Configurer les groupes à utiliser dans les déploiements TFS
La gestion des utilisateurs dans TFS est beaucoup plus facile si vous créez des groupes Windows ou Active Directory pour eux, en particulier si votre déploiement inclut SharePoint Foundation et SQL Server Reporting Services.
Utilisateurs, groupes et autorisations dans les déploiements de Team Foundation Server
Team Foundation Server, les produits SharePoint et SQL Server Reporting Services tiennent à jour leurs propres informations sur les groupes, les utilisateurs et les autorisations. Pour faciliter la gestion des utilisateurs et des autorisations entre ces programmes, vous pouvez créer des groupes d'utilisateurs avec des spécifications d'accès semblables dans le déploiement, attribuer à ces groupes des droits d'accès appropriés aux différents logiciels, puis simplement ajouter des utilisateurs à un groupe ou les en supprimer en fonction des besoins. C'est beaucoup plus facile que de mettre à jour les utilisateurs ou les groupes d'utilisateurs séparément dans trois programmes distincts.
Si votre serveur est dans un domaine Active Directory, une option consiste à créer des groupes Active Directory spécifiques pour gérer vos utilisateurs, comme un groupe de développeurs et de testeurs pour tous les projets de la collection de projets d'équipe, ou un groupe d'utilisateurs qui peuvent créer et gérer des projets dans la collection. De même, vous pouvez créer un compte Active Directory pour les services qui ne peuvent pas être configurés pour utiliser le compte système de service réseau comme compte de service. Pour cela, créez un compte Active Directory pour SharePoint Foundation en tant que compte de source de données en lecture seule pour les rapports dans SQL Server Reporting Services.
Important
Si vous décidez d'utiliser des groupes Active Directory dans TFS, créez-en des spécifiques dont le rôle est dédié à la gestion des utilisateurs dans TFS.L'utilisation de groupes créés précédemment d'autres fins, en particulier s'ils sont contrôlés par d'autres personnes qui ne sont pas familiarisées avec TFS, peut entraîner des conséquences inattendues pour les utilisateurs lorsque l'appartenance change pour prendre en charge une autre fonction.
L'option par défaut pendant l'installation consiste à utiliser le compte système Service réseau comme compte de service pour Team Foundation Server et SQL Server. Si vous souhaitez utiliser un compte spécifique comme compte de service à des fins de sécurité ou pour d'autres raisons, par exemple pour un déploiement avec montée en puissance parallèle, vous le pouvez. Vous pouvez aussi créer un compte Active Directory spécifique à utiliser comme compte de service pour SharePoint Foundation et comme compte de lecteur de source de données pour SQL Server Reporting Services.
Si votre serveur est dans un domaine Active Directory mais que vous n'avez pas l'autorisation de créer des groupes ou des comptes Active Directory, ou si vous installez votre serveur dans un groupe de travail au lieu d'un domaine, créez et utilisez des groupes locaux pour gérer les utilisateurs entre SQL Server, SharePoint Foundation et Team Foundation Server. De même, vous pouvez créer un compte local à utiliser comme compte de service. Toutefois, gardez à l'esprit que les groupes et comptes locaux ne sont pas aussi fiables que les groupes et les comptes de domaine. Par exemple, en cas de défaillance du serveur, vous devrez recréer les groupes et les comptes à partir de zéro sur le nouveau serveur. Si vous utilisez des groupes et des comptes Active Directory, ces derniers seront conservés même en cas d'échec du serveur hébergeant Team Foundation Server échoue.
Par exemple, après avoir discuté des besoins de l'entreprise concernant le nouveau déploiement et des conditions de sécurité avec les chefs de projet, vous pouvez décider de créer trois groupes pour gérer la plupart des utilisateurs dans le déploiement :
Un groupe général pour les développeurs et les testeurs qui participeront entièrement à tous les projets de la collection de projets d'équipe par défaut. Ce groupe contient la majorité des utilisateurs. Vous pourriez nommer ce groupe TFS_ProjectContributors.
Un petit groupe d'administrateurs de projet qui auront les autorisations pour créer et gérer des projets de la collection. Vous pourriez nommer ce groupe TFS_ProjectAdmins.
Un groupe restreint spécial d'entrepreneurs qui auront uniquement accès à l'un des projets. Vous pourriez nommer ce groupe TFS_RestrictedAccess.
Par la suite, au fur et à mesure que le déploiement se développe, vous pouvez décider de créer d'autres groupes.
Pour créer un groupe dans Active Directory
- Créez un groupe de sécurité qui est un groupe de domaine local, un groupe global ou un groupe universel dans Active Directory, suivant les besoins de votre organisation. Par exemple, si le groupe doit contenir des utilisateurs de plusieurs domaines, le type de groupe « universel » est celui qui correspondra le mieux à vos besoins. Pour plus d'informations, consultez Créer un nouveau groupe (Services de domaine Active Directory).
Pour créer un groupe local sur le serveur
- Créez un groupe local et attribuez-lui un nom qui identifie rapidement son objectif. Par défaut, un groupe que vous créez a les autorisations équivalentes du groupe d'utilisateurs par défaut présent sur cet ordinateur. Pour plus d'informations, consultez Créer un groupe local.
Pour créer un compte à utiliser comme compte de service dans Active Directory
- Créez un compte dans Active Directory, définissez la stratégie de mot de passe en fonction des besoins de l'entreprise et assurez-vous que l'option Le compte est approuvé pour la délégation est sélectionné pour le compte. Pour plus d'informations, consultez Créer un compte d'utilisateur (Services de domaine Active Directory) et Présentation des comptes d'utilisateurs (Services de domaine Active Directory).
Pour créer un compte local à utiliser comme compte de service sur le serveur
- Créez un compte local à utiliser comme compte de service, puis modifiez son appartenance au groupe et d'autres propriétés en fonction des exigences de sécurité de votre entreprise. Pour plus d'informations, consultez Créer un compte d'utilisateur local.
Essayez ce qui suit
Q & R
Q : Puis-je utiliser des groupes pour restreindre l'accès à des projets ou à des fonctionnalités dans TFS ?
R : Oui, c'est possible. Vous pouvez créer des groupes spécifiques pour restreindre l'accès à des projets, pour gérer les niveaux d'accès et à d'autres fins.
Q : Existe-t-il un moyen plus simple de gérer les autorisations pour TFS, SharePoint et la création de rapports ?
R : Pas dans TFS proprement dit, mais vous pouvez installer et utiliser l'Outil Administration de Team Foundation Server de CodePlex.