分配权限以支持 TFS-Project Server 集成
如果要配置 Team Foundation Server 和 Project Server 以支持数据同步,首先要分配权限。 你必须对多个账户授予权限:管理员、服务账户和团队成员。 你还必须确保特定服务帐户具有作为服务器的共享服务提供程序 (SSP) 的访问权限,该服务器将承载 Project Server 的 SharePoint 产品。
你应该在为 Project Server 集成安装了 Team Foundation Server 扩展后授予权限。 有关详细信息,请参阅TFS-Project Server 集成的系统和安装要求。
准备工作
在开始之前,你需要知道哪些 PWA 实例和 TFS 团队项目集合将参与数据同步。 你还需要回答以下问题。
你是否具有分配权限所需的所有权限?
请确保你属于以下组:
“Team Foundation Administrators” 组,需要授予 TFS 权限。 你还必须具有访问“Team Foundation 管理控制台”的权限。 Set administrator permissions for Team Foundation Server。
Project Web Access 或 Project Web App (PWA) 的每个实例的“Project Web App 的管理员”,需要授予 Project Server 权限。 你还必须具有通过 PWA 访问 Project Server 的权限。
Project Server 的 SQL Server 数据库的“管理员”安全组,需要将权限授予 PWA 报告和发布数据库。
“场管理员”组、支持 Project Server 的 Web 应用程序的管理员组或“SharePoint 管理”组,需要授予 SSP 权限。 组成员身份将取决于部署的安全体系结构。
本地计算机上的管理员,需要使用 stsadm.exe。
是否为你的 Project Server 版本正确地设置了身份验证模式?
对于 Project Server 2010:
PWA 实例的 SharePoint Web 应用程序必须设置为“经典模式身份验证”。 经典模式身份验证使用 Windows 身份验证。 SharePoint Server 2010 将用户帐户视为 Active Directory 域服务 (AD DS) 帐户。
如果 PWA 的身份验证设置为“基于声明的身份验证”,你将无法注册 PWA。 如果你不确定设置哪种身份验证模式或需要切换身份验证模式,跳转至此节。
对于 Project Server 2013:
支持以下两种权限:SharePoint 权限模式和 Project 权限模式。 这两种模式均使用基于声明的身份验证。 你需分配的权限因设置的权限模式而异。
SharePoint 权限模式创建直接对应于 Project Server 权限模式中默认安全组的 SharePoint 组。 这些组用于授予用户访问项目和 Project Server 功能的各种级别的访问权限。 SharePoint 权限模式首次用于 Project Server 2013。
默认情况下,新的 Project Web App 实例将使用 SharePoint 权限模式。 在本地安装中,可使用 Set-SPProjectPermissionModeWindows PowerShell cmdlet 更改 Project Web App 给定实例的模式。
Project Server 权限模式提供了一组可自定义的安全组和不同于 SharePoint 组的其他功能。 此安全平台独立于场中的 SharePoint 权限进行运行,并允许你微调 Project Web App 用户的权限级别。 此模式与 Project Server 2010 中提供的权限模式相同。
有关在每个安全模式中受支持的功能的比较,请参阅 Project Server 2013 中规划用户访问。
如果你不确定设置哪种权限模式或需要切换权限模式,跳转至此节。
你是否已创建可有效管理用户账户的 Windows 组?
若要尽量减少将用户添加到 TFS 和 Project Server,请创建 Windows 或 Active Directory 组。 然后,你可以将这些组添加到 TFS 组、Project Server 和具有预定义权限的 SharePoint 站点。 此外,你可以跨多个域和林将资源与 Active Directory 同步。
有关详细信息,请参阅在 Project Server 2013 中管理安全组与 Active Directory 的同步。
1.识别需向其分配权限的所有服务和用户账户
识别服务账户、用户账户或 Active Directory 组,这些账户或组已通过配置且需要访问支持 TFS 和 Project Server 间数据同步的资源的权限。
服务帐户
标识以下服务帐户:
TFS 的服务帐户
打开 Team Foundation 管理控制台。 如果使用“网络服务”帐户,则将其更改为域帐户。
Project Server 事件处理程序的服务帐户
在安装了 Project Server 的计算机上,打开计算机 > 管理服务并查找Microsoft Project Server 事件服务。
运行 Project server web 应用程序池的服务帐户
可能有多个服务帐户,具体取决于将参与 TFS 数据同步的 PWA 实例数。 您需要确定 SharePoint 应用程序池托管 PWA 和 PSI 服务应用程序池。 GUID 应用程序池名称可以与 PSI 服务应用程序池相关联。
打开“SharePoint 管理中心站点”、“应用程序管理”、“管理服务应用程序”、“项目服务器应用程序”。
查找托管 PWA 实例的 SharePoint 站点。 记下数字。 它可以在一个或多个端口下,例如,SharePoint 80 或 SharePoint web 应用程序。
打开 IIS 管理器、展开站点并查找对应于您标识的 PWA 的 SharePoint 网站。
对于 Project Server 2010:打开应用程序池的高级设置,即可找到应用程序池的帐户标识。
对于 Project Server 2013:展开 SharePoint web 服务并展开每个 GUID,直到找到一个包含项目 PSI 服务的项。 在高级设置中,标识作为GUID 池名称的应用程序池。
.png "找到 PSI 应用工具池的 GUID")
在 IIS,应用程序池下,找到用于运行此 GUID 应用程序池的帐户。
.png "查看 PSI 应用工具的服务帐户")
用户帐户
标识以下用户帐户或组:
将运行 TFSProjectServer registerPWA 命令的用户帐户
映射组件以支持 TFS-Project Server 集成但不注册 PWA 的用户账户
Project Professional 的用户
作为项目资源分配或为其分配 TFS 工作项的用户
这些用户提交流入项目经理的状态队列的状态更新
根据角色,将权限授予参与数据同步的每个 PWA 实例、SharePoint 服务器、企业资源库和 TFS。
2.授予访问每个 PWA 实例的权限
根据您的部署中使用的版本和权限模式执行以下任务。 你必须为将注册并映射到团队项目的每个 PWA 实例添加帐户。
任务 |
为这些配置设置: |
|---|---|
2-1. 向 TFS 服务帐户授予全局权限 |
|
2-2. 向 TFS 服务帐户授予类别权限 |
|
2-3.将帐户添加到 PWA 安全组:
|
|
2-4. 2-4 将帐户添加到 PWA 安全组 (SharePoint 模式)
|
|
2-5. 2-5 将用户帐户添加到 Active Directory 企业资源库 |
|
2-1 授予全局权限
要求: .png "Project Server 2010 经典模式")
和.png "Project Server 2013 权限模式")
从 PWA 设置页中,打开“管理用户”,再打开“新建用户”。
添加 TFS 服务帐户。
在每个字段中键入所需信息。 注意以下事项:
由于该帐户是一个服务帐户,所有要清除“可将用户作为资源分配”复选框。
对于“用户身份验证”,请键入 TFS 的服务帐户名称。
分配以下“全局”权限:
管理:管理企业自定义字段、管理服务器事件、管理网站服务以及管理用户和组。
常规:登录、新任务分配以及重新分配任务。
项目:根据新项目生成团队。
视图:查看审批、查看项目中心、查看资源中心以及查看任务中心。
保存更改。
2-2 授予类别权限
要求: 和
从 PWA 主页的“快速启动”区域中,选择“服务器设置”。
接下来,选择“管理类别”,然后选择“新建类别”。
键入服务帐户类别名,例如:键入“Servicing Account”。
在“可用用户”下,选择 Team Foundation Server 的服务帐户名,然后选择“添加”。
.png "创建 TFS 服务帐户类别")
在“项目”下,选择“Project Server 数据库中所有当前和未来项目”,然后单击“保存”。
添加 TFS 服务帐户,选择这些“类别”权限的复选框:
项目:打开项目并查看项目网站
资源:查看企业资源数据
.png "TFS 服务帐户的类别权限")
2-3 将帐户添加到 PWA 安全组
要求: 和
从 PWA 设置页中,打开“管理用户”、“新建用户”,然后在每个字段中键入所需信息:
如果该帐户是一个服务帐户,则清除“可将用户作为资源分配”复选框。
对于“用户身份验证”,请键入 TFS 的用户或服务帐户的账户名。
如果该帐户是一个管理员帐户或服务帐户,则清除“资源可调配”复选框。
对于“安全组”,请将帐户或组添加到以下一个默认组:
管理员:TFS 服务帐户和配置集成的用户账户(即注册或注销 PWA 的用户账户)。
项目经理:使用 Project Professional 和 PWA 的用户。
团队成员:作为资源分配并分配给 TFS 工作项的用户。
如果你已自定义了类别权限,请验证团队成员是否具有以下安全类别:“创建新任务或分配”、“创建对象链接”、“打开项目”、“查看项目网站”以及“在 Project Web App 中查看项目计划”(Project Server 2010)。
.png "安全类别、团队成员的“我的项目”")
对于 Project Server 2013 权限模式,请选择:打开项目、查看项目网站以及在 Project Web App 中查看项目计划。
若要修改类别中选定用户的类别权限,请在“选定类别”列表中选择类别,然后为要允许的权限选择“允许”。
保存更改。
有关详细信息,请参阅在 Project Server 2010 中添加用户帐户 或在 Project Server 2013 中规划用户访问。
2-4 将帐户添加到 PWA 安全组 (SharePoint 模式)
要求: .png "Project Server 2013 SharePoint 模式")
在 PWA 主页上,从齿轮图标打开“网站设置”。
.png "PWA 的待决站点设置 (PS 2013)")
打开网站集管理员并添加 TFS 服务帐户。
打开“人员和组”。
.png "PWA 的待决人员和组 (PS 2013)")
选择要添加帐户的组。
.png "选择 PWA 中的组以添加帐户 (PS 2013)")
Project Web App 的团队成员:分配为资源的用户帐户添加到项目计划中,或添加到工作项的“指派给”字段。 或者,添加用于管理这些资源的 Active Directory 组。
Project Web App 的管理员:Team Foundation Server的服务帐户、Project Server web 应用程序池和 Project Server 事件处理程序。 此外,添加通过运行 TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA 命令配置集成的用户的帐户
PWA 网站集管理员:通过运行TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA命令配置集成的用户的帐户
Project Web App 的项目经理: Project Professional 的用户帐户。
提示
若要查看默认组,请选择“更多”。若要查看分配到每个组的权限,请选择“设置,查看组权限”。若要了解详细信息,请参阅在 Project Server 2013 中规划用户访问。
在组页上,选择“新建、添加用户”。
键入要添加到选定组的每个帐户或 Active Directory 组的名称。
.png "向 PWA 的组添加帐户 (PS 2013)")
选择“共享”。
2-5 将用户帐户添加到 Active Directory 企业资源库
要求: , 和
从 PWA 设置页的“操作策略”下,选择“Active Directory 资源库同步”。
.png "打开 Active Directory 资源库同步")
将 TFS 团队成员的 Active Directory 组添加到企业资源库。
.png "Active Directory 企业资源库")
3.授予 SharePoint 服务器权限
使用 SharePoint 管理中心授予指定的权限。 或者,您可以使用 Windows PowerShell。
任务 |
为这些配置设置: |
|---|---|
3-1. 授予完全控制连接权限以启动 Project Server 服务应用程序
|
|
3-2. 将 TFS 服务帐户添加到 SharePoint 站点的网站集管理员 |
|
3-1 授予完全控制连接权限以启动 Project Server 服务应用程序
要求: 和
在 Project Server 的 SharePoint 服务器上,打开“SharePoint 管理中心”,并在“应用程序管理”下,选择“管理服务应用程序”。
.png "选择“管理服务应用程序”")
通过在行内单击而非单击应用程序名称,高亮“Project Server 服务应用程序”行。 在功能区中,选择“权限”。
.png "选择权限")
键入 TFS 的服务帐户名,然后选择“添加”。
确保高亮了新添加的服务帐户名,然后选择“完全控制”复选框。 选择**“确定”**。
.png "连接权限完全控制")
重复步骤 3 和 4,此时为 Project Server 事件处理程序的服务帐户添加服务帐户。 如果存在多个服务帐户,请确保添加此服务账户。
有关详细信息,请参阅限制或启用对服务应用程序的访问权限。
3-2.将 TFS 服务帐户添加到站点集合管理员组
要求:
在 Project Server 的 SharePoint 服务器上,打开“SharePoint 2013 管理中心”,并从齿轮图标选择“站点设置”。
.png "PS 2013 的待决 SharePoint 站点设置")
选择“网站集管理员”。
.png "PS 2013 的待决网站集管理员")
键入 TFS 服务帐户名,并在完成时选择“确定”。
4.授予 Project Server 数据库权限
要求: , 和
将权限授予 TFS 的服务帐户和 Project Server Web 应用程序池的服务帐户,以便更新每个 PWA 实例的数据库。 Project Server 2010 和 Project Server 2013 的所有部署均需要操作此步骤。
在 Project Server 的数据层服务器上,打开“SQL Server Management Studio”。
在“服务器类型”列表中,选择“数据库引擎”。
在“服务器名称”中,键入为 Project Server 承载数据库的服务器的名称,然后选择“连接”。
备注
如果群集上安装了 SQL Server,则键入该群集的名称而非计算机名。如果你已指定了命名实例,请按照以下格式键入服务器和实例的名称:DatabaseServer\InstanceName。
此时将打开 SQL Server Management Studio。
展开“数据库”,右键单击或打开 PWA 实例的数据库的上下文菜单,然后选择“属性”:
对于 Project Server 2010:PWA_Reporting 或 PWA_Publishing
对于 Project Server 2013:ProjectWebApp
在“权限”页上。 添加 TFS 的服务帐户(Project Server 2010 和 Project Server 2013 所需,权限模式)。
对于 SQL Server 2008:选择添加来添加帐户。
对于 SQL Server 2012:选择搜索来添加帐户。
.png "添加用户 (SQL Server 2012)")
根据已选数据库授予这些权限:
对于 Project Server 2010:PWA_Reporting:“更改任意架构”、“创建表”、“删除”、“执行”、“插入”、“选择”和“更新”。
对于 Project Server 2010:PWA_Publishing:选择
对于 Project Server 2013:“ProjectWebApp”“更改任意架构”、“创建表”、“删除”、“执行”、“插入”、“选择”和“更新”。
.png "检查权限")
重复步骤 5 到步骤 6,此时添加 Project Server Web 应用程序池的服务帐户。 所有部署都需要进行此操作。
对将参与与 TFS 进行数据同步的每个 PWA 实例重复步骤 4 到步骤 7。
5.将用户帐户添加到 Team Foundation Administrators 组
要求: , 和
在应用层服务器上,打开 Team Foundation 管理控制台,并打开“组成员资格”。
.png "应用程序层,选择“组成员身份”")
打开“Team Foundation Administrators”。
选择 Windows 用户或组,然后选择“添加”。
.png "添加 Windows 帐户")
输入通过运行 TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA 命令配置集成的用户的账户名。
.png "检查名称")
6.授予管理 Project Server 集成权限
要求: , 和
配置 TFS Project Server 集成的用户帐户需要将管理 Project Server 集成权限设置为“允许”。 对映射到 PWA 的每个项目集合进行此设置。
从项目集合的安全性页中,打开用户账户权限或已添加到 TFS 以管理项目服务器集成的 Windows 账户。 将管理 Project Server 集成的权限设置为“允许”。
.png "对管理 Project Server 整合 perm 进行设置")
7.将帐户添加到 Team Foundation 组
要求: , 和
在 Project Professional 或 TFS 中运行的用户帐户若要查看或参与 TFS,则需要权限。
从团队项目的 TWA 管理安全性页,你可以将帐户添加到项目集合或者每个团队项目。 将帐户或 Active Directory 组添加到适当的角色。
.png "选择该团队项目组并添加成员")
为将参与数据同步的每个团队项目验证用户帐户或将组添加到下列 TFS 组中:
参与者角色:在与 Project Server 集成的 TFS 项目下操作的团队成员。 这包括作为项目计划中的资源分配或分配给工作项的“分配给”字段的所有用户账户。 这些用户将流入状态队列的状态更新提交给项目经理。
访问者角色:修改映射到团队项目的企业项目计划的用户。
有关详细信息,请参阅 向团队项目添加用户。
权限检查表
使用以下检查表,检查所有权限是否已根据您的版本和身份验证模式进行了设置。 请记住必须向账户授予将参与 TFS 和 Project Server 之间的数据同步的所有 PWA 实例、团队项目和项目集合的权限。 如果您自定义角色或角色的安全类别,您可能会无意中删除所需的权限。
帐户 |
权限 |
Project Server 2010 |
Project Server 2013(权限模式) |
Project Server 2013(SharePoint 模式) |
应用程序 |
|---|---|---|---|---|---|
TFS 的服务帐户 |
全局和类别权限 |
|
|
PWA |
|
Project Web App 的管理员组 |
|
|
|
PWA |
|
网站集管理员组 |
|
SharePoint 管理中心 |
|||
将权限连接到 Project Server Service Application(完全控制) |
|
SharePoint 管理中心 |
|||
PWA_Reporting 和 PWA_Publishing 数据库 |
|
SQL Server Management Studio |
|||
ProjectWebApp 数据库 |
|
|
SQL Server Management Studio |
||
Project Server Web 应用程序池的服务帐户(备注 1) |
PWA 的管理员组 |
|
|
|
PWA |
PWA_Reporting 和 PWA_Publishing 数据库 |
|
SQL Server Management Studio |
|||
ProjectWebApp 数据库 |
|
|
SQL Server Management Studio |
||
Project Server 事件处理程序的服务帐户 |
将权限连接到 Project Server Service Application(完全控制) |
|
|
SharePoint 管理中心 |
|
PWA 的管理员组 |
|
|
PWA |
||
配置集成并运行 TFSProjectServer registerPWA 命令的用户帐户 |
PWA 的管理员组 |
|
|
|
PWA |
网站集管理员组 |
|
SharePoint 管理中心 |
|||
Team Foundation Administrators 组 |
|
|
|
Team Foundation 管理控制台 |
|
管理 Project Server 集成 |
|
|
|
TWA |
|
映射组件以支持 TFS-Project Server 集成但不注册 PWA 的用户账户 |
管理 Project Server 集成 |
|
|
|
TWA |
Project Professional 的用户 |
每个 PWA 实例的项目经理组 |
|
|
|
PWA |
TFS Readers 组 |
|
|
TWA |
||
作为项目资源分配或为其分配 TFS 工作项的用户 |
PWA 应用程序的团队成员组 |
|
|
|
PWA |
团队成员/安全类别(备注 2)(备注 2) |
|
|
PWA |
||
企业项目池以及项目计划的项目资源库 |
|
|
|
PWA |
|
TFS 参与者组 |
|
|
|
TWA |
说明:
某些部署可能具有 Project Server Web 应用程序池的多个服务帐户。 转到此处,确定这些应用程序池的服务帐户。
默认情况下,分配到团队成员的安全类别是足够的;但是,如果自定义了这些类别,则可能删除了某些权限。 以下类别是必需的:“创建新任务或分配”、“创建对象链接”、“打开项目”、“查看项目网站”、“在 Project Web App 中查看项目计划”(Project Server 2010) 和**“打开项目”、“查看项目网站”和“在 Project Web App 中查看项目计划”**(Project Server 2013,项目权限模式)。
问题解答
问:如何在 SharePoint 2010 中确定或更改身份验证模式?
答: 在 SharePoint 2010 管理中心站点,从“应用程序管理”部分打来“管理 web 应用程序”,然后打开 PWA 应用程序。
验证是否选择了经典模式身份验证。
.png "PWA 2010 身份验证")
如果未选择,则需要创建使用 Windows 经典身份验证的新 PWA 实例。
问:如何在 SharePoint 2013 中确定权限模式?
答: 在 PWA 主页上,使用齿轮图标打开 PWA 设置。
.png "PWA 页面,选择 PWA 设置")
如果设置了 SharePoint 权限模式,则会出现此页面:
.png "处于“SharePoint 权限”模式辖时的 PWA 设置")
如果设置了 SharePoint 权限模式,则会出现此页面,页面中包含题为“安全性”的章节。 也会出现其他链接:
.png "处于“项目权限”模式下时的 PWA 设置")
问:如何在 Project Server 2013 中切换权限模式?
答: 默认情况下,使用 SharePoint 权限模式创建 PWA 应用程序。
如果从 SharePoint 权限模式切换到经典 Project Server 权限模式,则必须在 Project Server 2013 中手动配置你的安全权限结构。 在 SharePoint 权限模式和 Project Server 权限模式之间进行切换会删除所有与安全性相关的设置。
若要切换权限模式,请参阅 Set-SPProjectPermissionMode。
问:其他哪些资源可用?
答:你可会从以下资源中发现其他问题的答案:
Project Server 2010 |
Microsoft Project Server 2013 |
|---|---|