Team Foundation Server におけるサービス アカウントと依存関係
Team Foundation Server のすべての配置で使用され、すべての配置が依存するサービスと各種サービス アカウントについて理解しておくと、Visual Studio Team Foundation Server の管理に役立ちます。 Team Foundation Server のインストールおよび構成方法に応じて、これらのサービスとサービス アカウントは 1 つのコンピューターですべて実行されることも、複数のコンピューターで実行されることもあります。
Team Foundation Server のサービスとサービス アカウントは、配置内の次のコンピューターで実行されます。
Team Foundation Server の 1 つ以上のデータベースをホストする任意のサーバー
Team Foundation のアプリケーション層のコンポーネントをホストする任意のサーバー
Team Foundation Server Proxy を実行している任意のコンピューター
任意のビルド コンピューター
任意のテスト コンピューター
Visual Studio Lab Management の 1 つ以上のコンポーネントを実行している任意のコンピューター
Team Foundation のさまざまな機能をさまざまな方法でインストールして配置できます。配置内での機能の配布によって、どのサービスとサービス アカウントがどの物理コンピューターで実行されるかが決まります。 また、ソフトウェア プログラムを Team Foundation Server と連携して動作するように構成している場合、そのプログラムのサービス アカウント (SharePoint 製品や SQL Server のサービス アカウントなど) の管理も必要になることがあります。
このトピックの内容
Team Foundation Server のサービス アカウント
Team Foundation Server および Microsoft Office SharePoint Server 2007 間のサービス アカウントの相互作用
各サービス アカウントで実行されるサービス
Team Foundation Server のサービス アカウント
Team Foundation Server で使用されるサービス アカウントは複数ありますが、それらの大部分またはすべてに同じドメイン アカウントまたはワークグループ アカウントを使用できます。 たとえば、Team Foundation Server のサービス アカウント (TFSService) と SQL Server Reporting Services のデータ ソース アカウント (TFSReports) の両方に、同じドメイン アカウント "Contoso\Example" を使用できます。 ただし、各種サービス アカウントで必要となるアクセス許可レベルは異なる場合があります。 たとえば、TFSService には "サービスとしてログオン" のアクセス許可が必要であり、TFSReports には "ローカル ログオンを許可する" のアクセス許可が必要です。 両方に同じアカウント "Contoso\Example" を使用する場合、そのアカウントにはこれら両方のアクセス許可を付与する必要があります。 また、TFSService を正しく動作させるには、TFSReports よりもはるかに多くのアクセス許可が必要になります。詳細については、このトピックの後半の表を参照してください。 セキュリティ上の理由で、これらの 2 つのサービス アカウントには別々のアカウントを使用することを検討してください。
重要
Team Foundation Server のインストールに使用したアカウントは、これらのサービス アカウントのどちらのアカウントとしても使用しないでください。
Team Foundation Server を Active Directory ドメインに配置した場合は、サービス アカウントに対して [アカウントは重要なので委任できない] オプションを設定する必要があります。 たとえば、このオプションは、次の表に示す TFSService に対して設定する必要があります。 Team Foundation Server のドキュメントで使用されている必須のサービス アカウントおよびプレースホルダー名の詳細については、Team Foundation のインストール ガイドの「Team Foundation コンポーネントのインストールに必要なアカウント」を参照してください。 Active Directory でアカウント委任を制限する方法の詳細については、Microsoft Web サイトの「Enabling Delegated Authentication (委任認証の有効化)」を参照してください。
複数のサービス アカウントを管理する必要があるため、各サービス アカウントは、このトピックの後半の表に示すように、それぞれの機能を示すプレースホルダー名で参照されます。 プレースホルダー名は、各サービス アカウントに使用するアカウントの実際の名前ではありません。 アカウントの実際の名前は、配置によって異なります。 前の例では、TFSService と TFSReports の両方に "Contoso\Example" というアカウントが使用されています。 独自の配置においては、"TFSService" と "TFSReports" の固有名を持つドメイン アカウントを作成することも、Team Foundation Server のサービス アカウントとして Network Service システム アカウントを使用することもできます。
重要
特に記載がない限り、次の表に示すグループまたはアカウントは、Team Foundation Server の配置に含まれるどのサーバーにおいても Administrators グループのメンバーにしないでください。
Team Foundation Server の配置で使用できるすべてのサービス アカウントを次の表に示します。
サービス アカウント |
プレースホルダー名と使用できるアカウントの種類 |
必要なアクセス許可とグループ メンバーシップ |
メモ |
|---|---|---|---|
Team Foundation Server のサービス アカウント |
TFSService (ローカル アカウント、ドメイン アカウント、ワークグループのローカル サービス、またはドメインのネットワーク サービス) |
|
このサービス アカウントは、Team Foundation Server のすべての Web サービスに対して使用されます。 このアカウントにドメイン アカウントを使用する場合は、配置全体のすべてのコンピューターで完全に信頼されているドメインのメンバーにする必要があります。 |
SQL Server Reporting Services のデータ ソース アカウント |
TFSReports (ローカル アカウント、ドメイン アカウント、またはワークグループのローカル サービス) |
|
このサービス アカウントは、Reporting Services からレポートのデータを取得します。 |
Team Foundation ビルドのサービス アカウント |
TFSBuild (ローカル アカウント、ドメイン アカウント、またはワークグループのローカル サービス) |
サービスとしてログオン |
このサービス アカウントは、ビルドの構成時、およびビルド コントローラーとビルド エージェントの間でビルド状態情報がやり取りされるときに使用されます。 |
Lab Management のサービス アカウント |
TFSLab (ローカル アカウント、ドメイン アカウント、ワークグループのローカル サービス、またはドメインのネットワーク サービス) |
サービスとしてログオン |
このサービス アカウントは、Team Foundation Server と、仮想マシンを実行しているラボ エージェントの間で Lab Management に関する情報がやり取りされるときに使用されます。 |
Team Foundation Server Proxy のサービス アカウント |
TFSProxy (ローカル アカウント、ドメイン アカウント、ワークグループのローカル サービス、またはドメインのネットワーク サービス) |
サービスとしてログオン |
このサービス アカウントは、すべてのプロキシ サービスに対して使用されます。 このアカウントにドメイン アカウントを使用する場合は、配置全体のすべてのコンピューターで完全に信頼されているドメインのメンバーにする必要があります。 |
テスト エージェントおよびテスト エージェント コントローラーのサービス アカウント |
TFSTest (ローカル アカウント、ドメイン アカウント、またはドメインのネットワーク サービス) |
サービスとしてログオン |
このサービス アカウントは、テスト エージェント コントローラーとテスト エージェントの間でテストに関する情報がやり取りされるときに使用されます。 |
SharePoint Web アプリケーションのサービス アカウント |
WebAppService |
ローカル ログオンを許可する |
Team Foundation Server で使用するように構成している SharePoint Web アプリケーションごとに少なくとも 1 つのサービス アカウントを追加する必要があります。 このサービス アカウントは、チーム プロジェクト ポータルを作成したり、ダッシュボード機能を有効にしたりするために使用されます。 |
1 このアクセス許可がなくても配置に SharePoint 製品を統合できますが、サービス アカウントがファーム管理者グループのメンバーでない場合は、追加の手順を実行する必要があります。 詳細については、「管理アクセス許可のない Team Foundation Server と SharePoint 製品の統合」を参照してください。
Team Foundation Server および Microsoft Office SharePoint Server 2007 間のサービス アカウントの相互作用
Team Foundation Server の配置で Microsoft Office SharePoint Server 2007 を使用している場合は、次の表に示すサービス アカウントとユーザー グループも構成する必要があります。または、ファーム管理者がこの構成作業を担当します。 ファーム管理者は、Team Foundation Server のサービス アカウントに関する情報も必要とします。 詳細については、「ダッシュボードの互換性のための設定の構成」を参照してください。 ファーム管理者は、それぞれ異なるアクセス許可を持つ少なくとも 3 つのアカウントをサービス アカウントとして使用する必要があります。 SharePoint 製品のサービス アカウントに必要なアクセス許可と他の要件の詳細については、Microsoft Web サイトの「管理者アカウントとサービス アカウントを計画する」を参照してください。 配置でこれらのアカウントを構成する方法の例については、「SharePoint 製品と Team Foundation Server 間の相互作用」で説明されている Microsoft Office SharePoint Server 2007 を使用した Team Foundation Server の配置例を参照してください。
注意
Microsoft Office SharePoint Server 2007 を Team Foundation Server と統合する一環として初めてシングル サインオンを構成する場合は、シングル サインオンを設定するときのログオンに使用するアカウントに特定のアクセス許可が必要になります。 詳細については、「ダッシュボードの互換性のための設定の構成」の「シングル サインオンを構成する」を参照してください。
説明 |
要件 |
このアカウントの他の用途 |
|---|---|---|
ファーム管理者アカウント (データベース アクセス アカウントとも呼ばれます) |
|
このアカウントは他の用途で使用しないでください。 |
Web and Search サービス アカウント |
|
|
シングル サインオン アカウント |
|
|
エンタープライズ アプリケーション定義の管理者アカウント |
|
このアカウントは、ファーム管理者グループのメンバーにすることもできます。 |
エンタープライズ アプリケーション定義のグループ (Team Foundation Server に対して作成する定義の場合) |
|
この表の後半に示すように、PortalUsers に対して構成したグループと同じグループを使用する必要があります。 |
エンタープライズ アプリケーション定義のアカウント情報 (Team Foundation Server に対して作成する定義に関して保存されている資格情報) |
|
TFSReports に対して構成したアカウントと同じアカウントを使用する必要があります。 |
チーム ポータルにアクセスする必要のあるすべての Team Foundation Server ユーザー (PortalUsers) の 1 つ以上のグループ |
|
このグループ (または一連のグループ) を使用して、Team Foundation Server、Reporting Services、および SharePoint 製品のユーザーのアクセス許可を管理します。 詳細については、Microsoft Web サイトの「How to: Add Users to Team Projects (方法: チーム プロジェクトにユーザーを追加する)」を参照してください。 |
各サービス アカウントで実行されるサービス
Team Foundation Server の配置の各サービス アカウントでは、次のサービスが実行されます。
サービス名 |
サービス アカウント |
論理層 |
|---|---|---|
コード カバレッジ サービス |
TFSService |
アプリケーション層 |
Team Foundation Server Web サービス |
TFSService |
アプリケーション層 |
SQL Server Reporting Services (MSSQLSERVER、名前付きインスタンスを使用している場合は InstanceName) |
ローカル システムまたはドメイン アカウント |
アプリケーション層 |
レポート Web サービス |
ローカル システム、ネットワーク サービス、またはドメイン アカウント |
アプリケーション層 |
Windows SharePoint Services Administration (Team Foundation Server で使用するように SharePoint 製品をインストールして構成している場合) |
ローカル システム、ネットワーク サービス、またはドメイン アカウント |
アプリケーション層 |
Windows SharePoint Services Timer (Team Foundation Server で使用するように SharePoint 製品をインストールして構成している場合) |
ドメイン アカウント |
アプリケーション層 |
Visual Studio Team Foundation ビルド サービス ホスト (Team Foundation ビルドをインストールしている場合) |
TFSBuild |
ビルド コンピューター |
Visual Studio Team Foundation Background Job Agent |
TFSService |
アプリケーション層 |
Visual Studio Test Controller |
TFSTest |
任意のコンピューター |
Visual Studio Test Agent |
TFSTest |
テスト コンピューター |
分析サーバー (MSSQLSERVER、名前付きインスタンスを使用している場合は InstanceName) |
ローカル システムまたはドメイン アカウント |
データ層 |
SQL Server Browser |
ローカル システムまたはドメイン アカウント |
データ層 |
SQL Server (MSSQLSERVER、名前付きインスタンスを使用している場合は InstanceName) |
ローカル システムまたはドメイン アカウント |
データ層 |
SQL Server のサービス アカウントの詳細については、Microsoft Web サイトの「SQL Server オンライン ブック」を参照してください。 Team Foundation のサービス アカウントに関する最新情報については、Microsoft Web サイトの「Visual Studio 2010 用 Team Foundation インストール ガイド」から Team Foundation のインストール ガイドをダウンロードしてください。
注意
Team Foundation ビルドのサービス アカウントを変更する場合は、新しいサービス アカウントがビルド サービス グループのメンバーであることを確認する必要があります。 また、そのアカウントに一時フォルダーおよび ASP.NET 一時フォルダーへの読み取り/書き込みアクセス許可が付与されていることも確認してください。 同様に、Team Foundation Server Proxy サービスを変更する場合は、アカウントが適切なグループのメンバーであることを確認する必要があります。 詳細については、「ビルド システムの設定」を参照してください。
参照
処理手順
SQL Server Reporting Services のサービス アカウントまたはパスワードの変更
Team Foundation Server のサービス アカウントまたはパスワードの変更