulez que l'utilisateur dispose des autorisations suffisantes pour créer une base de données dans le cadre de la création d'une collection de projets d'équipe, vous devez accorder à cet utilisateur l'appartenance au rôle sysadmin dans SQL Server.

Accorder directement des autorisations dans chaque programme lors de votre déploiement de Team Foundation Server vous prend plus de temps, mais cela vous permet de configurer précisément les autorisations exactes que vous voulez accorder à un utilisateur. Envisagez d'accorder directement des autorisations dans chaque programme lorsque chacune des conditions suivantes est remplie :

  • Votre déploiement de Team Foundation Server est un déploiement de plusieurs serveurs.

  • Votre déploiement est dans un environnement qui comporte des restrictions de sécurité entre Team Foundation Server et les serveurs qui exécutent SQL Server et les Produits SharePoint.

  • Vous voulez configurer des niveaux d'autorisations et d'appartenances aux groupes dans les Produits SharePoint, SQL Server Reporting Services, et Team Foundation Server différents de ceux accordés automatiquement à partir de la console Administration.

Q : Je suis administrateur, mais il me semble que je ne possède pas toutes les autorisations dont j'ai besoin pour ajouter un administrateur TFS.De quoi d'autre puis-je avoir besoin ?

R : Voici les autorisations requises :

  • Groupe Team Foundation Administrators ou autorisations Afficher les informations au niveau de l'instance et Modifier les informations au niveau de l'instance avec la valeur Autoriser.

  • Si vous voulez ajouter des autorisations pour SQL Server Reporting Services, le groupe Gestionnaires de contenu Team Foundation ou le groupe Administrateurs système.

  • Si vous voulez ajouter des autorisations pour les Produits SharePoint, le groupe Administrateurs de batterie, le groupe Administrateurs pour l'application web qui prend en charge Team Foundation Server, ou le groupe Administration SharePoint. L'appartenance au groupe dépendra de l'architecture de sécurité de votre déploiement et le groupe ou les groupes auxquels vous voulez ajouter l'utilisateur.

  • Rôle sysadmin dans SQL Server sur chaque serveur qui héberge des bases de données pour Team Foundation Server.

Important

Pour exécuter des tâches d'administration qui impliquent des modifications de base de données telles que la création de collections de projets d'équipe, votre compte d'utilisateur requiert des autorisations d'administration et le compte de service utilisé par l'Agent de travail en arrière-plan Visual Studio Team Foundation doit également disposer de certaines autorisations.Pour plus d'informations, consultez Comptes de service et dépendances.

Q : Quelles sont les autorisations minimales requises pour la connexion de TFS à SQL Server ?

R : Pour installer, mettre à niveau et configurer TFS, l'utilisateur qui exécute la Console Administration Team Foundation a besoin des autorisations et appartenances aux rôles ci-après.

  • Appartenance au rôle serveur serveradmin

  • Autorisations ALTER ANY LOGIN, CREATE ANY DATABASE et VIEW ANY DEFINITION étendues au niveau serveur

  • Autorisation CONTROL sur la base de données MASTER

Si l'utilisateur ne possède pas ces autorisations et appartenances aux rôles, les opérations de configuration TFS sont bloquées. Quand vous ajoutez un utilisateur au groupe Utilisateurs de console Administration via la Console Administration Team Foundation Server, TFS essaie d'accorder ces autorisations et appartenances aux rôles.

Q : Pourquoi des autorisations et appartenances SQL Server sont-elles requises ?

R : L'installation, la mise à niveau et la configuration de TFS implique un ensemble complexe d'opérations qui requièrent un haut niveau de privilège. Ces opérations peuvent inclure la création de bases de données, la configuration de connexions pour des comptes de service, etc. Pour garantir une installation, une mise à niveau et une configuration idoines, TFS vérifie que les autorisations sont correctement affectées pour que les diverses opérations puissent être effectuées convenablement. L'exécution de ces vérifications requiert elle-même un haut niveau de privilège. À ce titre, ces autorisations et appartenances aux rôles sont obligatoires et ne peuvent pas être contournées.

Q : Est-il possible de révoquer les autorisations et appartenances aux rôles SQL Server une fois TFS installé ou mis à niveau ?

R : Oui, dans la mesure où les comptes de service TFS possèdent les autorisations et appartenances aux rôles requises indiquées dans Comptes de service et dépendances. Seuls les administrateurs ont besoin des autorisations et appartenances aux rôles décrites ci-dessus quand ils doivent installer, mettre à niveau ou configurer TFS.

Q : Où puis-je obtenir des informations supplémentaires sur chaque autorisation TFS ?

R : Consultez Référence des autorisations pour Team Foundation Server.