Dienstkonten und Abhängigkeiten in Team Foundation Server

  • Artikel

Sie können Visual Studio Team Foundation Server besser verwalten, wenn Sie die Dienste und unterschiedlichen Dienstkonten verstehen, die jede Bereitstellung von Team Foundation Server umfasst und von denen jede Bereitstellung abhängig ist. In Abhängigkeit davon, wie Sie Team Foundation Server installiert und konfiguriert haben, werden diese Dienste und Dienstkonten alle auf einem Computer oder auf mehreren Computern ausgeführt.

Team Foundation Server umfasst Dienste und Dienstkonten, die in einer Bereitstellung auf den folgenden Computern ausgeführt werden:

  • Auf einem Server, der eine oder mehrere Datenbanken für Team Foundation Server hostet.

  • Auf einem Server, der Komponenten der Anwendungsebene in Team Foundation hostet.

  • Auf einem Computer, auf dem Team Foundation Server Proxy ausgeführt wird.

  • Auf einem Buildcomputer.

  • Auf einem Testcomputer.

  • Auf einem Computer, auf dem eine oder mehrere Komponenten von Visual Studio Lab Management ausgeführt werden.

Sie können verschiedene Funktionen von Team Foundation auf verschiedene Weise installieren und bereitstellen. Die Verteilung von Funktionen in der Bereitstellung bestimmt, welche Dienste und Dienstkonten auf welchen physischen Computern ausgeführt werden. Außerdem müssen Sie möglicherweise die Dienstkonten für Softwareprogramme verwalten, die für Team Foundation Server konfiguriert sind, z. B. die Dienstkonten für SharePoint-Produkte und SQL Server.

In diesem Thema

  • Dienstkonten für Team Foundation Server

  • Interaktion von Dienstkonten zwischen Team Foundation Server und Microsoft Office SharePoint Server 2007

  • Dienste, die unter Dienstkonten ausgeführt werden

Dienstkonten für Team Foundation Server

Obwohl in Team Foundation Server verschiedene Dienstkonten verwendet werden, kann dasselbe Domänen- oder Arbeitsgruppenkonto für den Großteil aller Dienstkonten verwendet werden. Beispielsweise kann dasselbe Domänenkonto "Contoso\Example" sowohl als Dienstkonto für Team Foundation Server (TFSService) als auch als Datenquellenkonto für SQL Server Reporting Services (TFSReports) verwendet werden. Andere Dienstkonten können jedoch andere Berechtigungsstufen erfordern. TFSService muss beispielsweise über die Berechtigung Anmelden als Dienst, und TFSReports muss über die Berechtigung Lokal anmelden zulassen verfügen. Wenn Sie dasselbe Konto "Contoso\Example" für beide verwenden, müssen Sie dem Konto diese beiden Berechtigungen gewähren. Außerdem erfordert TFSService für die ordnungsgemäße Funktion wesentlich mehr Berechtigungen als TFSReports, wie in der Tabelle weiter unten in diesem Thema dargestellt ist. Aus Sicherheitsgründen sollten Sie erwägen, separate Konten für diese beiden Dienstkonten zu verwenden.

Wichtig

Sie dürfen das Konto, das zum Installieren von Team Foundation Server verwendet wurde, nicht als das Konto für eines dieser Dienstkonten verwenden.

Wenn Team Foundation Server in einer Active Directory-Domäne bereitgestellt wurde, sollte für Dienstkonten die Option Konto ist vertraulich und kann nicht delegiert werden festgelegt werden. In der folgenden Tabelle muss diese Option beispielsweise für TFSService festgelegt werden. Weitere Informationen zu erforderlichen Dienstkonten und zu den in der Dokumentation für Team Foundation Server verwendeten Platzhalternamen finden Sie im Thema "Erforderliche Konten für die Installation von Team Foundation-Komponenten" im Installationshandbuch für Team Foundation. Weitere Informationen über das Einschränken der Kontendelegierung in Active Directory finden Sie auf der folgenden Seite auf der Microsoft-Website: Enabling Delegated Authentication.

Da Sie mehrere Dienstkonten verwalten müssen, wird auf jedes Dienstkonto durch einen Platzhalternamen verwiesen, der die entsprechende Funktion angibt, wie in der Tabelle weiter unten in diesem Thema aufgeführt. Der Platzhaltername ist nicht der tatsächliche Name des Kontos, das Sie für jedes Dienstkonto verwenden. Der tatsächliche Name des Kontos ist von der Bereitstellung abhängig. Im vorherigen Beispiel lautete das sowohl für TFSService als auch für TFSReports verwendete Konto "Contoso\Example". In Ihrer eigenen Bereitstellung können Sie Domänenkonten mit dem Namen "TFSService" und "TFSReports" erstellen, oder Sie können das Systemkonto für den Netzwerkdienst als Dienstkonto für Team Foundation Server verwenden.

Wichtig

Sofern nicht ausdrücklich angegeben, dürfen die Gruppen oder Konten in der folgenden Tabelle nicht Mitglied der Gruppe "Administratoren" auf einem der Server in der Bereitstellung von Team Foundation Server sein.

In der folgenden Tabelle sind alle Dienstkonten dargestellt, die Sie in einer Bereitstellung von Team Foundation Server verwenden können:

Dienstkonto

Platzhaltername und verwendbarer Kontotyp

Erforderliche Berechtigung und Gruppenmitgliedschaft

Hinweise

Dienstkonto für Team Foundation Server

TFSService kann ein lokales Konto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne sein

  • Anmelden als Dienst auf dem Anwendungsebenenserver

  • Gruppe Farm Administrators für SharePoint-Webanwendungen, für die Team Foundation Server 1 verwendet 

  • TFSExecRole oder, wenn diese Rolle für die Datenbank nicht vorhanden ist, eine Kombination der folgenden Rollen für alle Datenbanken, die Team Foundation Server verwendet:

    • db_owner

    • db_create

Dieses Dienstkonto wird für alle Webdienste für Team Foundation Server verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.

Datenquellenkonto für SQL Server Reporting Services

TFSReports (kann ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe sein)

  • Lokal anmelden zulassen auf dem Anwendungsebenenserver und dem Server, der SQL Server Reporting Services ausführt

  • TFSWareHouseDataReader auf dem Berichtsserver

Dieses Dienstkonto ruft Daten für Berichte aus Reporting Services ab.

Dienstkonto für Team Foundation Build

TFSBuild (kann ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe sein)

Anmelden als Dienst

Dieses Dienstkonto wird verwendet, wenn Builds konfiguriert und Buildstatusinformationen zwischen dem Buildcontroller und den Build-Agents übermittelt werden.

Dienstkonto für Lab Management

TFSLab (kann ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne sein)

Anmelden als Dienst

Dieses Dienstkonto wird verwendet, wenn Informationen zu Lab Management zwischen Team Foundation Server und dem Labor-Agent übermittelt werden, der auf einem virtuellen Computer ausgeführt wird.

Dienstkonto für Team Foundation Server Proxy

TFSProxy (kann ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne sein)

Anmelden als Dienst

Dieses Dienstkonto wird für alle Proxydienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.

Dienstkonto für Test-Agent und Test-Agent-Controller

TFSTest (kann ein lokales Konto, ein Domänenkonto oder einer Netzwerkdienst in einer Domäne sein)

Anmelden als Dienst

Dieses Dienstkonto wird verwendet, wenn Informationen zu Tests zwischen dem Test-Agent-Controller und dem Test-Agent übermittelt werden.

Dienstkonten bei SharePoint-Webanwendungen

WebAppService

Lokal anmelden zulassen

Sie müssen mindestens ein Dienstkonto zu jeder SharePoint-Webanwendung hinzufügen, die Sie zur Verwendung mit Team Foundation Server konfigurieren. Dieses Dienstkonto wird verwendet, um Teamprojektportale zu erstellen und die Dashboardfunktionalität zu aktivieren.

1 Sie können die Bereitstellung ohne diese Berechtigung in SharePoint-Produkte integrieren, aber Sie müssen zusätzliche Schritte ausführen, wenn das Dienstkonto kein Mitglied der Gruppe der Farmadministratoren ist. Weitere Informationen finden Sie unter Integrieren von Team Foundation Server mit SharePoint-Produkten ohne Administratorberechtigungen.

Interaktion von Dienstkonten zwischen Team Foundation Server und Microsoft Office SharePoint Server 2007

Wenn die Bereitstellung von Team Foundation ServerMicrosoft Office SharePoint Server 2007 verwendet, müssen Sie auch die Dienstkonten und die Benutzergruppen in der folgenden Tabelle konfigurieren, oder ein Farmadministrator muss sie für Sie konfigurieren. Der Farmadministrator benötigt auch Informationen zu den Dienstkonten für Team Foundation Server. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die Dashboardkompatibilität. Der Farmadministrator benötigt mindestens drei Konten, die als Dienstkonten verwendet werden können, jedes mit unterschiedlichen Berechtigungen. Weitere Informationen zu den Berechtigungen und anderen Anforderungen für Dienstkonten in SharePoint-Produkte finden Sie im folgenden Thema auf der Microsoft-Website: Planen administrativer Konten und Planen von Dienstkonten. Ein Beispiel dafür, wie Sie diese Konten in einer Bereitstellung konfigurieren können, finden Sie im Thema zur Beispielbereitstellung von Team Foundation Server mit Microsoft Office SharePoint Server 2007 unter Interaktionen zwischen SharePoint-Produkten und Team Foundation Server.

Tipp

Wenn Sie das einmalige Anmelden erstmals im Rahmen der Integration von Microsoft Office SharePoint Server 2007 in Team Foundation Server konfigurieren möchten, sind für das Konto, mit dem Sie sich zu diesem Zweck anmelden, bestimmte Berechtigungen erforderlich. Weitere Informationen finden Sie im Abschnitt "Konfigurieren des einmaligen Anmeldens" unter Konfigurieren von Einstellungen für die Dashboardkompatibilität.

Beschreibung

Anforderungen

Sie können dieses Konto auch zu folgenden Zwecken verwenden:

Farmadministratorkonto (auch als Datenbankzugriffskonto bezeichnet)

  • muss ein Domänenkonto sein

  • muss Mitglied der Gruppe "Administratoren" auf dem Server sein, auf dem SharePoint-Produkte ausgeführt wird

Sie sollten dieses Konto nicht zu einem anderen Zweck verwenden.

Webdienst- und Suchdienstkonto

  • muss ein Domänenkonto sein

  • Office SharePoint Server-Suchdienstkonto

  • Webanwendungspool – Anschluss 80

  • Windows SharePoint Services-Suchdienstkonto

  • Windows SharePoint Services-Suchinhaltszugriffskonto

Konto für Einmaliges Anmelden

  • muss ein Domänenkonto sein

  • muss Mitglied der Gruppe "Administratoren" auf dem Server sein, auf dem SharePoint-Produkte ausgeführt wird

  • muss db_creator auf der Instanz von SQL Server aufweisen, auf der die Datenbanken für SharePoint-Produkte gehostet werden

  • Lokal anmelden zulassen muss auf dem Server, der SharePoint-Produkte ausführt, aktiviert sein.

  • muss ein Mitglied von TFSWareHouseDataReader auf dem Berichtsserver sein

  • Dienstkonto für Einmaliges Anmelden

  • Administratorkonto für Einmaliges Anmelden

Administratorkonto für die Unternehmensanwendungsdefinition

  • muss ein Domänenkonto oder eine Domänengruppe sein

Dieses Konto kann auch Mitglied der Farmadministratorengruppe sein.

Gruppe für die Unternehmensanwendungsdefinition (für die Definition, die Sie für Team Foundation Server erstellen)

  • muss eine Domänengruppe sein

Sie sollten dieselbe Gruppe verwenden, die Sie für PortalUsers konfigurieren, wie später in dieser Tabelle aufgeführt.

Kontoinformationen für die Unternehmensanwendungsdefinition (gespeicherte Anmeldeinformationen für die Definition, die Sie für Team Foundation Server erstellen)

  • Lokal anmelden zulassen auf dem Anwendungsebenenserver und dem Berichtsserver

  • TFSWareHouseDataReader auf dem Berichtsserver

Sie sollten dasselbe Konto verwenden, das Sie für TFSReports konfiguriert haben.

Eine oder mehrere Gruppen für alle Benutzer von Team Foundation Server, die Zugriff auf das Teamportal (PortalUsers) benötigen

  • Eine Domänengruppe in einer Active Directory-Domäne oder einer lokalen Gruppe in einer Bereitstellung auf einem Server

Diese Gruppe (oder Reihe von Gruppen) wird verwendet, um die Berechtigungen für Benutzer in Team Foundation Server, Reporting Services und SharePoint-Produkte zu verwalten. Weitere Informationen finden Sie auf der folgenden Seite auf der Microsoft-Website: How to: Add Users to Team Projects.

Dienste, die unter Dienstkonten ausgeführt werden

Die folgenden Dienste werden unter Dienstkonten in einer Bereitstellung von Team Foundation Server ausgeführt:

Dienstname

Dienstkonto

Logische Ebene

Codeabdeckungsdienst

TFSService

Anwendungsebene

Team Foundation ServerWebdienste

TFSService

Anwendungsebene

SQL Server Reporting Services (MSSQLSERVER oder Instanzname bei Verwendung einer benannten Instanz)

Lokales System oder ein Domänenkonto

Anwendungsebene

Berichtswebdienst

Lokales System, Netzwerkdienst oder ein Domänenkonto

Anwendungsebene

Windows SharePoint Services-Verwaltung (wenn SharePoint-Produkte installiert und zur Verwendung mit Team Foundation Server konfiguriert ist)

Lokales System, Netzwerkdienst oder ein Domänenkonto

Anwendungsebene

Windows SharePoint Services-Timer (wenn SharePoint-Produkte installiert und zur Verwendung mit Team Foundation Server konfiguriert ist)

Domänenkonto

Anwendungsebene

Visual Studio Team Foundation-Builddiensthost (wenn Team Foundation Build installiert ist)

TFSBuild

Buildcomputer

Visual Studio Team Foundation-Hintergrundauftrags-Agent

TFSService

Anwendungsebene

Visual Studio-Testcontroller

TFSTest

Beliebiger Computer

Visual Studio-Test-Agent

TFSTest

Testcomputer

Analysis-Server (MSSQLSERVER oder Instanzname, wenn eine benannte Instanz verwendet wird)

Lokales System oder ein Domänenkonto

Datenebene

SQL Server-Browser

Lokales System oder ein Domänenkonto

Datenebene

SQL Server (MSSQLSERVER oder Instanzname, wenn eine benannte Instanz verwendet wird)

Lokales System oder ein Domänenkonto

Datenebene

Weitere Informationen über Dienstkonten für SQL Server finden Sie auf der folgenden Seite auf der Microsoft-Website: Onlinedokumentation. Um aktuelle Informationen zu Dienstkonten in Team Foundation zu erhalten, können Sie das Installationshandbuch für Team Foundation von der folgenden Seite auf der Microsoft-Website herunterladen: Installationshandbuch für Team Foundation.

Tipp

Wenn Sie das Dienstkonto für Team Foundation Build ändern, müssen Sie sicherstellen, dass das neue Dienstkonto Mitglied der Gruppe "Builddienste" ist. Vergewissern Sie sich auch, dass das Konto über Lese-/Schreibberechtigungen für die temporären Ordner und den temporären ASP.NET-Ordner verfügt. Wenn das Dienstkonto für den Team Foundation Server-Proxydienst geändert wurde, muss sicher gestellt sein, dass das Konto Mitglied der entsprechenden Gruppen ist. Weitere Informationen finden Sie unter Konfigurieren des Buildsystems.

Siehe auch

Aufgaben

Ändern des Dienstkontos oder Kennworts für SQL Server Reporting Services

Ändern des Dienstkontos oder Kennworts für Team Foundation Server

Weitere Ressourcen

Verwalten der Serverkonfiguration mit TFSConfig