Team Foundation Server の管理アクセス許可の設定

  • [アーティクル]

Visual Studio Team Foundation Server (TFS) の管理者が、システム メンテナンスの実行、バックアップのスケジュール、機能の追加などのタスクを実行するには、TFS のすべての要素を構成および管理できる必要があります。 このため、TFS 管理者には、TFS が相互運用されるソフトウェア プログラムにおける管理アクセス許可が必要です。

これらのアクセス許可を管理者にすばやく付与するには、その管理者を Team Foundation Server (TFS) の Team Foundation 管理者グループに追加します。 ただし、このレベルのアクセス許可は、TFS のメンテナンスに最小限必要な数のユーザーに対してのみ付与するようにします。

ユーザーを TFS ローカル Administrators グループに、Team Foundation Server 管理コンソールの管理者として追加します。

  1. アプリケーション層サーバーで、ユーザーをローカル Administrators グループに追加します。

    ご使用のオペレーティング システムのバージョンに対応した指示に従ってください

  2. 管理コンソールを開いて、コンソール ユーザーを追加します。

    クリックするか Tab キーを押してユーザー名を入力します

  3. 進行状況を確認し、SharePoint リソース、レポート リソースなど、配置のすべての要素にユーザー アカウントが追加されていることを確かめます。

    進行状況のレビュー

    標準のシングルサーバー配置を実行する場合、または SharePoint やレポートを使用せずに複数サーバー配置を実行する場合は、これで完了です。 ただし、複数のアプリケーション層がある場合は、すべてのアプリケーション層サーバーで次の 2 つの手順を繰り返し実行する必要があります。 また、他のサーバーに SharePoint またはレポートがある場合は、管理ユーザーをこれらの製品に手動で個別に追加することが必要になる可能性があります。

SharePoint Foundation で管理アクセス許可を付与する

  1. SharePoint 製品 を実行しているサーバーで、SharePoint サーバーの全体管理を開きます。

  2. セキュリティ ニーズに応じて、ファームまたは Web アプリケーション レベルで対象のユーザーに適切なアクセス許可を付与します。

    最適な相互運用性を実現するためには、SharePoint 製品 の次のグループに Team Foundation 管理者グループのユーザーを追加することを検討してください。

    • ファーム管理者

    • Team Foundation Server の配置で使用されるすべてのサイト コレクションに対するサイト コレクション管理者グループ

    ご使用の SharePoint のバージョンに対応した指示に従ってくださいご使用の SharePoint のバージョンに適したガイダンスに従ってください。

Reporting Services で管理アクセス許可を付与する

  1. Internet Explorer を開始します。

  2. アドレス バーに次の URL を指定します。ここで ReportServer は Reporting Services を実行するサーバーの名前 (http://ReportServer/Reports/Pages/Folder.aspx) です。

    重要

    名前付きインスタンスを使用している場合は、レポートのパスにその名前を含める必要があります。次の構文を使用します。ここで ReportServer は Team Foundation のレポート サーバーの名前、InstanceName は SQL Server のインスタンス名 (http://ReportServer/Reports_InstanceName/Pages/Folder.aspx) です。

  3. [フォルダー設定][新しいロールの割り当て] の順に選択します。

  4. 管理アクセス許可を付与するユーザーまたはグループのアカウント名を追加し、Team Foundation Content Manager ロールのメンバーシップを付与します。

    クリックして選択するか、Tab キー、Space キー、Enter キーの順に押します

Q & A

Q: TFS の管理者ロールにだれを追加すればよいですか。

A: 管理者は、Team Foundation Server を実行している 1 つ以上のサーバーを保守し、他のロールのアクセス許可とセキュリティを、サーバー レベルおよびチーム プロジェクト コレクション レベルで管理します。 配置には少なくとも 1 人の管理者が必要です。 可用性のニーズによっては、管理者レベルのタスクを実行するよう急に求められたときに確実に対応できるように、管理者の追加が必要になる場合があります。

たとえば、あるユーザーが次の 1 つ以上のタスクを実行するよう期待されている場合は、そのユーザーを管理者として追加する必要があります。

  • チーム プロジェクト コレクションの作成または削除

  • TFS のバックアップ

  • Team System Web Access のアクセス レベルの変更

  • レポート ウェアハウスの管理

  • TFS が使用する SharePoint Web アプリケーションの変更

  • サーバー レベルのアクセス許可の表示および編集

  • 警告イベントのトリガー

Q: すべてのコンポーネントと依存関係にわたって TFS を管理する場合、どのようなアクセス許可が最適なアクセス許可として必要ですか。

A: TFS の管理者は次のグループのメンバーであるか、次のアクセス許可が付与されているのが理想です。

  • Team Foundation Server: Team Foundation 管理者、または適切なサーバー レベルのアクセス許可[許可] に設定されている。

  • Windows: Team Foundation の管理コンソールを実行しているサーバーのローカル Administrators グループ。 管理コンソールを正しく操作するには、管理アクセス許可が必要です。

  • SharePoint 製品: SharePoint サーバーの全体管理の適切なグループに属しているか、適切なアクセス許可が付与されている。 配置構成とセキュリティ要件によっては、SharePoint 製品のどのグループにもユーザーを追加する必要がない場合もあります。 最適な相互運用性を実現するためには、次の SharePoint 製品グループにユーザーを追加することを検討してください。

    • ファーム管理者

    • Team Foundation Server の配置で使用されているすべてのサイト コレクションに対するサイト コレクション管理者グループ。

  • Reporting Services: Team Foundation コンテンツ マネージャー、および構成データベース、レポート データベースと分析データベース、チーム プロジェクト コレクションのデータベースに対する sysadmin グループ メンバーシップまたは db_owner グループ メンバーシップ。

  • SQL Server: TFS が使用するすべてのデータベースの sysadmin および serveradmin

Q: TFS で管理者のアクセス許可を付与する方法は複数ありますか。

A: できます。 Team Foundation Server の管理アクセス許可は 2 つの方法で付与できます。つまり、管理コンソールから付与するか、アクセス許可を付与する各プログラムから直接付与します。 管理コンソールからアクセス許可を付与する方が簡単ですが、いくつかの要件があります。 次の条件をすべて満たす場合は管理コンソールを使用することを検討してください。

  • Team Foundation Server の配置が信頼できる環境にあり、その環境で Team Foundation Server のサービス アカウントに SharePoint 製品および SQL Server Reporting Services のアクセス許可が付与されている。

  • すべてのプログラムが同じコンピューターで実行されている (シングルサーバー配置)。

  • 配置のセキュリティ要件によって、次の箇条書きリストに含まれる 1 つ以上のアクセス許可の付与が制限されていない。

既定では、管理コンソールからユーザーを追加すると、対象のユーザーに Team Foundation Server のシングルサーバー配置に存在する次のグループのメンバーシップが付与されます。

  • Team Foundation Server 内の Team Foundation 管理者グループ

  • インターネット インフォメーション サービス (IIS) の IIS_IUSRS および TFS_APPTIER_SERVICE_WPG グループ

  • SQL Server Reporting Services のコンテンツ マネージャー ロール (レポートが構成されている場合)

  • SharePoint 製品 のファーム管理者グループ (SharePoint 製品 を使用するように配置が構成されている場合)

  • Team Foundation Server で使用されるすべてのデータベース (コレクション データベースを含む) に対する DBO ロールおよび TFSExecRole

重要

ユーザーのアカウントをコンソール ユーザーとして追加することにより、ローカルの Administrators グループにユーザーを追加することはできません。そのユーザーがコンソールを開いて使用するために必要なすべてのアクセス許可を付与する前に、ユーザーをそのグループに手動で追加する必要があります。さらに、チーム プロジェクト コレクション作成の一部としてデータベースを作成するために十分なアクセス許可をユーザーに与えるには、SQL Server の sysadmin ロールにユーザーのメンバーシップを付与する必要があります。

Team Foundation Server の配置の各プログラムで直接アクセス許可を付与する場合、より多くの時間を要しますが、ユーザーに付与する正確なアクセス許可を的確に構成できます。 次のいずれかの条件を満たす場合は各プログラムで直接アクセス許可を付与することを検討してください。

  • Team Foundation Server の配置がマルチサーバー配置である。

  • 配置が、SQL Server および SharePoint 製品 を実行しているサーバーと Team Foundation Server の間にセキュリティ制限がある環境にある。

  • 管理コンソールから自動的に付与されるものとは異なる SharePoint 製品、SQL Server Reporting Services、および Team Foundation Server のグループ メンバーシップとアクセス許可レベルを構成する必要がある。

Q: 管理者ですが、TFS 管理者の追加に必要なアクセス許可が一部足りないようです。他に何が必要なのでしょうか。

A: 必要なアクセス許可は次のとおりです。

  • Team Foundation 管理者グループに属しているか、[インスタンスレベル情報の表示] および [インスタンスレベル情報の編集] アクセス許可が [許可] に設定されている。

  • SQL Server Reporting Services のアクセス許可を追加する場合は、Team Foundation コンテンツ マネージャー グループまたはシステム管理者グループに属している。

  • SharePoint 製品 のアクセス許可を追加する場合は、ファーム管理者グループ、Team Foundation Server をサポートしている Web アプリケーションの管理者グループ、または SharePoint 管理グループに属している。 グループ メンバーシップは、配置のセキュリティ アーキテクチャ、およびユーザーを追加する 1 つ以上のグループによって決まります。

  • Team Foundation Server のデータベースをホストする各サーバーの SQL Server における sysadmin ロール。

重要

チーム プロジェクト コレクションの作成など、データベースの変更を伴う管理タスクを実行するには、ユーザー アカウントに管理アクセス許可が必要です。また、Team Foundation Background Job Agent で使用されるサービス アカウントにも特定のアクセス許可が付与されている必要があります。詳しくは、「サービス アカウントと依存関係」を参照してください。

Q: TFS が SQL Server に接続するために必要な最小のアクセス許可は何ですか?

A: TFS をインストール、アップグレード、および構成するためには、Team Foundation 管理コンソールを実行するユーザーは、次のアクセス許可とロール メンバーシップを必要とします。

  • serveradmin サーバー ロールに属するメンバーシップ

  • ALTER ANY LOGINCREATE ANY DATABASEVIEW ANY DEFINITION のサーバー スコープのアクセス許可。

  • マスター データベースに対する CONTROL アクセス許可。

ユーザーがこれらのアクセス許可とロール メンバーシップを持っていない場合には、TFS 構成操作はブロックされます。 Team Foundation Server 管理コンソールを通してユーザーを管理コンソール ユーザー グループに追加すると、TFS はこれらのアクセス許可とロール メンバーシップの付与を試行します。

Q: SQL Server のアクセス許可とメンバーシップが必要とされるのはなぜですか?

A: TFS のインストール、アップグレード、および構成には、程度の高い特権を必要とする複雑な操作セットが関係しているからです。 それらの操作には、データベースの作成や、サービス アカウントに対するログインの提供などが含まれることがあります。 インストール、アップグレード、および構成が確実に成功するようにするため、TFS は各種の操作が正常に行えるようにアクセス許可が正しく割り当てられているかを確認します。 そうした確認の実行にも、程度の高い特権が必要です。 そのため、これらのアクセス許可とロール メンバーシップが必要であり、バイパスすることはできません。

Q: TFS がインストールまたはアップグレードされた後は、SQL Server のアクセス許可とロール メンバーシップを取り消すことはできますか?

A: はい。サービス アカウントと依存関係で述べられているように TFS サービス アカウントに必要なアクセス許可とロール メンバーシップが割り当てられている限り、そのようにできます。 TFS をインストール、アップグレード、または構成する必要があるときだけ、管理者は前述のアクセス許可とロール メンバーシップを必要とします。

Q: 個々の TFS アクセス許可についての詳細情報はどこにありますか?

A:Team Foundation Server のアクセス許可の参照」を参照してください。