通过

设置 Team Foundation Server 的管理员权限

  • 项目

若要执行系统维护、计划备份、添加功能以及执行其他任务,Visual Studio Team Foundation Server (TFS) 中的管理员必须能够配置和控制 TFS 的各个方面。 这就是 TFS 管理员需要 TFS 与之交互的软件程序中的管理权限的原因。

在 Team Foundation Server (TFS) 中,可通过将管理员添加到**“Team Foundation Administrators”**组来快速向管理员授予这些权限。 但是,只应向需要维护 TFS 的最少量用户授予此级别的权限。

将用户作为 Team Foundation Server 管理控制台的管理员添加到 TFS 本地 Administrators 组

  1. 在应用层服务器上,将用户添加到本地管理员组。

    按照适用于你的操作系统的说明操作

  2. 打开管理控制台并添加控制台用户。

    单击或点击,然后输入用户名

  3. 查看进度以确保将用户帐户添加到部署的各个方面,包括 SharePoint 和报告资源。

    评审进度

    如果您运行的是标准单服务器部署或没有 SharePoint 或报告的多服务器部署,情况就是这样! 但是,如果您有多个应用层,则您将需要在每个应用层服务器上重复这两个步骤。 如果您在其他服务器上拥有 SharePoint 或报告,则可能需要手动将管理用户单独添加到这些产品中。

授予 SharePoint Foundation 中的管理权限

  1. 在运行 SharePoint 产品 的服务器上,打开 SharePoint 管理中心。

  2. 根据您的安全需求,在场或 Web 应用程序级别为此用户授予适当的权限。

    为获得最佳互操作性,请考虑将**“Team Foundation 管理员”**组的用户添加到以下 SharePoint 产品组中:

    • 服务器场管理员

    • Team Foundation Server 部署使用的所有网站集的“网站集管理员”组

    按照适用于你的 SharePoint 版本的说明操作按照适用于你的 SharePoint 版本的指南操作

授予 Reporting Services 中的管理权限

  1. 启动 Internet Explorer。

  2. 在地址栏中,指定以下 URL,其中 ReportServer 是运行 Reporting Services 的服务器的名称:http://ReportServer/Reports/Pages/Folder.aspx

    重要

    如果使用的是命名实例,则必须将其名称包含在报表路径中。使用以下语法,其中 ReportServer 是 Team Foundation 的报表服务器的名称,InstanceName 是 SQL Server 实例的名称:http://ReportServer/Reports_InstanceName/Pages/Folder.aspx

  3. 选择**“文件夹设置”,然后选择“新建角色分配”**。

  4. 添加要向其授予管理权限的用户或组的帐户名,并在 Team Foundation 内容管理器角色中向其授予成员资格。

    单击并选择,或者点击、按空格键并输入

问题解答

问:我应该将谁添加到 TFS 中的管理员角色?

**答:**管理员负责维护至少一台运行 Team Foundation Server 的服务器,并需要在服务器级别和团队项目集合级别管理其他角色的权限和安全性。 对于您的部署,您至少需要一个管理员。 根据您的可用性需求,您可能需要添加多个管理员以帮助确保在很短的时间内有人可执行管理员级别任务。

例如,如果需要某人执行下列一项或多项任务,您需要将其添加为管理员:

  • 创建或删除团队项目集合

  • 备份 TFS

  • 更改 Team Web Access 的访问级别

  • 管理报告仓库

  • 更改 TFS 使用的 SharePoint Web 应用程序

  • 查看和编辑服务器级别权限

  • 触发报警事件

问:跨 TFS 的所有组件和依赖项管理 TFS 所需的最佳权限是什么?

**答:**最佳的情况是,TFS 的管理员必须是以下组的成员或具有以下权限:

  • Team Foundation Server:“Team Foundation Administrators”,或将相应的服务器级别权限设置为“允许”。

  • Windows:运行 Team Foundation 的管理控制台的服务器上的本地“管理员”组。 管理控制台需要管理权限才能正常运行。

  • SharePoint 产品:SharePoint 管理中心中的适当组或权限。 根据您的部署配置和安全要求,您可能无需向 SharePoint 产品中的任何组添加用户。 为获得最佳互操作性,请考虑将这些用户添加到以下 SharePoint 产品组中:

    • 服务器场管理员

    • Team Foundation Server 部署使用的所有网站集的“网站集合管理员”组。

  • Reporting Services:“Team Foundation 内容管理员”,以及配置数据库、报告和分析数据库和团队项目集合数据库的**“sysadmin”“db_owner”**组成员身份。

  • SQL Server:TFS 使用的所有数据库的 sysadminserveradmin

问:是否可通过多种方式在 TFS 中授予管理员权限?

**答:**可以。 可通过两种方式授予对 Team Foundation Server 的管理权限:使用管理控制台或直接通过要为其授予权限的每个程序。 使用管理控制台授予权限较简单但有一些要求。 在满足以下所有条件时,请考虑使用管理控制台:

  • 您的 Team Foundation Server 部署位于受信任环境中,在该环境中 Team Foundation Server 服务帐户在 SharePoint 产品和 SQL Server Reporting Services 中具有权限。

  • 所有程序都在同一计算机上运行(单服务器部署)。

  • 您的部署的安全要求不限制授予接下来点符列表中的一个或多个权限。

默认情况下,在 Team Foundation Server 的单服务器部署中使用管理控制台添加用户可向用户授予以下各组的成员资格:

  • Team Foundation Server 中的“Team Foundation Administrators”组

  • Internet Information Services (IIS) 中的**“IIS_IUSRS”“TFS_APPTIER_SERVICE_WPG”**组

  • 如果配置了报告服务,则为 SQL Server Reporting Services 中的“内容管理员”角色

  • 如果将部署配置为使用 SharePoint 产品,则为 SharePoint 产品 中的“场管理员”组

  • Team Foundation Server 使用的所有数据库(包括集合数据库)的“DBO”角色和“TFSExecRole”

重要

无法通过将某个用户的帐户配置为控制台用户,来将该用户添加到本地“Administrators”组中。您必须先手动将该用户添加到该组,然后该用户才会拥有打开和使用控制台所需的所有权限。此外,如果您希望该用户拥有在创建团队项目集合过程中创建数据库的足够权限,则必须向该用户授予 SQL Server 中“sysadmin”角色的成员资格。

在 Team Foundation Server 部署的每个程序中直接授予权限更费时,但可精确配置要授予用户的确切权限。 在满足以下所有条件时,请考虑在每个程序中直接授予权限:

  • 您的 Team Foundation Server 部署为多服务器部署。

  • 部署所处的环境在 Team Foundation Server 与运行 SQL Server 和 SharePoint 产品 的服务器之间具有安全限制。

  • 您希望在 SharePoint 产品、SQL Server Reporting Services 和 Team Foundation Server 中配置与通过管理控制台所自动授予的不同的组成员资格和权限级别。

问:我是管理员,但我似乎没有添加 TFS 管理员所需的所有权限。我还需要些什么?

**答:**这些是所需的权限:

  • “Team Foundation 管理员”组,或者“查看实例级别信息”“编辑实例级别信息”权限设置为“允许”

  • 如果要添加对 SQL Server Reporting Services 的权限,则必须是**“Team Foundation 内容管理员”组或“系统管理员”**组的成员。

  • 如果要添加对 SharePoint 产品的权限,则必须是**“服务器场管理员”组、支持 Team Foundation Server 的 Web 应用程序的管理员组或“SharePoint 管理员”**组的成员。 组成员资格将取决于部署的安全结构以及要向其添加用户的一个或多个组。

  • 承载 Team Foundation Server 的数据库的每个服务器上的 SQL Server 中的“sysadmin”角色。

重要

若要执行调用数据库更改的管理任务(如创建团队项目集合),您的用户帐户需要管理权限,并且必须向 Team Foundation Background Job Agent 使用的服务帐户授予特定权限。有关详细信息,请参阅服务帐户和依赖项

问:TFS 连接到 SQL Server 所需的最小权限是什么?

**答:**若要安装、升级和配置 TFS,运行 Team Foundation 管理控制台的用户需要以下权限和角色成员资格。

  • serveradmin 服务器角色中的成员资格

  • ALTER ANY LOGINCREATE ANY DATABASEVIEW ANY DEFINITION 服务器范围的权限

  • master 数据库上的 CONTROL 权限。

如果用户没有这些权限和角色成员资格,则 TFS 配置操作会受阻。 通过 Team Foundation Server 管理控制台将用户添加到管理控制台用户组时,TFS 会尝试授予这些权限和角色成员资格。

问:为何需要 SQL Server 权限和成员资格?

**答:**安装、升级和配置 TFS 涉及需要高度特权的一组复杂操作。 这些操作可能包括创建数据库、为服务帐户配置登录名等。 为了确保安装、升级和配置成功,TFS 会检查是否正确分配了权限以确保可以成功执行各种操作。 甚至执行这些检查也需要高度特权。 因此,这些权限和角色成员资格是必需的,不能忽略。

问:是否可以在安装或升级 TFS 之后撤消 SQL Server 权限和角色成员资格?

**答:**可以,只要如服务帐户和依赖项中所述向 TFS 服务帐户分配了所需权限和角色成员资格。 管理员仅在需要安装、升级或配置 TFS 时才需要上述权限和角色成员资格。

问:在何处可以找到有关每个单独 TFS 权限的详细信息?

**答:**请参见 Team Foundation Server 权限参考