TFS 배포에 사용할 그룹 설정
Windows 또는 Active Directory 그룹을 생성하고 특히 배포에 SharePoint Foundation 및 SQL Server Reporting Services를 포함할 경우 TFS에서 사용자를 훨씬 쉽게 관리할 수 있습니다.
Team Foundation Server 배포의 사용자, 그룹 및 사용 권한
Team Foundation Server, SharePoint 제품 및 SQL Server Reporting Services에서는 그룹, 사용자 및 권한에 대한 고유 정보가 모두 유지됩니다. 이러한 프로그램에서 사용자 및 권한을 더 간단하게 관리하려면 배포에서 유사한 액세스 요구 사항을 가진 사용자 그룹을 만들고, 다른 소프트웨어 프로그램에서 해당 그룹에 적절한 액세스 권한을 부여한 다음 필요한 경우 그룹에서 사용자를 추가/제거하면 됩니다. 이렇게 하면 세 프로그램에서 별도로 개별 사용자 또는 사용자 그룹을 관리하는 것보다 훨씬 간단합니다.
서버가 Active Directory 도메인에 있는 경우, 팀 프로젝트 컬렉션의 모든 프로젝트에 대한 개발자 및 테스터 그룹 또는 컬렉션에서 프로젝트를 만들고 관리할 수 있는 사용자 그룹과 같이 특정 Active Directory 그룹을 만들어 사용자를 관리할 수 있습니다. 마찬가지로, Network Service 시스템 계정을 서비스 계정으로 사용하도록 구성할 수 없는 서비스를 위해 Active Directory 계정을 만들 수 있습니다. 이렇게 하려면 SharePoint Foundation에 대한 Active Directory 계정을 만들고 이 계정을 SQL Server Reporting Services의 보고서에 대한 읽기 액세스 데이터 소스 계정으로 만들어야 합니다.
중요
TFS에서 Active Directory 그룹을 사용하려는 경우 TFS에서 사용자를 관리하기 위한 전용 그룹을 만드는 것이 좋습니다.다른 용도로 만든 기존 그룹을 특히 TFS에 익숙하지 않은 다른 사용자가 관리하는 경우, 다른 기능을 지원하기 위해 멤버 자격을 변경할 때 예기치 않은 결과가 발생할 수 있습니다.
설치하는 동안에는 기본적으로 Team Foundation Server 및 SQL Server의 서비스 계정으로 Network Service 시스템 계정이 사용됩니다. 보안 목적이나 확장 배포 등의 이유로 특정 계정을 서비스 계정으로 사용할 수도 있습니다. 또한 특정 Active Directory 계정을 만들어 SharePoint Foundation의 서비스 계정 및 SQL Server Reporting Services의 데이터 원본 구독자 계정으로 사용할 수도 있습니다.
서버가 Active Directory 도메인에 있지만 Active Directory 그룹이나 계정을 만들 수 있는 권한이 없거나 또는 도메인 대신 작업 그룹에 서버를 설치하려는 경우에는 로컬 그룹을 만들어 SQL Server, SharePoint Foundation 및 Team Foundation Server 전역에서 사용자를 관리할 수 있습니다. 마찬가지로 서비스 계정으로 사용할 로컬 계정을 만들 수 있습니다. 단, 로컬 그룹 및 계정은 도메인 그룹 및 계정만큼 강력하지 않다는 점에 유의해야 합니다. 예를 들어 서버 장애가 발생한 경우 새 서버에서 그룹과 계정을 처음부터 다시 만들어야 합니다. Active Directory 그룹 및 계정을 사용하는 경우 Team Foundation Server를 호스팅하는 서버에 장애가 발생해도 해당 그룹 및 계정은 그대로 유지됩니다.
예를 들어 새 배포에 대한 비즈니스 요구 사항 및 프로젝트 관리자의 보안 요구 사항을 검토한 후 배포에서 대부분의 사용자를 관리하는 세 그룹을 만들 수 있습니다.
기본 팀 프로젝트 컬렉션에서 모든 프로젝트에 전적으로 참여하는 개발자 및 테스터의 일반 그룹. 대부분의 사용자가 이 그룹에 포함됩니다. 이 그룹의 이름을 TFS_ProjectContributors로 지정할 수 있습니다.
해당 컬렉션에서 프로젝트를 만들고 관리할 권한이 있는 프로젝트 관리자 소그룹. 이 그룹의 이름을 TFS_ProjectAdmins로 지정할 수 있습니다.
한 프로젝트에 대한 권한을 갖는 계약 직원을 위한 특별 제한 그룹. 이 그룹의 이름을 TFS_RestrictedAccess로 지정할 수 있습니다.
나중에 확대 배포할 때 다른 그룹을 만들 수도 있습니다.
Active Directory에서 그룹을 만들려면
- 해당 비즈니스 요구 사항에 가장 잘 맞도록 Active Directory에 로컬 도메인, 전역 그룹 또는 유니버설 그룹을 만듭니다. 예를 들어 둘 이상의 도메인에 속한 사용자를 한 그룹으로 만들 경우 유니버설 그룹 유형이 가장 적합합니다. 자세한 내용은 새 그룹 만들기(Active Directory 도메인 서비스)를 참조하십시오.
서버에서 로컬 그룹을 만들려면
- 로컬 그룹을 만들고 해당 용도를 쉽게 식별할 수 있는 이름을 지정합니다. 기본적으로 직접 만든 모든 그룹에는 해당 컴퓨터의 사용자 기본 그룹과 동등한 권한이 부여됩니다. 자세한 내용은 로컬 그룹 만들기를 참조하십시오.
Active Directory에서 서비스 계정으로 사용할 계정을 만들려면
- Active Directory에 계정을 만들고 비즈니스 요구 사항에 따라 암호 정책을 설정한 다음 해당 계정에 대해 위임에 대해 계정을 신뢰할 수 있음이 선택되었는지 확인합니다. 자세한 내용은 새 사용자 계정 만들기(Active Directory 도메인 서비스) 및 사용자 계정 이해(Active Directory 도메인 서비스)를 참조하십시오.
서버에서 서비스 계정으로 사용할 로컬 계정을 만들려면
- 로컬 계정을 만들어 서비스 계정으로 사용한 후 비즈니스의 보안 요구 사항에 따라 그룹 멤버 자격 등의 속성을 수정합니다. 자세한 내용은 로컬 사용자 계정 만들기를 참조하십시오.
다음 단계 실행
Q & A
Q: TFS에서 그룹을 사용하여 프로젝트 또는 기능에 대한 액세스를 제한할 수 있습니까?
A: 예, 할 수 있습니다. 특정 그룹을 만들어 프로젝트에 대한 액세스를 제한하고, 액세스 수준을 관리하는 등의 작업을 할 수 있습니다.
Q: TFS, SharePoint 및 보고를 통해 사용 권한을 관리할 때 더 간단한 방법이 있습니까?
A: TFS 자체 내에서는 불가능하지만 CodePlex의 Team Foundation Server 관리 도구를 설치하여 사용할 수 있습니다.