Team Foundation Server の管理アクセス許可の設定

  • [アーティクル]

Team Foundation Server の Team Foundation 管理者グループにユーザーを追加することで、Visual Studio Team Foundation Server の対象のユーザーに管理者のアクセス許可を付与できます。 配置で SQL Server Reporting Services のリソースを使用している場合は、そのプログラムでも対象のユーザーにアクセス許可を付与する必要があります。 以前のバージョンの Team Foundation Server とは異なり、SharePoint 製品で管理者に Team Foundation のアクセス許可を付与する必要はありません。 SharePoint 製品との相互運用性に必要なアクセス許可は、Team Foundation Server のサービス アカウントに付与されます。 ただし、最適な相互運用性を実現し、使用しやすくするために、必要に応じて SharePoint 製品の特定のグループ内のメンバーに Team Foundation 管理者グループ メンバーシップを付与できます。

管理者は、Team Foundation Server を実行している 1 つ以上のサーバーを保守し、他のロールのアクセス許可とセキュリティをサーバー レベルおよびチーム プロジェクト コレクション レベルで管理します。 Team Foundation 管理者グループのメンバーは、Team Foundation Server のユーザーの中で最も高いアクセス許可のセットを持ちます。 Team Foundation Server を使用する大部分の組織では、管理者がチーム プロジェクト コレクションの作成と管理を担当し、さらにサーバーの保守に必要な操作も実行します。

チームの他のメンバーのアクセス許可を設定する方法については、「チーム プロジェクトへのユーザーの追加」および「チーム プロジェクト コレクションの管理アクセス許可の設定」を参照してください。

Team Foundation Server の管理者は、次のグループのメンバーであるか、次のアクセス許可が付与されている必要があります。

  • Team Foundation Server: Team Foundation 管理者、または適切なサーバー レベルのアクセス許可が [許可] に設定されている。 詳細については、「Team Foundation Server の既定のグループ、アクセス許可、およびロール」を参照してください。

  • Windows: Team Foundation の管理コンソールを実行しているサーバーの Administrators グループ。 管理コンソールを正しく操作するには、管理アクセス許可が必要です。

  • SharePoint 製品: SharePoint サーバーの全体管理の適切なグループに属しているか、適切なアクセス許可が付与されている。 配置構成とセキュリティ要件によっては、SharePoint 製品のどのグループにもユーザーを追加する必要がない場合もあります。 最適な相互運用性を実現するためには、次の SharePoint 製品グループにユーザーを追加することを検討してください。

    • ファーム管理者

    • Team Foundation Server の配置で使用されているすべてのサイト コレクションに対するサイト コレクション管理者グループ

    詳細については、「SharePoint 製品と Team Foundation Server 間の相互作用」および「Team Foundation Server におけるサービス アカウントと依存関係」を参照してください。

  • Reporting Services: Team Foundation コンテンツ マネージャー、および構成データベース、レポート データベースと分析データベース、チーム プロジェクト コレクションのデータベースに対する sysadmin グループ メンバーシップまたは db_owner グループ メンバーシップ。

  • SQL Server: ユーザーがチーム プロジェクト コレクションの作成時にデータベースを作成できるようにする場合は serveradmin ロール。 このロールのメンバーシップがセキュリティ要件で制限されている場合、SQL Server 管理者はチーム プロジェクト コレクションを作成する前にデータベースを作成する必要があります。

注意

適切なアクセス許可を持つユーザーでも、サイトを Internet Explorer の信頼済みサイトに追加しないと、チーム プロジェクト ポータルやレポートを正常に表示できないことがあります。 詳細については、Microsoft Web サイトの「ユーザー アカウント制御」を参照してください。

Team Foundation Server の管理アクセス許可は 2 つの方法で付与できます。つまり、管理コンソールから付与するか、アクセス許可を付与する各プログラムから直接付与します。 管理コンソールからアクセス許可を付与する方が簡単ですが、いくつかの要件があります。 次の条件をすべて満たす場合は管理コンソールを使用することを検討してください。

  • Team Foundation Server の配置が信頼できる環境にあり、その環境で Team Foundation Server のサービス アカウントに SharePoint 製品および SQL Server Reporting Services のアクセス許可が付与されている。

  • すべてのプログラムが同じコンピューターで実行されている (シングルサーバー配置)。

  • 配置のセキュリティ要件によって、次の箇条書きリストに含まれる 1 つ以上のアクセス許可の付与が制限されていない。

既定では、管理コンソールからユーザーを追加すると、対象のユーザーに Team Foundation Server のシングルサーバー配置に存在する次のグループのメンバーシップが付与されます。

  • Team Foundation Server 内の Team Foundation 管理者グループ

  • インターネット インフォメーション サービス (IIS) の IIS_IUSRS および TFS_APPTIER_SERVICE_WPG グループ

  • SQL Server Reporting Services のコンテンツ マネージャー ロール (レポートが構成されている場合)

  • SharePoint 製品のファーム管理者グループ (SharePT を使用するように配置が構成されている場合)

  • Team Foundation Server で使用されるすべてのデータベース (コレクション データベースを含む) に対する DBO ロールおよび TFSExecRole

重要

ユーザーのアカウントをコンソール ユーザーとして追加することにより、ローカルの Administrators グループにユーザーを追加することはできません。 そのユーザーがコンソールを開いて使用するために必要なすべてのアクセス許可を付与する前に、ユーザーをそのグループに手動で追加する必要があります。 さらに、チーム プロジェクト コレクション作成の一部としてデータベースを作成するために十分なアクセス許可をユーザーに与えるには、SQL Server の serveradmin ロールにユーザーのメンバーシップを付与する必要があります。

Team Foundation Server の配置の各プログラムで直接アクセス許可を付与する場合、より多くの時間を要しますが、ユーザーに付与する正確なアクセス許可を的確に構成できます。 次のいずれかの条件を満たす場合は各プログラムで直接アクセス許可を付与することを検討してください。

  • Team Foundation Server の配置がマルチサーバー配置である。

  • 配置が、SQL Server および SharePoint 製品を実行しているサーバーと Team Foundation Server の間にセキュリティ制限がある環境にある。 

  • 管理コンソールから自動的に付与されるものとは異なる SharePoint 製品、SQL Server Reporting Services、および Team Foundation Server のグループ メンバーシップとアクセス許可レベルを構成する必要がある。 

必要なアクセス許可

これらの手順を実行するには、次のグループに属しているか、次のアクセス許可が付与されている必要があります。

  • Team Foundation 管理者グループに属しているか、[インスタンスレベル情報の表示] および [インスタンスレベル情報の編集] アクセス許可が [許可] に設定されている。

  • SQL Server Reporting Services のアクセス許可を追加する場合は、Team Foundation コンテンツ マネージャー グループまたはシステム管理者グループに属している。

  • SharePoint 製品 のアクセス許可を追加する場合は、ファーム管理者グループ、Team Foundation Server をサポートしている Web アプリケーションの管理者グループ、または SharePoint 管理グループに属している。 グループ メンバーシップは、配置のセキュリティ アーキテクチャ、およびユーザーを追加する 1 つ以上のグループによって決まります。

  • SQL Server のロール メンバーシップを追加する場合は、Team Foundation Server のデータベースをホストする各サーバーの sysadmin ロール。

重要

チーム プロジェクト コレクションの作成などの管理タスクを実行するには、ユーザー アカウントに管理アクセス許可が必要です。また、Team Foundation Background Job Agent で使用されるサービス アカウントにも特定のアクセス許可が付与されている必要があります。 詳細については、「Team Foundation Server におけるサービス アカウントと依存関係」および「Team Foundation Background Job Agent」を参照してください。

アクセス許可の詳細については、「Team Foundation Server のアクセス許可」を参照してください。

これらのアクセス許可に加えて、Windows Server 2008、Windows Server 2008 R2、Windows Vista、または Windows 7 を実行しているコンピューターで次の要件を満たすことが必要になる場合があります。

  • Internet Explorer を必要とする手順を実行するには、Internet Explorer を管理者として起動することが必要になる場合があります。その場合は、[スタート] ボタンをクリックし、[すべてのプログラム] をクリックします。次に、[Internet Explorer] を右クリックし、[管理者として実行] をクリックします。

  • SQL Server Reporting Services のレポート マネージャー、レポート、または Web サイトにアクセスするには、これらのサイトを Internet Explorer の信頼済みサイトの一覧に追加するか、管理者として Internet Explorer を起動することが必要になる場合があります。

詳細については、Microsoft Web サイトの「ユーザー アカウント制御」を参照してください。

Team Foundation の管理コンソールから信頼できる環境の管理アクセス許可を付与するには

  1. Team Foundation の管理コンソールを開きます。

    詳細については、「Team Foundation 管理コンソールを開く」を参照してください。

  2. サーバーを展開して、[アプリケーション層] をクリックします。

  3. [管理コンソール ユーザー] セクションで、[追加] をクリックします。

  4. [Team Foundation Server 管理コンソール ユーザーの追加] に、Team Foundation 管理者のメンバーとして追加するユーザー アカウントを入力します。

    エイリアスがはっきりわからない場合は、[検索] をクリックします。 また、[高度な機能] セクションを展開し、[コレクションの作成に必要なアクセス許可を追加] および [サービス アカウントの変更に必要なアクセス許可を追加] の選択内容を運用ニーズおよび追加しているユーザーのセキュリティ要件に最も合うように変更できます。

  5. 選択が完了したら、[OK] をクリックします。

  6. [管理コンソール ユーザーの追加] ウィンドウで進行状況に関する情報を確認します。

  7. (省略可能) プロセスが完了したら、リンクをクリックしてログ ファイルを開きます。

  8. [閉じる] をクリックして、管理コンソールに戻ります。

    重要

    ユーザーのアカウントをコンソール ユーザーとして追加することにより、ローカルの Administrators グループにユーザーを追加することはできません。 そのユーザーがコンソールを開いて使用するために必要なすべてのアクセス許可を付与する前に、ユーザーをそのグループに手動で追加する必要があります。 さらに、チーム プロジェクト コレクション作成の一部としてデータベースを作成するために十分なアクセス許可をユーザーに与えるには、SQL Server の serveradmin ロールにユーザーのメンバーシップを付与する必要があります。

Team Foundation Server で管理アクセス許可を付与するには

  1. 次のいずれかの手順を実行して、[グローバル グループ] ウィンドウを開きます。

    チーム エクスプローラーを使用する場合:

    1. チーム エクスプローラーで、Team Foundation Server を実行している、アクセス許可の設定対象のサーバーに接続します。

      詳細については、「How to: Connect to a Team Project in Team Foundation Server」を参照してください。

    2. サーバーを右クリックし、[Team Foundation Server の設定] をポイントし、[グループ メンバーシップ] をクリックします。

    3. [グローバル グループ] ウィンドウで、[Server\Team Foundation Administrators] をクリックし、[プロパティ] をクリックします。

    4. [メンバーの追加] で、[Windows ユーザーまたはグループ] をクリックし、[追加] をクリックします。

    5. Team Foundation 管理者グループに追加するユーザーのアカウント名を入力し、[OK] を 2 回クリックします。

    6. [閉じる] をクリックして [グローバル グループ] ウィンドウを閉じます。

    Team Foundation の管理コンソールを使用する場合:

    1. Team Foundation の管理コンソールを開きます。

      詳細については、「Team Foundation 管理コンソールを開く」を参照してください。

  2. サーバーを展開して、[アプリケーション層] をクリックします。

  3. [管理コンソール ユーザー] セクションで、[追加] をクリックします。

  4. [Team Foundation Server 管理コンソール ユーザーの追加] に、Team Foundation 管理者のメンバーとして追加するユーザー アカウントを入力します。

    エイリアスがはっきりわからない場合は、[検索] をクリックします。 また、[高度な機能] セクションを展開し、[コレクションの作成に必要なアクセス許可を追加] および [サービス アカウントの変更に必要なアクセス許可を追加] の選択内容を運用ニーズおよび追加しているユーザーのセキュリティ要件に最も合うように変更できます。

  5. 選択が完了したら、[OK] をクリックします。

  6. [管理コンソール ユーザーの追加] ウィンドウで進行状況に関する情報を確認します。

  7. (省略可能) プロセスが完了したら、リンクをクリックしてログ ファイルを開きます。

  8. [閉じる] をクリックして、管理コンソールに戻ります。

    重要

    ユーザーのアカウントをコンソール ユーザーとして追加することにより、ローカルの Administrators グループにユーザーを追加することはできません。 そのユーザーがコンソールを開いて使用するために必要なすべてのアクセス許可を付与する前に、ユーザーをそのグループに手動で追加する必要があります。 さらに、チーム プロジェクト コレクション作成の一部としてデータベースを作成するために十分なアクセス許可をユーザーに与えるには、SQL Server の serveradmin ロールにユーザーのメンバーシップを付与する必要があります。

Windows SharePoint Services 3.0 または Microsoft Office SharePoint Server 2007 で管理アクセス許可を付与するには

  1. SharePoint 製品を実行しているサーバーで、SharePoint サーバー管理を開きます。

    詳細については、「サイト管理または SharePoint 製品用サーバーの全体管理へのアクセス」を参照してください。

  2. セキュリティ ニーズに応じて、ファームまたは Web アプリケーション レベルで対象のユーザーに適切なアクセス許可を付与します。

    詳細については、「SharePoint 製品でのロール」および Microsoft Web サイトの「Microsoft Windows SharePoint Services 3.0 (WSS)」を参照してください。 最適な相互運用性を実現するためには、SharePoint 製品の次のグループに Team Foundation 管理者グループのユーザーを追加することを検討してください。

    • ファーム管理者

    • Team Foundation Server の配置で使用されているすべてのサイト コレクションに対するサイト コレクション管理者グループ

Reporting Services で管理アクセス許可を付与するには

  1. Internet Explorer を開始します。

    注意

    管理資格情報を使用してログオンした場合でも、Windows Server 2008 または Windows Vista を実行中のコンピューターに対してこの機能を実行するには、管理者として Internet Explorer を起動する必要があります。 Internet Explorer を管理者として起動するには、[スタート] ボタンをクリックし、[すべてのプログラム] をクリックします。次に、[Internet Explorer] を右クリックし、[管理者として実行] をクリックします。 詳細については、Microsoft Web サイトの「ユーザー アカウント制御」を参照してください。

  2. アドレス バーに http://ReportServer/Reports/Pages/Folder.aspx という URL を入力します。ReportServer は Reporting Services を実行しているサーバーの名前を表します。

    レポート サーバーの名前を検索するには、チーム エクスプローラーを開き、[レポート] ノードを展開し、レポートのプロパティを表示します。

    重要

    名前付きインスタンスを使用している場合は、レポートのパスにその名前を含める必要があります。 構文 "http://ReportServer/Reports_InstanceName/Pages/Folder.aspx" を使用します。ReportServer は Team Foundation のレポート サーバーの名前を表し、InstanceName は SQL Server のインスタンスの名前を表します。

  3. [プロパティ] タブをクリックし、[新しいロールの割り当て] をクリックします。

  4. [グループ名またはユーザー名] に、管理アクセス許可を付与するユーザーまたはグループのアカウント名を入力します。

  5. [ロール][Team Foundation コンテンツ マネージャー] をクリックし、[OK] をクリックします。

参照

処理手順

チーム プロジェクトへのユーザーの追加

概念

Team Foundation Server のアクセス許可

Team Foundation Server の既定のグループ、アクセス許可、およびロール

その他の技術情報

ユーザー、グループ、およびアクセス許可の構成