Настройка групп для использования в развертываниях TFS

Управлять пользователями в TFS гораздо проще, если создать для них группы Windows или Active Directory, в особенности если в состав развертывания входят SharePoint Foundation и службы SQL Server Reporting Services.

Пользователи, группы и разрешения в развертываниях Team Foundation Server

Team Foundation Server, Продукты SharePoint и службы отчетов SQL Server сохраняют собственные данные о группах, пользователях и разрешениях. Чтобы облегчить управление пользователями и разрешениями во всех этих программах, можно создать в развертывании группы пользователей со схожими требованиями к доступу, предоставить этим группам соответствующий доступ в различных программах, а затем просто по мере необходимости добавлять или удалять пользователей из группы. Это гораздо легче, чем обслуживать отдельных пользователей или группы пользователей в трех отдельных программах.

Если сервер находится в домене Active Directory, одним из вариантов является создание специальных групп Active Directory для управления пользователями, например группы разработчиков и инженеров-испытателей для всех проектов в коллекции командных проектов или группы пользователей, которые могут создавать и администрировать проекты в коллекции. Аналогично, можно создать учетную запись Active Directory для служб, которые не могут быть настроены для использования системной учетной записи "Сетевая служба" в качестве учетной записи службы. Для этого создайте учетную запись Active Directory для SharePoint Foundation, а также учетную запись с доступом только на чтение к источнику данных для отчетов в службах SQL Server Reporting Services.

Важно!

Если принято решение использовать в TFS группы Active Directory, желательно создать специальные группы, предназначенные исключительно для управления пользователями в TFS.Использование ранее существующих групп, созданных для других целей, в особенности если ими управляют другие, не знакомые с TFS администраторы, может привести к непредвиденным последствиям для пользователей при изменении членства для предоставления доступа к какой-либо другой функции.

По умолчанию во время установки в качестве учетной записи службы для Team Foundation Server и SQL Server выбирается системная учетная запись "Сетевая служба". Если в качестве учетной записи службы необходимо использовать конкретную учетную запись — в целях безопасности или по каким-либо другим причинам, например в случае горизонтально масштабированного развертывания — это можно сделать. Возможно, имеет смысл также создать специальную учетную запись Active Directory для использования в качестве учетной записи службы для SharePoint Foundation, а также в качестве учетной записи читателя источника данных для SQL Server Reporting Services.

Если сервер находится в домене Active Directory, но у вас нет разрешений на создание групп или учетных записей Active Directory, или если сервер устанавливается в рабочей группе, а не в домене, для управления пользователями серверов SQL Server, SharePoint Foundation и Team Foundation Server можно создать и использовать локальные группы. Аналогично, можно создать локальную учетную запись для использования в качестве учетной записи службы. Необходимо, однако, иметь в виду, что локальные группы и учетные записи менее надежны, чем доменные группы и учетные записи. Например, в случае отказа сервера придется создавать группы и учетные записи с нуля на новом сервере. При использовании же групп и учетных записей Active Directory эти группы и учетные записи сохраняются даже при отказе сервера, на котором размещен сервер Team Foundation Server.

Например, после изучения вместе с руководителями проекта бизнес-требований нового развертывания, а также требований безопасности, вы можете принять решение создать три группы для управления большинством пользователей в развертывании:

• общую группу для разработчиков и инженеров-испытателей, которые будут в полной мере участвовать во всех проектах в коллекции командных проектов по умолчанию. К этой группе будет относиться большинство пользователей. Эту группу можно назвать TFS_ProjectContributors;

• небольшую группу администраторов проектов, которые будут иметь разрешения на создание и управление проектами в коллекции. Эту группу можно назвать TFS_ProjectAdmins;

• специальную ограниченную группу подрядчиков, которые будут иметь доступ только к одному из проектов. Эту группу можно назвать TFS_RestrictedAccess.

Позднее, по мере расширения развертывания, может потребоваться создать и другие группы.

Создание группы в Active Directory

• Создайте группу безопасности, которая будет представлять собой группу локального домена, глобальную группу или универсальную группу в Active Directory, в зависимости от того, что лучше соответствует потребностям компании. Например, если группа должна содержать пользователей из нескольких доменов, лучше всего подойдет группа универсального типа. Дополнительные сведения см. в разделе Создание группы (доменные службы Active Directory).

Создание локальной группы на сервере

• Создайте локальную группу и присвойте ей имя, по которому можно будет легко определить ее назначение. По умолчанию любая создаваемая группа будет иметь разрешения, эквивалентные разрешениям группы предусмотренной по умолчанию группы "Пользователи" на этом компьютере. Дополнительные сведения см. в разделе Создание локальной группы.

Создание учетной записи для использования в качестве учетной записи службы в Active Directory

• Создайте учетную запись в Active Directory, задайте политику паролей согласно требованиям компании и убедитесь, что для этой учетной записи установлен флажок Учетная запись доверена для делегирования. Дополнительные сведения см. в разделе Создание учетной записи пользователя (доменные службы Active Directory) и Общее представление об учетных записях пользователей (доменные службы Active Directory).

Создание локальной учетной записи для использования в качестве учетной записи службы на сервере

• Создайте локальную учетную запись для использования в качестве учетной записи службы, а затем изменяйте ее членство в группах и другие свойства в соответствии с требованиями безопасности, предъявляемыми вашей компанией. Дополнительные сведения см. в разделе Создание учетной записи локального пользователя.

Затем попробуйте выполнить следующие действия

• Добавление пользователей в командные проекты

Вопросы & ответы

В. Можно ли использовать группы для ограничения доступа к проектам или функциям в TFS?

О. Да, можно. Можно создавать отдельные группы для ограничения доступа к проектам, управления уровнями доступа, а также для других целей.

В. Существует ли более простой способ управлять разрешениями для TFS, SharePoint и отчетов?

О. В самом TFS нет, однако рассмотрите возможность установки и использования Средства администрирования Team Foundation Server из CodePlex.