TFS 配置で使用するグループのセットアップ
TFS でのユーザー管理は、ユーザーに対して Windows または Active Directory グループを作成すると、特に、配置に SharePoint Foundation および SQL Server Reporting Services が含まれている場合は、かなり簡単になります。
Team Foundation Server の配置のユーザー、グループ、およびアクセス許可
Team Foundation Server、SharePoint 製品、および SQL Server Reporting Services では、グループ、ユーザー、およびアクセス許可に関する情報は、それぞれが独自に管理します。 これらのプログラム間でのユーザーと権限の管理をより単純にするには、配置での類似のアクセス権を持つユーザー グループを作成し、これらのグループに別のソフトウェア プログラムに対する適切なアクセス権を付与し、必要に応じて、グループからユーザーを追加または削除することができます。 これは、3 種類の別々のプログラムで個々のユーザーまたはユーザー グループを別々に管理するよりはるかに簡単です。
サーバーが Active Directory ドメインにある場合、1 つの方法としては、チーム プロジェクト コレクション内のすべてのプロジェクトの開発者とテスト担当者のグループ、またはコレクション内でプロジェクトを作成し管理できるユーザーのグループなどの、ユーザーを管理する特定の Active Directory グループを作成します。 同様に、サービス アカウントとして Network Service システム アカウントを使用するように構成することができないサービスの Active Directory アカウントを作成できます。 そのためには、SQL Server Reporting Services のレポートの読み取りアクセスのデータ ソース アカウントとして、SharePoint Foundation の Active Directory アカウントを作成します。
重要
TFS で Active Directory グループを使用する場合は、TFS でのユーザー管理のみを目的とした特別なグループを作成することを検討してください。他の目的で作成された既存のグループを使用すると、特に、そのグループが TFS に詳しくないユーザーによって管理されている場合は、他の機能をサポートするようにメンバーシップが変更されたときに、ユーザーに対して予期しない結果が生じる可能性があります。
インストール中の既定の選択では、Team Foundation Server と SQL Server のサービス アカウントとして、Network Service システム アカウントが使用されます。 セキュリティ目的や、スケールアウトされた配置などのその他の理由で特定のアカウントをサービス アカウントとして使用する必要がある場合は、それもできます。 また、SharePoint Foundation のサービス アカウントと、SQL Server Reporting Services のデータ ソースの読み取りアクセス用のアカウントとして、特定の Active Directory アカウントを作成することもできます。
サーバーが Active Directory ドメインにあるが、Active Directory グループまたはアカウントを作成する権限がない場合、または、ドメインではなくワークグループにサーバーをインストールする場合は、SQL Server、SharePoint Foundation、および Team Foundation Server 間でユーザーを管理するローカル グループを作成して使用できます。 同様に、サービス アカウントとして使用するローカル アカウントを作成することができます。 ただし、ローカル グループとローカル アカウントは、ドメイン グループとドメイン アカウントほど信頼性が高くないことに注意してください。 たとえば、サーバーが故障した場合には、新しいサーバー上でグループとアカウントを最初から作成し直す必要があります。 Active Directory グループとアカウントを使用する場合は、Team Foundation Server をホストするサーバーが故障しても、グループとアカウントは維持されます。
たとえば、新しい配置のビジネス要件およびセキュリティ要件をプロジェクト マネージャーと確認した後、配置のユーザーの大部分を管理する 3 つのグループの作成を決定したとします。
既定のチーム プロジェクト コレクション内のすべてのプロジェクトに完全に参加する、開発者とテスト担当者の一般的なグループ。 このグループには、ユーザーの大部分が含まれます。 このグループには TFS_ProjectContributors という名前を付けます。
コレクション内でプロジェクトを作成して管理する権限を持つ、プロジェクト管理者の小さなグループ。 このグループには TFS_ProjectAdmins という名前を付けます。
プロジェクトの 1 つにしかアクセスできない、請負の特別な、制限されたグループ。 このグループには TFS_RestrictedAccess という名前を付けます。
後で配置を展開するときに、その他のグループを作成する場合もあります。
Active Directory でグループを作成するには
- Active Directory のローカル ドメイン グループ、グローバル グループ、または汎用グループとして、ビジネス ニーズに合わせてセキュリティ グループを作成します。 たとえば、グループに複数のドメインからのユーザーを含める必要がある場合、汎用グループ タイプがニーズに最適です。 詳細については、「新しいグループを作成する (Active Directory ドメイン サービス)」を参照してください。
サーバーのローカル グループを作成するには
- ローカル グループを作成し、容易に識別できる名前を付けます。 既定では、作成したグループには、そのコンピューターのユーザーの既定のグループと同等の権限が付与されます。 詳細については、「ローカル グループを作成する」を参照してください。
Active Directory でサービス アカウントとして使用するアカウントを作成するには
- アカウントを Active Directory で作成し、ビジネス要件に基づいてパスワード ポリシーを設定し、そのアカウントに対して [アカウントは委任に対して信頼されている] が選択されていることを確認します。 詳細については、「新しいユーザー アカウントを作成する (Active Directory ドメイン サービス)」および「ユーザー アカウントとは (Active Directory ドメイン サービス)」を参照してください。
サーバーでサービス アカウントとして使用するローカル アカウントを作成するには
- サービス アカウントとして使用するローカル アカウントを作成し、ビジネスのセキュリティ要件に基づいてグループ メンバーシップとその他のプロパティを変更します。 詳細については、「ローカル ユーザー アカウントを作成する」を参照してください。
次の操作:
Q & A
Q: グループを使用して、TFS のプロジェクトや機能へのアクセスを制限できますか。
A: はい、できます。 プロジェクトへのアクセスの制限、アクセス レベルの管理などの目的で、特定のグループを作成できます。
Q: もっと簡単に TFS、SharePoint、およびレポート全体でアクセス許可を管理する方法はありませんか。
A: TFS 内ではありませんが、CodePlex から Team Foundation Server 管理ツールをインストールし、使用することを検討してください。