设置 TFS 部署中使用的组

项目
11/18/2015

如果为用户创建 Windows 或 Active Directory 组，尤其是如果部署包含 SharePoint Foundation 和 SQL Server Reporting Services，则在 TFS 中管理用户要轻松得多。

Team Foundation Server 部署中的用户、组和权限

Team Foundation Server、SharePoint 产品和 SQL Server Reporting Services 均保留与自己的组、用户和权限有关的信息。若要使在这些程序中管理用户和权限变得更加简单，您可使用部署中的类似访问要求创建用户组，在不同的软件程序中向这些组提供相应的访问权限，然后根据需要在组中添加或移除用户。这比在三个不同的程序中单独保留各个用户或用户组要容易得多。

如果服务器位于 Active Directory 域中，一种选择是创建特定 Active Directory 组来管理您的用户，如团队项目集合中所有项目的一组开发人员和测试人员，或可在集合中创建和管理项目的一组用户。同样，您可为不能配置为使用 Network Service 系统帐户作为服务帐户的服务创建一个 Active Directory 帐户。为此，请为 SharePoint Foundation 创建一个 Active Directory 帐户，作为 SQL Server Reporting Services 中报表的读取访问数据源帐户。

重要

如果决定在 TFS 中使用 Active Directory 组，请考虑创建一个专用于 TFS 中的用户管理的特定 Active Directory 组。使用之前为其他目的创建的现有组，特别是在这些组由不熟悉 TFS 的其他人管理时，可能会在为了支持一些其他功能而更改成员资格时导致意外的用户结果。

安装时的默认选择是使用 Network Service 系统帐户作为 Team Foundation Server 和 SQL Server 的服务帐户。如果要为安全起见或其他原因（如扩展部署）使用特定帐户作为服务帐户，则可这样做。您也许还想创建一个特定的 Active Directory 帐户用作 SharePoint Foundation 的服务帐户，并用作 SQL Server Reporting Services 的数据源读取器帐户。

如果服务器位于 Active Directory 域，但您没有权限创建 Active Directory 组或帐户，或者，如果要在工作组而不是域中安装您的服务器，则可在 SQL Server、SharePoint Foundation 和 Team Foundation Server 中创建和使用本地组来管理用户。同样，您可创建一个本地帐户用作服务帐户。但是，请记住本地组和帐户不如域组和帐户可靠。例如，在出现服务器故障的情况下，您需要在新服务器上从头开始重新创建组和帐户。如果使用 Active Directory 组和帐户，则将保留组和帐户，即使承载 Team Foundation Server 的服务器失败也是如此。

例如，在与项目经理一起评审新部署的业务要求和安全要求之后，您可决定创建三个组来管理部署中的大部分用户：

常规的完全参与默认团队项目集合中所有项目的开发人员和测试人员组。此组将包含大部分用户。您可将此组命名为 TFS_ProjectContributors。
一小组有权在集合中创建和管理项目的项目管理员。您可将此组命名为 TFS_ProjectAdmins。
一个特殊的、受限的承包商组，这些承包商仅对其中一个项目具有访问权限。您可将此组命名为 TFS_RestrictedAccess。

之后，随着部署扩展，您可能会决定创建其他组。

创建 Active Directory 组

在 Active Directory 中创建一个属于本地域、全局或通用组的安全组，以最好地满足您的业务需求。例如，如果此组需要包含来自多个域的用户，则通用组类型将最适合您的需求。有关详细信息，请参见新建组（Active Directory 域服务）。

在服务器上创建本地组

创建一个本地组并为其指定可以快速识别其用途的名称。默认情况下，您创建的任何组将具有与该计算机上“用户”默认组等效的权限。有关详细信息，请参见创建本地组。

在 Active Directory 中创建一个帐户用作服务帐户

在 Active Directory 中创建一个帐户，根据您的业务需求设置密码策略，并确保已为该帐户选择**“帐户可以委派其他帐户”**。有关详细信息，请参见新建用户帐户（Active Directory 域服务）和了解用户帐户（Active Directory 域服务）。

在服务器上创建一个本地帐户用作服务帐户

创建一个本地帐户用作服务帐户，然后根据业务的安全需求修改其组成员资格以及其他属性。有关详细信息，请参见创建本地用户帐户。

下面尝试此项

向团队项目添加用户

问题和答案

问：我能否使用组限制对 TFS 中项目或功能的访问权限？

**答：**可以。您可针对限制对项目的访问权限、管理访问级别以及其他用途创建特定组。

问：是否有更简单的方法来管理 TFS、SharePoint 和报告中的权限？

**答：**不在 TFS 中，但考虑安装并使用 CodePlex 中的 Team Foundation Server 管理工具。