Задание разрешений администратора для Team Foundation Server
Для обслуживания системы, планирования резервного копирования, добавления функциональности и выполнения других задач администраторы в Visual Studio Team Foundation Server (TFS) должны иметь возможность настраивать и контролировать все аспекты TFS. Поэтому администраторам TFS требуются административные разрешения в программах, с которыми взаимодействует TFS.
Для быстрого предоставления этих разрешений администраторам можно добавить их в группу Администраторы Team Foundation в Team Foundation Server (TFS). Предоставлять такой уровень разрешений, однако, следует только минимальному количеству пользователей, необходимому для обслуживания TFS.
Добавление пользователей в локальную группу «Администраторы» TFS и в качестве администратора для консоли администрирования Team Foundation Server
На сервере уровня приложений добавьте пользователя в локальную группу "Администраторы".
Откройте консоль администрирования и добавьте пользователя консоли.
Просмотрите ход выполнения, чтобы убедиться, что учетная запись пользователя добавлена во все аспекты развертывания, включая SharePoint и ресурсы отчетов.
В случае стандартного односерверного развертывания или многосерверного развертывания без SharePoint или отчетов больше ничего делать не нужно. Однако если имеется несколько уровней приложений, необходимо повторить эти два шага на каждом сервере уровня приложений. Кроме того, при наличии SharePoint или отчетности на других серверах может потребоваться вручную добавить пользователей с правами администратора в эти продукты отдельно.
Предоставление административных разрешений в SharePoint Foundation
На сервере, где запущено приложение Продукты SharePoint, откройте Центр администрирования SharePoint.
Предоставьте разрешения, необходимые для данного пользователя на уровне фермы или веб-приложения, в зависимости от требований безопасности.
Для оптимального взаимодействия рекомендуется добавить пользователей группы Администраторы Team Foundation в следующие группы Продукты SharePoint:
Администраторы фермы
Группа Администраторы семейства узлов для всех коллекций сайтов, используемых развертыванием Team Foundation Server.
Предоставление административных разрешений в службах отчетов
Запустите Internet Explorer.
Введите в адресной строке следующий URL-адрес, где сервер_отчетов— имя сервера, на котором запущены службы отчетов: http://сервер_отчетов/Reports/Pages/Folder.aspx
Важно!
При использовании именованного экземпляра необходимо включить его имя в путь к отчетам.Используется следующий синтаксис, где сервер_отчетов— имя сервера отчетов для Team Foundation, а имя_экземпляра— имя экземпляра SQL Server: http://сервер_отчетов/Reports_имя_экземпляра/Pages/Folder.aspx
Выберите Параметры папки, а затем выберите Создать назначение ролей.
Добавьте имя учетной записи пользователя или группы, которым требуется предоставить административные разрешения, и предоставьте им членство в роли диспетчера содержимого Team Foundation.
Вопросы и ответы
Вопрос. Кого следует добавить в роль администратора TFS?
О. Администраторы обслуживают как минимум один сервер, где выполняется Team Foundation Server, а также администрируют разрешения и безопасность для других ролей на уровне сервера и на уровне коллекций командных проектов. У развертывания должен быть хотя бы один администратор. В зависимости от требуемой доступности может потребоваться добавить дополнительных администраторов: это повышает вероятность того, что в любой момент кто-либо из них будет готов в срочном порядке выполнить задачи уровня администратора.
Например, необходимо добавить пользователя в качестве администратора, если ожидается, что он будет выполнять одну или несколько из следующих задач:
создание или удаление коллекций командных проектов;
резервное копирование TFS;
изменение уровней доступа для Team Web Access;
администрирование хранилища отчетов;
изменение веб-приложений SharePoint, используемых TFS;
просмотр и изменение разрешений уровня сервера;
активация событий оповещений.
Вопрос. Каковы оптимальные разрешения, необходимые для администрирования TFS, включая все его компоненты и зависимости?
О. Оптимально администратор TFS должен быть членом следующих групп или иметь следующие разрешения:
Team Foundation Server: Администраторы Team Foundation или соответствующие разрешения уровня сервера со значением Разрешить.
Windows: локальная группа Администраторы на сервере, на котором запущена консоль администрирования Team Foundation. Для правильной работы консоли администрирования требуются права администратора.
Продукты SharePoint: соответствующие группы или разрешения Центра администрирования SharePoint. В зависимости от конфигурации развертывания и требований безопасности, добавление пользователя в какую-либо группу в Продукты SharePoint может не понадобиться. Для оптимального взаимодействия рекомендуется добавить их в следующие группы Продукты SharePoint.
Администраторы фермы
Группа Администраторы семейства узлов для всех коллекций сайтов, используемых развертыванием Team Foundation Server.
Службы отчетов: Диспетчер содержимого Team Foundation, а также быть членом группы либо sysadmin, либо db_owner для базы данных конфигурации, баз данных отчетов и аналитики и баз данных коллекций командных проектов.
SQL Server: sysadmin и serveradmin для всех баз данных, используемых TFS.
В. Правильно ли я думаю, что предоставить разрешения администратора в TFS можно несколькими способами?
Ответ. Да. Административные разрешения для Team Foundation Server можно предоставить двумя способами: из консоли администрирования или напрямую из каждой программы, для которой нужно предоставить разрешения. Предоставление разрешений с консоли администрирования проще, но накладывает определенные требования. Консоль администрирования рекомендуется использовать, когда выполняются все приведенные ниже условия.
Развертывание Team Foundation Server находится в среде с доверием, в которой учетная запись службы для Team Foundation Server имеет разрешения в Продукты SharePoint и в службе отчетов SQL Server.
Все программы работают на одном компьютере (односерверное развертывание).
Требования безопасности для развертывания не ограничивают предоставление одного или нескольких разрешений из приведенного ниже списка.
По умолчанию добавление пользователей с помощью консоли администрирования предоставляет им членство в следующих группах односерверного развертывания Team Foundation Server.
Группа Администраторы Team Foundation в Team Foundation Server
Группы IIS_IUSRS и TFS_APPTIER_SERVICE_WPG в службах IIS
Роль Диспетчер содержимого в службах отчетов SQL Server, если настроена поддержка отчетности
Группа Администраторы фермы в Продукты SharePoint, если развертывание настроено на использование Продукты SharePoint
Роли DBO и TFSExecRole для всех баз данных, используемых Team Foundation Server, включая базы данных коллекций
Важно!
Невозможно добавить пользователя в локальную группу Администраторы путем добавления учетной записи пользователя в качестве пользователя консоли.Необходимо вручную добавить пользователя в эту группу, прежде чем он получит все разрешения, необходимые для открытия и использования консоли.Кроме того, если требуется, чтобы у пользователя были достаточные разрешения для создания базы данных при создании коллекции командных проектов, необходимо сделать его членом роли sysadmin в SQL Server.
Предоставление разрешений непосредственно в каждой программе, входящей в состав развертывания Team Foundation Server, требует больше времени, но позволяет точно настроить разрешения, которые требуется предоставить пользователю. Рекомендуется предоставлять разрешения непосредственно в каждой программе, если выполняется любое из приведенных ниже условий.
Развертывание Team Foundation Server является многосерверным развертыванием.
Развертывание находится в среде, имеющей ограничения безопасности между Team Foundation Server и серверами, на которых работают SQL Server и Продукты SharePoint.
Требуется настроить группы членства и уровни разрешений в Продукты SharePoint, службах отчетов SQL Server и Team Foundation Server, отличающиеся от разрешений, автоматически предоставляемых из консоли администрирования.
В. Я администратор, однако похоже, что у меня нет всех разрешений, необходимых для добавления администратора TFS.Что мне еще может быть нужно?
Ответ. Необходимы следующие разрешения.
Быть членом группы Администраторы Team Foundation или иметь разрешения Изменение сведений на уровне сервера и Изменить сведения на уровне экземпляра со значением Разрешить.
Если необходимо добавить разрешения для служб отчетов SQL Server, нужно быть членом группы Диспетчеры содержимого Team Foundation или Системные администраторы.
Если необходимо добавить разрешения для Продукты SharePoint, нужно быть членом группы Администраторы фермы, членом группы администраторов веб-приложения, поддерживающего Team Foundation Server, или членом группы Администраторы SharePoint. Членство в группах зависит от архитектуры безопасности развертывания, а также от группы или групп, в которые требуется добавить пользователя.
Роль sysadmin в SQL Server на каждом сервере, где размещены базы данных для Team Foundation Server.
Важно!
Для выполнения административных задач, предполагающих изменение баз данных, таких как создание коллекций командных проектов, учетной записи пользователя требуются административные разрешения; кроме того, определенные разрешения должны быть предоставлены учетной записи службы, используемой агентом фоновых заданий Team Foundation.Дополнительные сведения см. в разделе Учетные записи служб и зависимости.
В. Какие минимальные разрешения необходимы для подключения TFS к SQL Server?
О. Чтобы установить, обновить и настроить TFS, пользователю, использующему консоль администрирования Team Foundation, необходимы следующие разрешения и участие в следующих ролях.
Участие в роли сервера serveradmin
Разрешения области сервера ИЗМЕНЕНИЕ ЛЮБОГО ИМЕНИ ВХОДА, СОЗДАНИЕ ЛЮБОЙ БАЗЫ ДАННЫХ и ПРОСМОТР ЛЮБОГО ОПРЕДЕЛЕНИЯ
Разрешение ЭЛЕМЕНТ УПРАВЛЕНИЕ для базы данных master.
Если у пользователя нет таких разрешений и участия в ролях, операции настройки конфигурации TFS будут заблокированы. TFS пытается предоставить эти разрешения и участие в ролях при добавлении пользователя в группу пользователей консоли администрирования с помощью консоли администрирования Team Foundation Server.
В. Почему требуются разрешения и членство SQL Server?
О. Установка, обновление и настройка TFS включают в себя выполнение сложного набора операций, требующих высокого уровня привилегий. Эти операции могут включать в себя создание баз данных, подготовка к работе имен входа для учетных записей службы и многое другое. Чтобы обеспечить успешность установки, обновления и настройки, TFS проверяет правильность назначения таких разрешений, гарантирующих выполнение всех необходимых операций. Даже для выполнения этих проверок необходим высокий уровень привилегий. Поэтому такие разрешения и участие в ролях являются обязательными и не могут быть пропущены.
В. Можно ли отозвать разрешения и участие в ролях SQL Server после установки или обновления TFS?
О. Да, это можно сделать сразу после выделения учетным записям службы TFS нужных разрешений и участия в ролях, как описано в разделе Учетные записи служб и зависимости. Администраторам описанные выше разрешения и участие в ролях могут потребоваться только при установке, обновлении или настройке TFS.
В. Где можно узнать о каждом отдельном разрешении TFS?
О. См. раздел Справочник по разрешениям Team Foundation Server.