若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

指派權限以支援 TFS 與 Project Server 整合

 

發佈時間: 2016年4月

指派權限是設定 Team Foundation Server 與 Project Server,以支援資料同步處理的第一個步驟。 您必須授與權限給多個帳戶 — 系統管理員、 服務帳戶,以及小組成員。 您也必須確定特定服務帳戶能夠存取 SharePoint 產品 for Project Server 所在伺服器上的 Shared Services Provider (SSP)。

您應在安裝 Project Server 整合的 Team Foundation Server 擴充功能之後授與權限。 如需詳細資訊,請參閱支援 TFS 與 Project Server 整合的系統和安裝需求

在開始之前,您會想要知道哪些 PWA 執行個體和 TFS Team 專案的集合會參與資料同步處理。 您也會希望自己能夠回答下列問題。

請確定您屬於下列群組:

  • Team Foundation Administrators 群組,授與 TFS 權限時所需。 您也必須可以存取 [Team Foundation 管理主控台]。 設定 Team Foundation Server 的系統管理員權限

  • 每個 Project Web Access 或 Project Web App (PWA) 執行個體的 Administrator for Project Web App,授與 Project Server 權限時所需。 您也必須能夠透過 PWA 存取 Project Server。

  • Project Server 之 SQL Server 資料庫的 Administrators 安全性群組,授與權限給 PWA 報告和發行資料庫時所需。

  • Farm Administrators 群組、支援 Project Server 之 Web 應用程式的 Administrators 群組,或 SharePoint Administration 群組,授與 SSP 權限時所需。 群組成員資格取決於部署的安全性架構。

  • 本機電腦上的 Administrator,使用 stsadm.exe 時所需。

  • 針對 Project Server 2010

    PWA 執行個體的 SharePoint Web 應用程式必須設定為 [傳統驗證模式] 。 [傳統模式驗證] 使用 Windows 驗證。 使用者帳戶會被 SharePoint Server 2010 視為 Active Directory 網域服務 (AD DS) 帳戶。

    若 PWA 的驗證設定為 [宣告式驗證] ,您將無法加以註冊。 如果您不確定設定哪一種驗證模式,或您需要切換驗證模式,請移至本節

  • 針對 Project Server 2013

    支援兩種權限:SharePoint 權限模式和專案權限模式。 這兩種模式都使用宣告式驗證。 您需要指派的權限會因設定的權限模式而有所不同。

    SharePoint 權限模式會建立 SharePoint 群組,它們直接對應到在 Project Server 權限模式中找到的預設安全性群組。 這些群組的用途,在授與使用者專案和 Project Server 功能之各種層級的存取權。 SharePoint 權限模式是 Project Server 2013 的新功能。

    依預設,新的 Project Web App 執行個體使用 SharePoint 權限模式。 在內部部署安裝中,可以使用 Set-SPProjectPermissionModeWindows PowerShell 指令程式,變更 Project Web App 的指定執行個體模式。

    Project Server 權限模式會提供一組可自訂的安全性群組,和其他與 SharePoint 群組不同的功能。 這個安全性平台的運作獨立於伺服器陣列中的 SharePoint 權限,並允許您微調 Project Web App 使用者的權限等級。 這是 Project Server 2010 中提供的相同權限模式。

    如需每個安全性模式支援功能的比較,請參閱規劃 Project Server 2013 中的使用者存取

    如果您不確定設定哪一種權限模式,或您需要切換權限模式,請移至本節

若要將以手動方式將使用者加入 TFS 和 Project Server 的作業減到最少,請建立 Windows 或 Active Directory 群組。 然後,您就可以將這些群組加到預先定義權限的 TFS 群組、Project Server 和 SharePoint 網站。 此外,您也可以跨多個網域和樹系,同步處理資源與 Active Directory。

如需詳細資訊,請參閱管理 Project Server 2013 之安全性群組與 Active Directory 的同步作業

識別已設定且需要存取支援 TFS 與 Project Server 之間資料同步處理的資源的服務帳戶、使用者帳戶或 Active Directory 群組。

識別下列服務帳戶:

  • TFS 服務帳戶

    開啟 Team Foundation 管理主控台 如果使用網路服務帳戶,請將它變更為網域帳戶

  • Project Server Event Handler 的服務帳戶

    在裝有 Project Server 的電腦上開啟 [電腦 > 管理服務] 並尋找 [Microsoft Project Server 事件服務]。

  • 執行 Project Server Web 應用程式集區的服務帳戶

    根據參與 TFS 資料同步處理的 PWA 執行個體而定,可能會有一個以上的服務帳戶。 您需要識別裝載 PWA 的 SharePoint appPool 和 PSI 服務 appPool。 GUID appPool 名稱可能與 PSI 服務 appPool 相關聯。

    1. 開啟 [SharePoint 中央網站管理]、[應用程式管理]、[管理服務應用程式]、[Project Server 應用程式]。

      尋找裝載 PWA 執行個體的 SharePoint 網站。 記下數字。 它可能位於一個或多個連接埠之下,例如 SharePoint 80 或 SharePoint Web 應用程式。

    2. 開啟 IIS 管理員,展開網站,尋找對應到您識別的 PWA 的 SharePoint 網站。

      • 針對 Project Server 2010:開啟應用程式集區的 [進階] 設定,您會發現 AppPool 的帳戶識別。

      • 針對 Project Server 2013:展開 SharePoint Web 服務並展開每個 GUID,直到找出包含 PSI 服務的 GUID 為止。 在 [進階設定],找出應用程式集區,其為 GUID 集區名稱。

        尋找 PSI 應用程式集區的 GUID

           

        在 [IIS] 的 [AppPools] 下,尋找用來執行這個 GUID 應用程式集區的帳戶。

        尋找 PSI 應用程式集區的服務帳戶

識別下列使用者帳戶或群組:

  • 將執行 TFSProjectServer registerPWA 命令的使用者帳戶

  • 將對應元件以支援 TFS 和 Project Server 整合,但不會註冊 PWA 的使用者帳戶

  • Project Professional 的使用者

  • 指派為專案資源,或指派 TFS 工作項目給他們的使用者

    這些使用者會提交狀態更新,而這些更新則會流入專案經理的狀態佇列

根據角色而定,您授與權限給參與資料同步處理的每個 PWA 執行個體、SharePoint Server、企業資源集區以及 TFS。

請根據您的部署中使用的版本和權限模式,執行下列工作。 您必須為您將註冊並對應至 Team 專案的每個 PWA 執行個體新增帳戶。

工作

設定以下組態:

2-1. 將全域權限授與 TFS 服務帳戶

2-2. 將類別權限授與 TFS 服務帳戶

2-3.將帳戶加入至 PWA 安全性群組

  • TFS 服務帳戶

  • Project Server Web 應用程式集區的服務帳戶

  • 設定整合的使用者帳戶

  • Project Professional 的使用者帳戶:Project Manager Portfolio Managers

  • 在專案計劃中指派為資源的使用者帳戶:Team Members

2-4. 將帳戶新增到 PWA 安全性群組 (SharePoint 模式)

  • TFS 服務帳戶

  • Project Server Web 應用程式集區的服務帳戶

  • Project Server 事件處理常式的服務帳戶,新增到 PWA 的系統管理員

  • 設定整合的使用者帳戶

  • Project Professional 的使用者帳戶:Project Manager Portfolio Managers

  • 在專案計劃中指派為資源的使用者帳戶:Team Members

2-5. 將使用者帳戶新增到 Active Directory 企業資源集區

需要: Project Server 2010 傳統模式 Project Server 2013 權限模式

  1. 從 [PWA 設定] 頁面中,依序開啟 [管理使用者]、[新增使用者]。

  2. 新增 TFS 服務帳戶。

  3. 在每個欄位中輸入必要的資訊。 請注意以下各點:

    1. 若帳戶為服務帳戶,請清除 [可指定使用者為資源] 核取方塊。

    2. 在 [使用者驗證] 中,輸入 TFS 服務帳戶的名稱。

    3. 指派下列 [全域] 權限:

      • 管理:管理企業自訂欄位、管理伺服器事件、管理網站服務,以及管理使用者和群組。

      • 一般:登入、新增工作指派,以及重新指派工作。

      • 專案:建置新專案的小組。

      • 檢視:檢視核准、檢視專案中心、檢視資源中心,以及檢視工作中心。

  4. 儲存您的變更。

需要: Project Server 2010 傳統模式 Project Server 2013 權限模式

  1. 從 PWA 首頁的 [快速啟動] 區域中,選擇 [伺服器設定] 。

  2. 下一步,依序選擇 [管理類別]、[新增分類]。

  3. 輸入服務帳戶分類的名稱,例如,輸入 [服務帳戶]。

  4. 在 [可用使用者] 之下,選擇 Team Foundation Server 之服務帳戶的名稱,然後選擇 [新增]。

    建立 TFS 服務帳戶分類
  5. 在 [專案] 之下,選擇 [Project Server 資料庫的所有目前與未來專案],然後按一下 [儲存]。

  6. 新增 TFS 服務帳戶,然後選取這些 [分類] 權限的核取方塊:

    • 專案:開啟專案和檢視專案網站

    • 資源:檢視企業資源資料

    TFS 服務帳戶的分類權限

需要:   Project Server 2010 傳統模式Project Server 2013 權限模式


  1. 從 [PWA 設定] 頁面中,開啟 [管理使用者]、[新增使用者],然後在每個欄位輸入必要的資訊:

    • 若帳戶為服務帳戶,請清除 [可指定使用者為資源] 核取方塊。

    • 在 [使用者驗證] 中,輸入 TFS 使用者或服務帳戶的帳戶名稱。

    • 若帳戶為系統管理員或服務帳戶,請清除 [可撫平的資源] 核取方塊。

  2. 對於 [安全性群組],將帳戶或群組加入到其中一個預設群組:

    1. Administrators:TFS 服務帳戶和使用者帳戶,這些使用者會設定整合、註冊或移除註冊 PWA。

    2. Project Managers:使用 Project Professional 和 PWA 的使用者。

    3. Team Members:指派為資源,及指派至 TFS 工作項目的使用者。

  3. 如果您有自訂的類別權限,請確認小組成員擁有下列安全性類別:[建立新的工作或工作指派] 、[建立物件連結] 、[開啟專案]、[檢視專案網站] 及 [在 Project Web App 中檢視專案排程] (Project Server 2010)。

    安全性分類,小組成員之我的專案

    針對 Project Server 2013 權限模式,選取:[開啟專案]、[檢視專案網站] 及 [在 Project Web App 中檢視專案排程]。

    若要修改類別中所選取使用者的類別權限,請在 [選取的類別] 清單中選取類別,然後針對您想要允許的權限選取 [允許]。

  4. 儲存您的變更。

需要:   Project Server 2013 SharePoint 模式


  1. 在 PWA 首頁中,從齒輪圖示中開啟 [網站設定]。

    開啟 PWA 的 [網站設定] (PS 2013)
  2. 開啟 [網站集合管理員],並加入 TFS 服務帳戶。

  3. 開啟 [人員與群組]。

    開啟 PWA 的 [人員與群組] (PS 2013)
  4. 選擇您想要將帳戶所要加入的群組。

    在 PWA 中選擇要加入帳戶的群組 (PS 2013)
    1. Team Members for Project Web App:被指派為專案計劃中的資源,或指派給工作項目之 [指派給] 欄位的帳戶。 您也可以加入用以管理這些資源的 Active Directory 群組。

    2. Administrators for Project Web App:Team Foundation Server、Project Server Web 應用程式集區和 Project Server Event Handler 的服務帳戶。 此外也請加入執行 TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA 命令設定整合的使用者帳戶

    3. PWA Site Collection Administrators:執行 TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA 命令設定整合的使用者帳戶

    4. Project Managers for Project Web App:Project Professional 使用者的帳戶。

    System_CAPS_tip提示

    若要檢視所有預設群組,請選擇 [更多]。 若要檢視指派給每個群組的權限,請選擇 [設定]、[檢視群組權限]。 若要進一步了解,請參閱規劃 Project Server 2013 中的使用者存取

  5. 在群組頁面上,選擇 [新增]、[加入使用者]。

  6. 輸入每個帳戶或 Active Directory 群組的名稱,以加入選取的群組。

    將帳戶加入至 PWA 的群組 (PS 2013)
  7. 選擇 [共用] 。

需要:   Project Server 2010 傳統模式Project Server 2013 權限模式Project Server 2013 SharePoint 模式


  1. 從 [PWA 設定] 頁面的 [操作原則] 下,選擇 [Active Directory 資源集區同步處理]。

    開啟 Active Directory 資源集區同步處理
  2. 將 TFS 小組成員的 Active Directory 群組加入到企業資源集區。

    Active Directory 企業資源集區

授與使用 SharePoint 管理中心的指定權限。 或者,您可以使用 Windows PowerShell。

工作

設定以下組態:

3-1. 授與啟動 Project Server Service Application 的完全控制連接權限

  • TFS 服務帳戶

  • Project Server Event Handler 的服務帳戶

3-2. 將 TFS 服務帳戶新增到 SharePoint 網站的網站集合管理員

需要:   Project Server 2010 傳統模式Project Server 2013 權限模式


  1. 在 Project Server 的 SharePoint 伺服器上,開啟 [SharePoint 管理中心],並在 [應用程式管理] 下選擇 [管理服務應用程式]。

    選擇 [管理服務應用程式]
  2. 按一下資料列內 (但不是按應用程式名稱),反白顯示 Project Server Service Application 的資料列。 在功能區中,選擇 [權限]。

    選取權限
  3. 輸入 TFS 服務帳戶的名稱,然後選擇 [新增]。

  4. 確定新加入的服務帳戶名稱已反白顯示,然後選取 [完全控制] 核取方塊。 選擇 [確定]。

    連接權限完全控制
  5. 重複步驟 3 和 4,這次加入 Project Server Event Handler 服務帳戶的服務帳戶。 如果有多個服務帳戶,請確定您將它加入。

如需詳細資訊,請參閱服務應用程式的存取限制或啟用

需要:  Project Server 2013 SharePoint 模式


  1. 在 Project Server 的 SharePoint 伺服器上,開啟 [SharePoint 2013 管理中心],然後從齒輪圖示選擇 [站台設定]。

    開啟 PWA 的 [SharePoint 網站設定] (PS 2013)
  2. 選擇 [Site Collection Administrators]。

    開啟 PS 2013 的 [網站集合管理員]
  3. 輸入 TFS 服務帳戶的名稱,然後在完成時選擇 [確定]。

需要:   Project Server 2010 傳統模式Project Server 2013 權限模式Project Server 2013 SharePoint 模式

授與權限給 TFS 服務帳戶和 Project Server Web 應用程式集區服務帳戶,以更新每個 PWA 執行個體的資料庫。 對於所有部署 (Project Server 2010 和 Project Server 2013 皆然),都必須進行此步驟。

  1. 在 Project Server 的資料層伺服器上,開啟 [SQL Server Management Studio]。

  2. 在 [伺服器類型] 清單中,選取 [資料庫引擎] 。

  3. 在 [伺服器名稱] 中,輸入裝載 Project Server 之資料庫的伺服器名稱,然後選擇 [連線]。

    System_CAPS_note注意事項

    若 SQL Server 安裝在叢集上,則您應輸入該叢集的名稱,而不是輸入電腦的名稱。 若已指定具名執行個體,請以下列格式輸入伺服器和執行個體名稱:DatabaseServer\InstanceName

    [SQL ServerManagement Studio] 隨即開啟。

  4. 展開 [資料庫],以滑鼠右鍵按一下或開啟 PWA 執行個體資料庫的內容功能表,然後選擇 [屬性]:

    • 針對 Project Server 2010:PWA_ReportingPWA_Publishing

    • 針對 Project Server 2013:ProjectWebApp

  5. 在 [權限] 頁面上。 新增 TFS 服務帳戶 (Project Server 2010 和 Project Server 2013 權限模式所需)。

    針對 SQL Server 2008:選擇 [新增] 以新增帳戶。

    針對 SQL Server 2012:選擇 [搜尋] 以新增帳戶。

    加入使用者 (SQL Server 2012)
  6. 根據您所選取的資料庫授與這些權限:

    • 針對 Project Server 2010:PWA_Reporting:[改變任何結構描述]、[建立資料表]、[刪除]、[執行]、[插入]、[選取] 和 [更新]。

    • 針對 Project Server 2010:PWA_Publishing:[選取]

    • 針對 Project Server 2013:ProjectWebApp:[改變任何結構描述]、[建立資料表]、[刪除]、[執行]、[插入]、[選取] 和 [更新]。

    檢查權限
  7. 重複步驟 5 至 6,這次加入 Project Server Web 應用程式集區的服務帳戶。 對於所有部署,都必須進行此步驟。

  8. 對要參與與 TFS 的資料同步處理的每個 PWA 執行個體,重複步驟 4 到 7。

需要:   Project Server 2010 傳統模式Project Server 2013 權限模式Project Server 2013 SharePoint 模式

  1. 在 TFS 應用程式層伺服器上,Open the Team Foundation Administration Console,然後開啟 [群組成員資格]。

    應用程式層,選擇群組成員資格
  2. 開啟 Team Foundation Administrators

  3. 選擇 Windows 使用者或群組,然後選擇 [新增]。

    加入 Windows 帳戶
  4. 執行 TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA 命令,輸入設定整合的使用者帳戶名稱。

    檢查名稱

需要:   Project Server 2010 傳統模式Project Server 2013 權限模式Project Server 2013 SharePoint 模式

設定 TFS 與 Project Server 整合的使用者帳戶需要 [管理 Project Server 整合] 的權限設定為 [允許]。 請為對應到 PWA 的每個專案集合設定此項。

從專案集合的 [安全性] 頁面,開啟您已加入到 TFS 管理 Project Server 整合之使用者帳戶或 Windows 帳戶的權限。 將 [管理 Project Server 整合] 的權限設定為 [允許]。

設定管理 Project Server 整合權限

需要:   Project Server 2010 傳統模式Project Server 2013 權限模式Project Server 2013 SharePoint 模式

在 Project Professional 或 TFS 工作的使用者帳戶需要檢視或參與 TFS 的權限。

從 Team 專案的 [TWA 管理安全性] 頁面,您可以將帳戶加入到專案集合或每一個 Team 專案。 將帳戶或 Active Directory 群組加入到適當的角色。

選擇小組專案群組並加入成員

確認使用者帳戶或群組已新增到下列每個 Team 專案中會參與資料同步處理的 TFS 群組:

  • Contributor 角色:在與 Project Server 整合之 TFS 專案中工作的小組成員。 這包括被指派為專案計劃中的資源,或被指派給工作項目的 [指派給] 欄位的所有使用者帳戶。 這些使用者會提交狀態更新,而這些更新則會流入專案管理人員的狀態佇列。

  • Reader 角色:修改對應至 Team 專案之企業專案計劃的使用者。

如需詳細資訊,請參閱將使用者加入至 Team 專案

使用下列檢查清單,以檢閱所有權限都已根據您的版本和驗證模式設定。 請記住,必須將權限授與會參與 TFS 與 Project Server 之間資料同步處理的所有 PWA 執行個體、Team 專案和專案集合的帳戶。 如果您自訂角色或為角色自訂安全性類別,可能會不慎移除必要的權限。

帳戶

使用權限

Project Server 2010

Project Server 2013 (權限模式)

Project Server 2013 (SharePoint 模式)

應用程式

TFS 服務帳戶

全域類別權限

PWA

Administrators for Project Web App 群組

PWA

Site Collection Administrators 群組

SharePoint 管理中心

Project Server Service Application 的連接權限 (完全控制)

SharePoint 管理中心

PWA_Reporting 和 PWA_Publishing 資料庫

SQL Server Management Studio

ProjectWebApp 資料庫

SQL Server Management Studio

Project Server Web 應用程式集區的服務帳戶 (附註 1)

Administrators for PWA 群組

PWA

PWA_Reporting 和 PWA_Publishing 資料庫

SQL Server Management Studio

ProjectWebApp 資料庫

SQL Server Management Studio

Project Server Event Handler 的服務帳戶

Project Server Service Application 的連接權限 (完全控制)

SharePoint 管理中心

Administrators for PWA 群組

PWA

將設定整合及執行 TFSProjectServer registerPWA 命令的使用者帳戶

Administrators for PWA 群組

PWA

Site Collection Administrators 群組

SharePoint 管理中心

Team Foundation Administrators 群組

Team Foundation 管理主控台

管理 Project Server 整合

TWA

將對應元件以支援 TFS 和 Project Server 整合,但不會註冊 PWA 的使用者帳戶

管理 Project Server 整合

TWA

Project Professional 的使用者

每個 PWA 執行個體的 Project Manager 群組

PWA

TFS Readers 群組

TWA

指派為專案資源,或指派 TFS 工作項目給他們的使用者

Team Members for the PWA App 群組

PWA

小組成員,安全性類別 (註 2) (註 2)

PWA

企業專案集區和專案計劃的專案資源集區

PWA

TFS Contributors 群組

TWA

注意:

  1. 某些部署可能會有多個 Project Server Web 應用程式集區的服務帳戶。 前往這裡來判斷這些應用程式集區的服務帳戶。

  2. 根據預設值指派給小組成員的安全性類別已經足夠;不過,如果已自訂這些類別,則某些權限可能已經移除。 需要下列類別:[建立新的工作或工作指派]、[建立物件連結]、[開啟專案]、[檢視專案網站] 及 [在 Project Web App 中檢視專案排程] (Project Server 2010),以及 [開啟專案]、[檢視專案網站] 及 [在 Project Web App 中檢視專案排程] (Project Server 2013,專案權限模式)。

答:從 [SharePoint 2010 管理中心] 網站的 [應用程式管理] 區段中,開啟 [管理 Web 應用程式],然後開啟 PWA 應用程式。

確認已選取 [傳統模式驗證]。

PWA 2010 驗證

如果沒有,您必須建立使用 Windows 傳統驗證的新 PWA 執行個體

答:從 PWA 首頁,使用齒輪圖示來開啟 [PWA 設定]。

PWA 頁面,選取 PWA 設定

如果設定 SharePoint 權限模式,您會看到此頁面:

SharePoint 權限模式的 PWA 設定

如果設定專案權限模式,您會看到此頁面,其中包括 [安全性] 小節。 您也會看到其他連結:

Project 權限模式的 PWA 設定

答:預設狀況下,PWA 應用程式會使用 SharePoint 權限模式建立。

如果您從 SharePoint 權限模式切換到傳統的 Project Server 權限模式,則必須以手動方式在 Project Server 2013 中設定安全性權限結構。 在 SharePoint 權限模式和 Project Server 權限模式之間切換,會刪除所有與安全性相關的設定。

若要切換權限模式,請參閱 Set-SPProjectPermissionMode

顯示: