Condividi tramite

Impostare le autorizzazioni di amministratore per Team Foundation Server

  • Articolo

Per eseguire la manutenzione del sistema, pianificare i backup, aggiungere funzionalità e svolgere altre attività, gli amministratori in Visual Studio Team Foundation Server (TFS) devono essere in grado di configurare e controllare tutti gli aspetti di TFS. Per questo motivo gli amministratori TFS devono disporre di autorizzazioni amministrative nei programmi software con cui TFS interagisce.

È possibile concedere rapidamente queste autorizzazioni aggiungendo gli amministratori al gruppo Team Foundation Administrators in Team Foundation Server (TFS). Questo livello di autorizzazione deve tuttavia essere concesso solo a un ristretto numero di utenti che hanno la necessità di gestire TFS.

Aggiungere gli utenti al gruppo Administrators locale di TFS e come amministratore per la console di amministrazione di Team Foundation Server

  1. Nel server livello applicazione aggiungere l'utente al gruppo Administrators locale.

    Seguire le istruzioni per il sistema operativo in uso

  2. Aprire la console di amministrazione e aggiungere un utente console.

    Fare clic oppure premere TAB, quindi immettere il nome utente

  3. Esaminare lo stato di avanzamento per assicurarsi che l'account utente sia stato aggiunto a tutti gli aspetti della distribuzione, incluse le risorse di SharePoint e di creazione report.

    Rivedere lo stato di avanzamento

    Se si esegue la distribuzione standard a server singolo o una distribuzione a più server senza SharePoint o la funzionalità di creazione report, la procedura termina qui. Tuttavia, se si dispone di più livelli applicazione, sarà necessario ripetere i due passaggi in ogni server livello applicazione. E se SharePoint o la funzionalità di creazione report è installata in altri server, potrebbe essere necessario aggiungere separatamente gli utenti amministrativi a questi prodotti.

Concedere autorizzazioni amministrative in SharePoint Foundation

  1. Nel server che esegue Prodotti SharePoint aprire Amministrazione centrale SharePoint.

  2. Concedere le autorizzazioni adatte all'utente a livello di farm o di applicazione Web, in base alle necessità di sicurezza.

    Per un'interoperabilità ottimale, è consigliabile aggiungere gli utenti del gruppo Team Foundation Administrators ai seguenti gruppi in Prodotti SharePoint:

    • Farm Administrators

    • Gruppo Site Collection Administrators per tutte le raccolte siti usate dalla distribuzione di Team Foundation Server

    Seguire le istruzioni per la versione di SharePoint in usoSeguire le linee guida per la versione di SharePoint in uso

Concedere autorizzazioni amministrative in Reporting Services

  1. Avviare Internet Explorer.

  2. Nella barra degli indirizzi specificare il seguente URL, dove ServerReport è il nome del server in cui Reporting Services è in esecuzione: http://ServerReport/Reports/Pages/Folder.aspx

    Importante

    Se si usa un'istanza denominata, è necessario includerne il nome nel percorso dei report.Usare la sintassi seguente, dove ServerReport è il nome del server di report per Team Foundation e NomeIstanza è il nome dell'istanza di SQL Server: http://ServerReport/Reports_NomeIstanza/Pages/Folder.aspx

  3. Scegliere Impostazioni cartella, quindi Nuova assegnazione ruolo.

  4. Aggiungere il nome account dell'utente o del gruppo a cui si desidera concedere le autorizzazioni amministrative e concedere loro l'appartenenza al ruolo Gestione contenuto Team Foundation.

    Fare clic e scegliere oppure premere TAB, BARRA SPAZIATRICE e INVIO

Domande e risposte

D: Chi si deve aggiungere al ruolo di amministratore in TFS?

R: Gli amministratori gestiscono almeno un server su cui è eseguito Team Foundation Server e amministrano le autorizzazioni e la sicurezza per altri ruoli a livello di server e a livello di raccolte di progetti team. È necessario disporre di almeno un amministratore per la distribuzione. A seconda delle esigenze di disponibilità, potrebbe essere necessario aggiungere più amministratori per garantire la costante disponibilità di qualcuno in grado di svolgere le attività a livello di amministratore a breve scadenza.

Aggiungere, ad esempio, un utente come amministratore se a tale persona spetta eseguire una o più delle attività seguenti:

  • Creare o eliminare raccolte di progetti team

  • Eseguire i backup di TFS

  • Modificare i livelli di accesso per Team Web Access

  • Amministrare il warehouse di creazione report

  • Modificare le applicazioni Web di SharePoint usate da TFS

  • Visualizzare e modificare le autorizzazioni a livello di server

  • Attivare eventi di avviso

D: Quali sono le autorizzazioni ottimali necessarie per amministrare TFS in tutti i suoi componenti e dipendenze?

R: Nella situazione ottimale, un amministratore di TFS deve essere membro dei seguenti gruppi o disporre delle seguenti autorizzazioni:

  • Team Foundation Server: Team Foundation Administrators o disporre delle appropriate autorizzazioni a livello di server impostate su Consenti.

  • Windows: gruppo Administrators locale nel server in cui è in esecuzione la console di amministrazione di Team Foundation. La console di amministrazione richiede autorizzazioni amministrative per funzionare correttamente.

  • Prodotti SharePoint: gruppi appropriati o autorizzazioni in Amministrazione centrale SharePoint. A seconda della configurazione di distribuzione e dei requisiti di sicurezza, potrebbe non essere necessario aggiungere l'utente a tutti i gruppi in Prodotti SharePoint. Per un'interoperabilità ottimale, è consigliabile aggiungerli ai seguenti gruppi di Prodotti SharePoint:

    • Farm Administrators

    • Gruppo Site Collection Administrators per tutte le raccolte siti usate dalla distribuzione di Team Foundation Server.

  • Reporting Services: Team Foundation Content Manager e appartenere al gruppo sysadmin o db_owner per il database di configurazione, i database di analisi e creazione di report e i database per le raccolte di progetti team.

  • SQL Server: sysadmin e serveradmin per tutti i database usati da TFS.

D: Esistono uno o più modi di concedere le autorizzazioni di amministratore in TFS?

R: Sì. Esistono due modi per concedere autorizzazioni amministrative per Team Foundation Server: dalla console di amministrazione o direttamente tramite ogni programma per il quale si desidera concedere autorizzazioni. La concessione di autorizzazioni tramite la console di amministrazione è più semplice ma impone alcuni requisiti. È consigliabile usare la console di amministrazione quando tutte le condizioni seguenti vengono soddisfatte:

  • La distribuzione di Team Foundation Server viene eseguita in un ambiente attendibile dove l'account del servizio per Team Foundation Server dispone di autorizzazioni in Prodotti SharePoint e SQL Server Reporting Services.

  • Tutti i programmi sono in esecuzione nello stesso computer (distribuzione server singolo).

  • I requisiti di sicurezza per la distribuzione non limitano la concessione di una o più autorizzazioni contenute nel seguente elenco puntato.

Per impostazione predefinita, l'aggiunta di utenti dalla console di amministrazione concede loro l'appartenenza ai gruppi seguenti in una distribuzione server singolo di Team Foundation Server:

  • Gruppo Team Foundation Administrators in Team Foundation Server.

  • Gruppi IIS_IUSRS e TFS_APPTIER_SERVICE_WPG in Internet Information Services (IIS).

  • Ruolo Gestione contenuto in SQL Server Reporting Services, se la creazione di report è configurata.

  • Gruppo Farm Administrators in Prodotti SharePoint, se la distribuzione è configurata per l'utilizzo di Prodotti SharePoint

  • Ruolo DBO e TFSExecRole per tutti i database usati da Team Foundation Server, inclusi i database della raccolta.

Importante

Non è possibile aggiungere un utente al gruppo Administrators locale aggiungendo l'account dell'utente come utente della console.È necessario aggiungere manualmente l'utente a questo gruppo prima che disponga di tutte le autorizzazioni necessarie per aprire e usare la console.Inoltre, se si desidera che l'utente disponga di autorizzazioni sufficienti per creare un database durante la creazione di un insieme di progetti team, è necessario concedergli l'appartenenza al ruolo sysadmin in SQL Server.

La concessione di autorizzazioni direttamente da ogni programma nella distribuzione di Team Foundation Server richiede più tempo, ma consente di configurare con precisione le autorizzazioni esatte da concedere a un utente. È consigliabile concedere autorizzazioni direttamente da ogni programma quando una qualsiasi delle condizioni seguenti viene soddisfatta:

  • La distribuzione di Team Foundation Server è una distribuzione con più server.

  • La distribuzione viene eseguita in un ambiente che presenta restrizioni di sicurezza tra Team Foundation Server e i server che eseguono SQL Server e Prodotti SharePoint. 

  • Si desidera configurare appartenenze a gruppi e livelli di autorizzazione in Prodotti SharePoint, SQL Server Reporting Services e Team Foundation Server diversi rispetto a quelli concessi automaticamente dalla console di amministrazione. 

D: Un amministratore sembra non disporre di tutte le autorizzazioni necessarie per aggiungere un amministratore di TFS.Quali altre autorizzazioni occorre ottenere?

R: Di seguito sono indicate le autorizzazioni necessarie:

  • Gruppo Team Foundation Administrators oppure disporre delle autorizzazioni Visualizza informazioni a livello di istanza e Modifica informazioni a livello di istanza impostate su Consenti.

  • Se si desidera aggiungere autorizzazioni per SQL Server Reporting Services, gruppo Gestione contenuto di Team Foundation o gruppo Amministratori di sistema.

  • Se si desidera aggiungere autorizzazioni per Prodotti SharePoint, gruppo Farm Administrators, gruppo Administrators per l'applicazione Web che supporta Team Foundation Server o gruppo SharePoint Administration. L'appartenenza ai gruppi dipenderà dall'architettura di sicurezza della distribuzione e dal gruppo o dai gruppi ai quali si desidera aggiungere l'utente.

  • Il ruolo sysadmin in SQL Server in ogni server che ospita i database per Team Foundation Server.

Importante

Per eseguire attività amministrative che implicano modifiche ai database, come la creazione di raccolte di progetti team, l'account utente richiede autorizzazioni amministrative e anche all'account del servizio usato dall'Agente processo in background per Team Foundation devono essere concesse determinate autorizzazioni.Per altre informazioni, vedere Account del servizio e dipendenze.

D: Quali sono le autorizzazioni minime necessarie per TFS per connettersi a SQL Server?

R: Per installare, aggiornare e configurare TFS, l'utente che esegue la console di amministrazione di Team Foundation deve disporre delle seguenti autorizzazioni e appartenenze ai ruoli.

  • Appartenenza al ruolo del server serveradmin

  • Autorizzazioni dell'ambito server ALTER ANY LOGIN, CREATE ANY DATABASE e VIEW ANY DEFINITION

  • Autorizzazione CONTROL per il database master

Se l'utente non dispone di queste autorizzazioni e appartenenze ai ruoli, le operazioni di configurazione di TFS verranno bloccate. Quando si aggiunge un utente al gruppo Utenti console di amministrazione tramite la console di amministrazione di Team Foundation Server, TFS prova a concedere queste autorizzazioni e appartenenze ai ruoli.

D: Perché sono necessarie autorizzazioni e appartenenze di SQL Server?

R: L'installazione, l'aggiornamento e la configurazione di TFS implica una complessa serie di operazioni che richiedono privilegi di livello elevato. Queste operazioni possono includere, tra l'altro la creazione di database e il provisioning degli account di accesso per gli account del servizio. Per garantire la riuscita delle diverse operazioni di configurazione, aggiornamento e installazione, TFS verifica che le autorizzazioni siano state assegnate correttamente. Anche l'esecuzione di questi controlli richiede privilegi di livello elevato. Di conseguenza, queste autorizzazioni e appartenenze ai ruoli sono obbligatorie e non possono essere evitate.

D: le autorizzazioni e le appartenenze ai ruoli di SQL Server possono essere revocate dopo l'installazione o l'aggiornamento di TFS?

R: Sì, purché agli account del servizio TFS siano assegnate le autorizzazioni e le appartenenze ai ruoli necessarie come descritto in Account del servizio e dipendenze. Gli amministratori devono disporre delle autorizzazioni e delle appartenenze ai ruoli sopra descritte solo per installare, aggiornare o configurare TFS.

D: Dove è possibile reperire altre informazioni sulle singole autorizzazioni TFS?

R: Vedere Riferimento alle autorizzazioni per Team Foundation Server.