Considérations sur les approbations et les forêts pour Team Foundation Server
[Cette documentation constitue un aperçu et pourra faire l'objet de modifications dans les versions ultérieures. Des rubriques vierges sont incluses en tant qu'espaces réservés.]
Visual Studio Team Foundation Server fournit une base à la collaboration inter-groupes dans des domaines différents ou même des forêts différentes. Vous pouvez vous assurer de la sécurité et de la stabilité du serveur et de votre domaine en suivant quelques indications importantes. Dans une configuration optimale, les couches Application et Données de Team Foundation sont dans le même domaine, mais les clients qui se connectent peuvent se trouver dans différents emplacements du domaine.
Team Foundation Server est pris en charge dans les modes Active Directory et les niveaux fonctionnels suivants :
Windows 2000 Active Directory en mode natif.
Windows Server 2003 Active Directory en mode natif Windows 2000.
Windows Server 2003 Active Directory en niveau fonctionnel Windows Server 2003.
Windows Server 2003 R2 dans le niveau fonctionnel de forêt Active Directory Windows Server 2003 R2.
Notes
Team Foundation Server n'est pas compatible avec les modes d'authentification ou niveaux fonctionnels de domaine qui prennent en charge Windows NT Server 4.0.
Dans cette rubrique
Approbations de domaine
Configuration requise pour les relations d'approbation entre les composants Team Foundation Server
Approbations entre les clients et le serveur de couche Application Team Foundation
Approbations entre les clients et Team Foundation Server Proxy
Approbations entre Team Foundation Server Proxy et le serveur de couche Application Team Foundation
Approbations entre le serveur de couche Application Team Foundation et le serveur de couche Données Team Foundation
Approbations entre Team Foundation Build et le serveur de couche Application Team Foundation
Autres configurations et considérations sur les domaines
Configurations de domaine non prises en charge
Approbations de domaine
Team Foundation Server n'a pas de configuration requise spécifique en termes d'approbations de domaine prises en charge. Les types d'approbation qui peuvent être utilisés dépendent des types de forêt et de domaine déployés dans le réseau de votre société. Certaines relations d'approbation peuvent être requises par Team Foundation Server en fonction du mode de déploiement des composants de Team Foundation sur le réseau de votre société.
En général, les utilisateurs et les services de Team Foundation Server doivent être authentifiés pour pouvoir accéder aux composants du serveur. Du point de vue de la relation d'approbation, Team Foundation Server doit approuver le domaine où l'utilisateur ou le compte de service est défini.
Configuration requise pour les relations d'approbation entre les composants Team Foundation Server
Cette section décrit les relations d'approbation minimales requises entre les différents composants de Team Foundation Server. Elle décrit également les implications spéciales de la relation d'approbation pour votre configuration de déploiement. Lorsque vous déterminez si une relation d'approbation est suffisante entre les composants de Team Foundation, par exemple, si vous souhaitez vérifier une relation d'approbation entre un ordinateur client Team Foundation potentiel et Team Foundation Server, vous pouvez utiliser un navigateur Web pour vérifier si ce client peut accéder à un dossier ou un partage sur le serveur hébergeant les composants de couche Application de Team Foundation logique. Si le client ne peut pas accéder au partage, la configuration ne sera pas valide pour Team Foundation Server.
Dans Team Foundation Server, vous pouvez gérer des appartenances aux groupes et des autorisations d'accès au serveur et à ses ressources dans Team Explorer, dans la console Administration de Team Foundation ou via les utilitaires en ligne de commande TFSSecurity et **TF **. Cet utilisateur spécifié est contrôlé sur le serveur de couche Application pour vérifier qu'il appartient à un domaine approuvé.
Team Foundation Server synchronise des propriétés d'utilisateurs et de groupes d'Active Directory. La spécification d'approbation critique correspond au fait que le compte de service utilisé par Team Foundation Server (TFSService) peut s'authentifier avec chaque domaine qui relie les utilisateurs et les groupes au déploiement. Idéalement, le compte de service doit être approuvé dans tous les domaines. En l'absence de cette approbation, vous pouvez toujours ajouter des comptes de domaine qui peuvent être vérifiés par Windows sur Team Foundation Server. Ces comptes d'utilisateurs peuvent accéder à Team Foundation Server, mais les propriétés détaillées des utilisateurs et des appartenances aux groupes ne peuvent pas être synchronisées à moins que le compte de service ne soit approuvé. Les noms d'affichage de ces utilisateurs n'apparaissent pas ; seul le nom de connexion s'affiche. De plus, si vous ajoutez des groupes de domaines qui n'approuvent pas le compte de service de Team Foundation, l'appartenance de ces groupes ne sera pas synchronisée et les modifications apportées à ces groupes ou groupes imbriqués ne seront pas reprises. Cela rend la gestion de Team Foundation Server à l'aide de groupes Active Directory beaucoup moins efficace.
Approbations entre les clients et le serveur de couche Application Team Foundation
Lorsque des applications clientes, comme Team Explorer, se connectent au serveur de couche Application Team Foundation, le serveur tente d'authentifier l'identité de l'utilisateur exécutant l'application cliente. Si le domaine auquel l'utilisateur appartient est approuvé par le domaine du serveur de couche Application Team Foundation, l'utilisateur est automatiquement authentifié dans le cadre de l'authentification Windows intégrée. Si cette approbation n'existe pas, l'application cliente affiche une boîte de dialogue relative au nom d'utilisateur et au mot de passe pour inviter l'utilisateur à entrer d'autres informations d'identification pour se connecter au serveur. Après l'authentification, Team Foundation Server vérifie si l'utilisateur authentifié est autorisé à accéder au serveur. Pour ce faire, l'utilisateur doit être membre du groupe Team Foundation Valid Users. Un utilisateur est ajouté automatiquement à ce groupe lorsque son identité est ajoutée à un groupe de Team Foundation Server existant ou qu'elle est ajoutée à un serveur ou un projet. Pour plus d'informations, consultez Configuration d'utilisateurs, de groupes et d'autorisations.
Les services du serveur de couche Application de Team Foundation s'exécutent sous le compte TFSService. Par conséquent, le domaine du serveur de couche Application de Team Foundation doit approuver le domaine auquel le compte TFSService appartient. La plupart du temps, le serveur de couche Application de Team Foundation et le compte TFSService appartiennent au même domaine.
Domaine du composant |
Confiance |
Domaine du composant |
|---|---|---|
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
Domaine de l'utilisateur de Team Foundation |
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
Domaine du compte TFSService |
Pour éviter de taper un nom d'utilisateur et un mot de passe chaque fois qu'une application cliente de Team Foundation se connecte à Team Foundation Server, le domaine du client de Team Foundation doit approuver le domaine du serveur de couche Application de Team Foundation.
Approbations entre les clients et Team Foundation Server Proxy
Le domaine de l'ordinateur de Team Foundation Server Proxy doit approuver le domaine d'un utilisateur pour que le proxy puisse fonctionner.
Domaine du composant |
Confiance |
Domaine du composant |
|---|---|---|
Domaine de l'ordinateur de Team Foundation Server Proxy |
approbation à sens unique vers |
Domaine de l'utilisateur de Team Foundation |
Approbations entre Team Foundation Server Proxy et le serveur de couche Application Team Foundation
Dans le contexte d'Active Directory, Team Foundation Server Proxy est un autre client de Team Foundation Server.
Domaine du composant |
Confiance |
Domaine du composant |
|---|---|---|
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
Domaine du compte de service de Team Foundation Server Proxy |
Domaine de l'ordinateur de Team Foundation Server Proxy |
approbation à sens unique vers |
Domaine du compte d'utilisateur de Team Foundation Server Proxy |
Pour éviter de taper un nom d'utilisateur et un mot de passe chaque fois qu'une application cliente de Team Foundation se connecte à Team Foundation Server, le domaine du client de Team Foundation doit approuver le domaine du serveur de couche Application de Team Foundation.
Approbations entre le serveur de couche Application Team Foundation et le serveur de couche Données Team Foundation
Le serveur de couche Application de Team Foundation se connecte au serveur de couche Données de Team Foundation en utilisant un compte de service, communément appelé compte TFSService. Les services Web de Team Foundation Server s'exécutent également sous ce compte. Par conséquent, le domaine du serveur de couche Données de Team Foundation doit approuver le domaine du compte TFSService. De plus, tous les domaines dans votre déploiement de Team Foundation Server doivent approuver le compte TFSService lui-même, soit via une relation d'approbation de domaine, soit via une autorisation explicite. Le domaine du serveur de couche Données de Team Foundation doit également approuver le domaine du compte TFSReports. Le compte TFSReport est le compte utilisé pour accéder aux sources de données pour la création de rapports de Team Foundation Server.
En outre, Reporting Services s'exécute sur le serveur de couche Application de Team Foundation sous le compte de service réseau. Par conséquent, le domaine du serveur de couche Données de Team Foundation approuve le domaine du serveur de couche Application de Team Foundation. Si une relation d'approbation entre les couches de Team Foundation n'est pas souhaitable dans votre organisation, vous pouvez reconfigurer le système de sorte que Reporting Services s'exécute sous un compte de service nommé qui appartient à un domaine autre que le serveur de couche Application de Team Foundation. Toutefois, il s'agit d'une configuration assez complexe qui requiert la migration d'un déploiement sur serveur unique vers un déploiement sur deux serveurs et la reconfiguration manuelle de Report Server pour qu'il s'exécute à l'aide d'un compte de service nommé.
Domaine du composant |
Confiance |
Domaine du composant |
|---|---|---|
Domaine du serveur de couche Données de Team Foundation |
approbation à sens unique vers |
Domaine du compte TFSService |
Domaine du serveur de couche Données de Team Foundation |
approbation à sens unique vers |
Domaine du compte TFSReport |
Domaine du serveur de couche Données de Team Foundation |
approbation à sens unique vers |
Domaine du serveur de couche Application de Team Foundation |
Approbations entre Team Foundation Build et le serveur de couche Application Team Foundation
Team Foundation Build s'exécute sous un compte de service Windows. Par conséquent, le domaine de l'ordinateur Team Foundation Build doit approuver le domaine de ce compte de service. En général, ce compte de service est le compte TFSService, mais il peut être configuré manuellement pour s'exécuter sous un autre compte. Si Team Foundation Build ne s'exécute pas sous le compte TFSService, le nom du service doit être ajouté au groupe d'applications [Projet]\Build Services.
Notes
Lorsqu'une build est créée, la nouvelle build est placée dans le dossier partagé du dépôt de la build.Vous devez vérifier que ce dossier est partagé avec tous les utilisateurs et que le compte TFSService dispose d'un contrôle total sur le dossier.Le port « Partage de fichiers et d'imprimantes » doit être ouvert dans le Pare-feu Windows sur l'ordinateur Team Foundation Build pour autoriser le partage de fichiers.
Domaine du composant |
Confiance |
Domaine du composant |
|---|---|---|
Domaine de l'ordinateur Team Foundation Build |
approbation à sens unique vers |
Domaine du compte de service (généralement TFSService) |
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
Domaine du compte de service (généralement TFSService) |
Autres configurations et considérations sur les domaines
Toutes les autres configurations de domaine Active Directory ne sont pas prises en charge et ne doivent pas être utilisées. Vous devez vous assurer que le domaine dans lequel vous installez Team Foundation Server prend en charge Team Foundation Server et que les ordinateurs sur lesquels Team Foundation Server est installé se trouvent dans des environnements de domaine appropriés. Si Team Foundation Server prend en charge des tâches de plusieurs forêts, les approbations inter-forêts appropriées doivent être disponibles.
Pour des raisons de sécurité, installez Team Foundation Server dans un environnement de domaine Windows Server 2003. Afin d'éviter des emprunts d'identité, vous devez interdire les noms dupliqués et sécuriser les noms d'ordinateurs par créateur. Pour plus d'informations, consultez Windows Server 2003 Active Directory à l'adresse https://go.microsoft.com/fwlink/?linkid=47541.
Configurations de domaine non prises en charge
Les configurations de domaine qui prennent en charge les modes fonctionnels de Windows NT Server 4.0 ne sont pas prises en charge. Par exemple, les configurations de domaine suivantes ne sont pas prises en charge :
domaines de mode mixte Windows 2000 ;
contrôleurs de domaine qui exécutent Windows Server 2003 et qui sont configurés pour le niveau fonctionnel de mode mixte Windows 2000 ;
configuration de la couche Application dans un domaine et une couche Données dans un groupe de travail ;
configuration de la couche Application dans un groupe de travail et une couche Données dans un domaine.
Vous pouvez rechercher des exemples de topologies de domaine prises en charge dans Exemples de topologie simple, Exemples de topologie modérée et Exemples de topologie complexe.
Voir aussi
Concepts
Gestion de Team Foundation Server dans un groupe de travail
Autres ressources
Managing Team Foundation Server in an Active Directory Domain