Configurar grupos a serem usados em implantações do TFS

  • Artigo

Gerenciar usuários em TFS é muito mais fácil se você criar grupos Windows ou Active Directory para eles, especialmente se sua implantação inclui a base SharePoint e o SQL Server Reporting Services.

Usuários, grupos, e permissões em implantações do Team Foundation Server

Team Foundation Server, Produtos do SharePoint e SQL Server Reporting Services mantêm suas próprias informações sobre grupos, usuários e permissões. Para fazer o gerenciamento de usuários e permissões através desses programas mais simples, você pode criar grupos de usuários com requisitos semelhantes de acesso na implantação, fornecer acesso a programas diferentes de software para esses grupos e, em seguida, apenas adicionar ou remover usuários de um grupo quando necessário. Isso é muito mais fácil do que manter usuários ou grupos individuais separadamente em três programas separados.

Se o servidor está em um domínio de Active Directory, uma opção é criar grupos específicos de Active Directory para gerenciar seus usuários, como um grupo de desenvolvedores e de testadores para todos os projetos na coleção de projeto de equipe, ou um grupo de usuários que podem criar e administrar projetos na coleção. Da mesma forma, você pode criar uma conta do Active Directory para os serviços que não possam ser configurados para usar a conta do sistema Serviço de rede como a conta de serviço. Para fazer isso, crie uma conta no Active Directory do SharePoint Foundation como fonte de dados de acesso de leitura para relatórios no SQL Server Reporting Services.

Importante

Se você decidir usar grupos do Active Directory no TFS, considere criar grupos específicos cujas finalidades são dedicadas ao gerenciamento de usuário no TFS.Usar grupos existentes previamente que foram criados para outra finalidade, especialmente se são gerenciados por outro que não é familiarizado com o TFS, pode resultar em consequências inesperadas do usuário quando a associação muda para suportar alguma outra função.

A opção padrão durante a instalação é usar a conta de sistema Serviço de Rede como a conta de serviço para o Team Foundation Server e o SQL Server. Se você deseja usar uma conta específica como a conta de serviço para fins de segurança ou outros motivos, como uma implantação dimensionada, você pode. Você também pode querer criar uma conta específica do Active Directory para usar como conta de serviço para o SharePoint Foundation e como conta do leitor de fonte de dados do SQL Server Reporting Services.

Se o servidor está em um domínio de Active Directory mas você não tem permissões para criar grupos ou contas de Active Directory, ou se você estiver instalando o servidor em um grupo de trabalho em vez de um domínio, você pode criar e usar grupos locais para gerenciar usuários através do SQL Server, do SharePoint Foundation e do Team Foundation Server. Da mesma forma, você pode criar uma conta local a ser usada como a conta de serviço. No entanto, tenha em mente que as contas e os grupos locais não são tão robustos quanto as contas e os grupos de domínio. Por exemplo, no caso de uma falha do servidor, você precisará recriar os grupos e as contas a partir do zero no novo servidor. Se você usar grupos e contas do Active Directory, os grupos e as contas serão preservados, mesmo se o servidor que hospeda o Team Foundation Server falhar.

Por exemplo, após revisar requisitos de negócios para a nova implantação e requisitos de segurança com os gerentes de projetos, você pode decidir criar três grupos para gerenciar a maioria dos usuários na implantação:

  • Um grupo geral para desenvolvedores e testadores que participarão totalmente em todos os projetos na coleção padrão de projeto de equipe. Esse grupo conterá a maioria dos usuários. Você pode nomear este grupo como TFS_ProjectContributors.

  • Um pequeno grupo de administradores de projeto que terá permissões para criar e gerenciar projetos na coleção. Você pode nomear este grupo como TFS_ProjectAdmins.

  • Um grupo especial e restrito de contratantes que terão acesso somente a um dos projetos. Você pode nomear este grupo como TFS_RestrictedAccess.

Posteriormente, conforme a implantação expande, você pode decidir criar outros grupos.

Para criar um grupo no Active Directory

  • Crie um grupo de segurança que é um domínio local, global ou grupo universal no Ative Directory, como melhor atender suas necessidades comerciais. Por exemplo, se o grupo precisa conter usuários de mais de um domínio, o tipo de grupo universal melhor atenderá às suas necessidades. Para obter mais informações, consulte Criar um novo grupo (Serviços de Domínio Active Directory).

Para criar um grupo local no servidor

  • Crie um grupo local e dê um nome que identifique rapidamente sua finalidade. Por padrão, qualquer grupo que você criar terá as permissões equivalentes do grupo padrão de Usuários no computador. Para obter mais informações, consulte Criar um grupo local.

Para criar uma conta a ser usada como a conta de serviço no Active Directory

Para criar uma conta local a ser usada como a conta de serviço no servidor

  • Crie uma conta local para usar como a conta de serviço e, em seguida, modifique sua associação de grupo e outras propriedades de acordo com os requisitos de segurança para sua empresa. Para obter mais informações, consulte Criar uma conta de usuário local.

Tente este seguinte

P e R

P: Posso usar grupos para restringir o acesso a projetos ou recursos no TFS?

A: Sim, você pode. Você pode criar grupos específicos para restringindo acesso a projetos, para gerenciamento dos níveis de acesso e outros fins.

P: Há uma maneira mais simples para gerenciar permissões no TFS, no SharePoint e em relatórios?

A: Não dentro do próprio TFS, mas considere instalar e usar a Ferramenta de Administração do Team Foundation Server do CodePlex.