設定要用於 TFS 部署的群組

如果您建立 Windows 或 Active Directory 群組，管理 TFS 中的使用者會輕鬆許多，尤其是如果您的部署包含 SharePoint Foundation 和 SQL Server Reporting Services 時。

在 Team Foundation Server 部署中的使用者、群組和使用權限

Team Foundation Server、SharePoint 產品與 SQL Server Reporting Services 都會維護其本身有關群組、使用者和使用權限的資訊。 若要以較簡單方式透過這些程式管理使用者和使用權限，您可以在部署中使用類似的存取需求建立使用者群組，讓這些群組能夠適當存取不同的軟體程式，然後視需要從群組加入或移除使用者。 如此會比在三個不同程式分別維護個別使用者或群組來的容易。

如果您的伺服器已在 Active Directory 網域，其中一個選項是建立特定 Active Directory 群組以管理您的使用者，就像是一組開發人員和測試人員負責 Team 專案集合的所有專案，或是在集合中建立和管理專案的一組使用者。 同樣地，您可以建立無法設定使用 Network Service 系統帳戶做為服務帳戶之服務的 Active Directory 帳戶。 若要這麼做，請在 SQL Server Reporting Services 建立一個 SharePoint Foundation 的 Active Directory 帳戶，做為報告的讀取資料來源帳戶。

重要

如果您決定在 TFS 中使用 Active Directory 群組，可以考慮建立專門用來在 TFS 中管理使用者的特定帳戶。如果使用針對其他用途所建立的既有群組，在變更成員資格以支援其他功能時可能會導致意外的使用者後果，尤其是當管理群組的人不熟悉 TFS 時更是如此。

安裝期間的預設選項是使用 Network Service 系統帳戶做為 Team Foundation Server 和 SQL Server 的服務帳戶。 如果您是基於安全性考量或其他原因 (如向外延展部署) 想要使用特定的帳戶做為服務帳戶，也可以這麼做。 您可能也需要建立特定的 Active Directory 帳戶以做為 SharePoint Foundation 的服務帳戶，以及做為 SQL Server Reporting Services 資料來源讀取帳戶。

如果您的伺服器在 Active Directory 網域中，但您沒有權限可建立 Active Directory 群組或帳戶，或者，如果您是在工作群組 (而不是網域) 中安裝您的伺服器，您就可以建立本機群組並且用來管理跨 SQL Server、SharePoint Foundation 與 Team Foundation Server 的使用者。 同樣地，您可以建立本機帳戶做為服務帳戶。 不過，請記得本機群組與帳戶沒有像網域群組和帳戶那麼強固。 例如，在伺服器故障事件中，您會需要在新伺服器上重新建立群組和帳戶。 如果您使用 Active Directory 群組和帳戶，即使裝載 Team Foundation Server 的伺服器故障時，也會保留群組和帳戶。

例如，在檢閱新部署的企業需求和專案管理人員的安全性需求之後，您可以選擇建立三個群組來管理部署中的大部分使用者：

• 一般群組內含完全參與預設 Team 專案集合中所有專案的開發人員和測試人員。 這個群組包含大部分的使用者。 您可將此群組命名為 TFS_ProjectContributors。

• 一小組的專案系統管理員，在集合中具有建立和管理專案的使用權限。 您可將此群組命名為 TFS_ProjectAdmins。

• 一組特殊及受限的承包商群組，其只能存取其中一個專案。 您可將此群組命名為 TFS_RestrictedAccess。

稍後，當部署展開時，您可決定建立其他群組。

在 Active Directory 中建立群組

• 在 Active Directory 中建立最符合您企業需求的本機網域、全域或通用類型安全性群組。 例如，如果這個群組需要來自多個網域的使用者，那麼通用群組類型將會最符合您的需求。 如需詳細資訊，請參閱建立新的群組 (Active Directory 網域服務)。

在伺服器上的建立本機群組

• 建立本機群組，並命名為會快速識別出其用途的名稱。 根據預設，您所建立之任何群組在該電腦上會具有與使用者預設群組對等的使用權限。 如需詳細資訊，請參閱建立本機群組。

建立帳戶做為 Active Directory 中的服務帳戶

• 在 Active Directory 建立一個帳戶，並根據您的企業需求設定密碼原則，並確實選取此帳戶的 [帳戶受信任可以委派]。 如需詳細資訊，請參閱建立新的使用者帳戶 (Active Directory 網域服務) 和了解使用者帳戶 (Active Directory 網域服務)。

建立本機帳戶做為伺服器上的服務帳戶

• 建立本機帳戶當成服務帳戶來使用，然後根據企業的安全性需求修改它的群組成員資格和其他屬性。 如需詳細資訊，請參閱建立本機使用者帳戶。

接下來嘗試這個

• 將使用者加入至 Team 專案

問與答

問：我可以使用群組來限制對 TFS 中專案或功能的存取嗎？

**答：**可以。 您可以建立用於 限制對專案的存取、用於管理存取層級和其他用途的特定群組。

問：有沒有更簡單的方式來管理跨 TFS、SharePoint 和報告功能的使用權限？

**答：**在 TFS 內沒有，不過，您可以考慮安裝及使用 CodePlex 的 Team Foundation Server 管理工具。