Compartir a través de

Configurar grupos para usarlos en implementaciones de TFS

  • Artículo

Administrar usuarios en TFS es mucho más fácil si crea grupos de Windows o Active Directory para ellos, especialmente si la implementación incluye SharePoint Foundation y SQL Server Reporting Services.

Usuarios, grupos y permisos en las implementaciones de Team Foundation Server

Tanto Team Foundation Server, como Productos de SharePoint y SQL Server Reporting Services, mantienen su propia información sobre grupos, usuarios y permisos. Para simplificar la administración de usuarios y permisos en estos programas, puede crear grupos de usuarios con requisitos de acceso similares en la implementación, conceder a esos grupos el acceso adecuado en los distintos programas de software y después simplemente agregar o quitar usuarios en cada grupo según sea necesario. Esto es mucho más fácil que mantener usuarios individuales o grupos de usuarios por separado en tres programas independientes.

Si el servidor está en un dominio de Active Directory, una opción es crear grupos específicos de Active Directory para administrar los usuarios, por ejemplo un grupo de desarrolladores y evaluadores para todos los proyectos de la colección de proyectos de equipo o un grupo de usuarios que puedan crear y administrar proyectos en la colección. De forma similar, puede crear una cuenta de Active Directory para los servicios que no se pueden configurar para usar la cuenta del sistema Network Service como cuenta de servicio. Para ello, cree una cuenta de Active Directory para SharePoint Foundation que actúe como cuenta de origen de datos con acceso de lectura para los informes en SQL Server Reporting Services.

Importante

Si decide usar grupos de Active Directory en TFS, considere crear grupos concretos dedicados a la administración de usuarios en TFS.Usar grupos ya existentes creados para otro fin, especialmente si los administran usuarios no familiarizados con TFS, puede dar lugar a consecuencias inesperadas para los usuarios cuando la pertenencia cambia para admitir alguna otra función.

La opción predeterminada durante la instalación es usar la cuenta del sistema Network Service como cuenta de servicio para Team Foundation Server y SQL Server. Si desea usar una cuenta concreta como cuenta de servicio por motivos de seguridad u otras razones, como una implementación escalada, puede hacerlo. Puede que también desee crear una cuenta de Active Directory específica para usarla como cuenta de servicio de SharePoint Foundation y como cuenta del lector de orígenes de datos de SQL Server Reporting Services.

Si el servidor está en un dominio de Active Directory pero no tiene permisos para crear grupos o cuentas de Active Directory, o si está instalando el servidor en un grupo de trabajo y no en un dominio, puede crear y usar grupos locales para administrar usuarios en SQL Server, SharePoint Foundation y Team Foundation Server. De igual forma, puede crear una cuenta local para usarla como cuenta de servicio. Sin embargo, tenga presente que los grupos y cuentas locales no son tan sólidos como los grupos y cuentas de dominio. Por ejemplo, en caso de error del servidor, deberá volver a crear los grupos y cuentas desde cero en el nuevo servidor. Si usa grupos y cuentas de Active Directory, estos se conservarán incluso en caso de error del servidor que hospeda Team Foundation Server.

Por ejemplo, después de revisar los requisitos comerciales de la nueva implementación y los requisitos de seguridad con los administradores de proyectos, puede decidir crear tres grupos para administrar la mayoría de los usuarios de la implementación:

  • Un grupo general para los desarrolladores y evaluadores que participarán plenamente en todos los proyectos de la colección de proyectos de equipo predeterminada. Este grupo contendrá a la mayoría de los usuarios. Puede denominar a este grupo TFS_ProjectContributors.

  • Un grupo pequeño de administradores de proyectos que tendrán permisos para crear y administrar proyectos de la colección. Puede denominar a este grupo TFS_ProjectAdmins.

  • Un grupo especial restringido de contratistas que solo tendrán acceso a uno de los proyectos. Puede denominar a este grupo TFS_RestrictedAccess.

Más adelante, a medida que se expanda la implementación, puede que decida crear otros grupos.

Para crear un grupo en Active Directory

  • Cree un grupo de seguridad que sea de tipo global, universal o de dominio local en Active Directory, la opción que mejor se adapte a sus necesidades empresariales. Por ejemplo, si el grupo debe contener usuarios de varios dominios, el tipo de grupo universal será el que más le convenga. Para obtener más información, vea el tema sobre cómo crear un grupo (Servicios de dominio de Active Directory).

Para crear un grupo local en el servidor

  • Cree un grupo local y asígnele un nombre que identifique rápidamente su propósito. De forma predeterminada, cualquier grupo que cree tendrá los permisos equivalentes al grupo Usuarios predeterminado de ese equipo. Para obtener más información, vea cómo crear un grupo local.

Para crear una cuenta con el fin de usarla como cuenta de servicio en Active Directory

Para crear una cuenta local con el fin de usarla como cuenta de servicio en el servidor

  • Cree una cuenta local para usarla como cuenta de servicio y, a continuación, modifique su pertenencia a grupo y otras propiedades en función de los requisitos de seguridad de su negocio. Para obtener más información, vea cómo crear una cuenta de usuario local.

Pruebe esto a continuación

Preguntas y respuestas

P: ¿Se pueden usar grupos para restringir el acceso a proyectos o características en TFS?

R: Sí. Puede crear grupos específicos para restringir el acceso a los proyectos y administrar los niveles de acceso, entre otros.

P: ¿Hay una manera más fácil de administrar permisos en TFS, SharePoint e informes?

R: No en TFS en sí, pero considere la posibilidad de instalar y usar la herramienta de administración de Team Foundation Server de CodePlex.