設定 Team Foundation Server 的系統管理員權限

  • 發行項

若要執行系統維護,請排定備份時間、新增功能,並執行其他的工作,Visual Studio Team Foundation Server (TFS) 系統管理員必須能夠設定和控制 TFS 的所有層面。 因此,TFS 系統管理員會需要與 TFS 互通的軟體程式系統管理權限。

您可以快速將這些權限授與系統管理員,方法是將這些權限加入至 Team Foundation Server (TFS) 中的 Team Foundation Administrators 群組。 不過,您只能將這個等級的權限授與需要維護 TFS 的極少數使用者。

將使用者新增至 TFS 本機 Administrators 群組,以及新增為 Team Foundation Server 管理主控台的管理員

  1. 在應用程式層伺服器上,將使用者加入至本機的 Administrators 群組。

    依照您的作業系統適用的指示執行

  2. 開啟管理主控台,並加入主控台使用者。

    按一下或按下 Tab 鍵,然後輸入使用者名稱

  3. 檢閱進度,確定使用者帳戶已加入至部署的所有層面,包括 SharePoint 和報告資源。

    檢閱進展

    如果您在執行沒有 SharePoint 或報告的標準單一伺服器部署,或是多部伺服器部署,這就對了! 不過,如果您有多個應用程式層,您需要在每一部應用程式層伺服器重複這兩個步驟。 如果其他伺服器上有 SharePoint 或報告,您可能必須分別將系統管理使用者手動加入至這些產品。

授與 SharePoint Foundation 中的系統管理權限

  1. 在正在執行 SharePoint 產品的伺服器上,開啟 [SharePoint 管理中心]。

  2. 根據您的安全性需求,在陣列或 Web 應用程式層級授與此使用者合適的權限。

    為了獲得最佳互通性,請考慮將 [Team Foundation Administrators] 群組的使用者加入至 SharePoint 產品中的下列群組:

    • Farm Administrators

    • Team Foundation Server 部署所使用之所有網站集合的 [網站集合管理員] 群組

    依照您的 SharePoint 版本適用的指示執行依照您的 SharePoint 版本適用的指導執行

在 Reporting Services 中授與管理權限

  1. 啟動 Internet Explorer。

  2. 在位址列中指定以下 URL,其中 ReportServer 是執行 Reporting Services 的伺服器名稱:http://ReportServer/Reports/Pages/Folder.aspx

    重要

    如果您使用具名執行個體,就必須將其名稱包含在報告的路徑中。您可以使用以下語法 (其中 ReportServer 是 Team Foundation 的報表伺服器名稱,而 InstanceName 是 SQL Server 執行個體的名稱):http://ReportServer/Reports_InstanceName/Pages/Folder.aspx

  3. 選擇 [資料夾設定],然後選擇 [新增角色指派。]。

  4. 加入您要授與系統管理權限,並授與 Team Foundation 內容管理員角色成員資格之使用者或群組的帳戶名稱。

    按一下並選擇,或者按下 Tab 鍵、空格鍵和 Enter

問與答

問:我應該將誰加入 TFS 中的 Administrator 角色?

答: 系統管理員會維護至少一部執行 Team Foundation Server 的伺服器,並在伺服器層級和 Team 專案集合層級管理其他角色的權限和安全性。 您的部署至少需要一個系統管理員。 根據您對可用系統管理員的需求,您可能需要加入更多系統管理員,以確保在倉卒通知下可找到人執行系統管理員層級的工作。

例如,您需要將一個預期會執行下列其中一項或多項工作的人加入為系統管理員:

  • 建立或刪除 Team 專案集合

  • 備份 TFS

  • 變更 Team Web Access 的存取層級。

  • 管理報告倉儲

  • 變更 TFS 使用的 SharePoint Web 應用程式

  • 檢視和編輯伺服器層級的權限

  • 觸發警示事件

問:跨 TFS 所有元件與相依關係管理 TFS 所需要的最佳權限有哪些?

**答:**最佳情況是,TFS 的系統管理員必須是下列群組的成員,或擁有下列權限:

  • Team Foundation Server:Team Foundation Administrators,或將適當的伺服器層級權限設定為 [允許]。

  • Windows:執行 Team Foundation 管理主控台之伺服器上的本機 Administrators 群組。 管理主控台需要系統管理權限,才能正確操作。

  • SharePoint 產品:「SharePoint 管理中心」中的適當群組或權限。 根據部署組態和安全性需求而定,您或許不需要將使用者加入至 SharePoint 產品中的任何群組。 但為了獲得最佳互通性,請考慮將他們加入至下列 SharePoint 產品群組:

    • Farm Administrators

    • Team Foundation Server 部署所使用之所有網站集合的 [網站集合管理員] 群組。

  • Reporting Services:[Team Foundation 內容管理員],以及組態資料庫、報表和分析資料庫和 Team 專案集合之資料庫的 [sysadmin] 或 [db_owner] 群組成員資格。

  • SQL Server:TFS 使用之所有資料庫的 sysadminserveradmin

問:有一種以上在 TFS 中授與系統管理員權限的方法嗎?

**答:**可以。 您可以透過兩種方式授與 Team Foundation Server 的管理權限:透過管理主控台或是直接透過每個您要為其授與權限的程式。 透過管理主控台授與權限比較簡單,但有一些需求。 如果下列條件全部成立,請考慮使用管理主控台:

  • 您的 Team Foundation Server 部署是在信任的環境中,其中 Team Foundation Server 的服務帳戶具有 SharePoint 產品和 SQL Server Reporting Services 的權限。

  • 所有程式都是在同一部電腦上執行 (單一伺服器部署)。

  • 部署的安全性需求並未限制不能授與接下來所列項目符號清單中的一個或多個權限。

根據預設,在 Team Foundation Server 單一伺服器部署中透過管理主控台加入使用者,會將下列群組的成員資格授與他們:

  • Team Foundation Server 中的 Team Foundation Administrators 群組

  • 網際網路資訊服務 (IIS) 中的 [IIS_IUSRS] 和 [TFS_APPTIER_SERVICE_WPG] 群組

  • SQL Server Reporting Services 中的 [內容管理員] 角色 (如果已設定報告功能)

  • SharePoint 產品 中的 Farm Administrators 群組 (如果部署已設定為使用 SharePoint 產品)

  • Team Foundation Server 使用之所有資料庫 (包括集合資料庫) 的 DBO 角色和 TFSExecRole

重要

您無法透過將使用者帳戶加入做為主控台使用者,讓此使用者加入到本機 [系統管理員] 群組。您必須先手動將使用者加入至該群組,然後該使用者才會擁有開啟及使用主控台所需的所有權限。此外,如果您希望使用者在建立 Team 專案集合的過程中擁有建立資料庫的足夠權限,您必須授與該使用者 SQL Server 中 sysadmin 角色的成員資格。

直接在 Team Foundation Server 部署中的每一個程式授與權限比較耗費時間,但您可以精確地設定要授與使用者的權限。 如果下列任一條件成立,請考慮直接在每一個程式授與權限:

  • 您的 Team Foundation Server 部署是多伺服器部署。

  • 您的部署所在的環境對於 Team Foundation Server 與執行 SQL Server 和 SharePoint 產品的伺服器之間的安全性有所限制。

  • 您想要在 SharePoint 產品、SQL Server Reporting Services 和 Team Foundation Server 中設定的群組成員資格與權限等級,不同於透過管理主控台自動授與的群組成員資格與權限等級。

問:我是系統管理員,但是我好像沒有加入 TFS 系統管理員所需要的所有權限。我還需要什麼?

**答:**以下是必要的權限:

  • [Team Foundation Administrators ] 群組或已將 [檢視執行個體層級資訊] 和 [編輯伺服器層級資訊] 權限設為 [允許]。

  • 如果要加入 SQL Server Reporting Services 的權限,則為 [Team Foundation 內容管理員] 群組或 [系統管理員] 群組。

  • 如果要加入 SharePoint 產品的權限,則為 [Farm Administrators] 群組、支援 Team Foundation Server 之 Web 應用程式的系統管理員群組,或 [SharePoint Administration] 群組。 群組成員資格將根據部署的安全性架構以及您要將使用者加入至的群組而定。

  • 裝載 Team Foundation Server 資料庫的每部伺服器上,SQL Server 中的 sysadmin 角色。

重要

若要執行包含資料庫變更的系統管理工作 (例如建立 Team 專案集合),您的使用者帳戶需要系統管理權限,而且「Team Foundation 背景工作代理程式」使用的服務帳戶也必須被授與某些特定權限。如需詳細資訊,請參閱服務帳戶與相依性

問:TFS 連接至 SQL Server 所需的最小權限為何?

**答:**若要安裝、升級和設定 TFS,執行 [Team Foundation 管理主控台] 的使用者需要下列權限和角色成員資格。

  • serveradmin 伺服器角色的成員資格

  • ALTER ANY LOGINCREATE ANY DATABASEVIEW ANY DEFINITION 伺服器範圍權限

  • master 資料庫的 CONTROL 權限。

如果使用者沒有這些權限和角色成員資格,TFS 組態作業將會被封鎖。 當您透過 [Team Foundation Server 管理主控台],新增使用者至 Administration Console Users 群組時,TFS 會嘗試授與這些權限和角色成員資格。

問:為什麼需要 SQL Server 權限和成員資格?

**答:**安裝、升級和設定 TFS 牽涉到一系列需要高階權限的複雜作業。 這些作業可能包括建立資料庫、為服務帳戶佈建登入等等。 為了確保安裝、升級和設定成功,TFS 會檢查是否已正確指派權限,以確保各種作業都能順利完成。 即使是執行這些檢查,也都需要高階權限。 因此,這些權限和角色成員資格都是必要且無法略過的。

問:在安裝或升級 TFS 之後,可以撤銷 SQL Server 權限和角色成員資格嗎?

**答:**可以,但是必須為 TFS 服務帳戶配置必要的權限和角色成員資格,如服務帳戶與相依性所述。 當系統管理員需要安裝、升級和設定 TFS 時,只需要上述權限和角色成員資格。

問:何處可以找到每個個別 TFS 權限的詳細資訊?

**答:**請參閱 Team Foundation Server 的權限參考