Partager via


Considérations sur les approbations et les forêts pour Team Foundation Server

Mise à jour : novembre 2007

Team Foundation Server fournit une base pour la collaboration inter-groupes dans des domaines différents ou même des forêts différentes. Vous pouvez vous assurer de la sécurité et la stabilité du serveur et de votre domaine en suivant quelques indications importantes. Dans une configuration optimale, les couches Application et Données de Team Foundation sont dans le même domaine, mais les clients qui se connectent peuvent se trouver dans différents emplacements du domaine.

Team Foundation Server est pris en charge dans les modes Active Directory et les niveaux fonctionnels suivants :

  • Windows 2000 Active Directory en mode natif.

  • Windows Server 2003 Active Directory en mode natif Windows 2000.

  • Windows Server 2003 Active Directory en niveau fonctionnel Windows Server 2003.

Remarque :

Team Foundation Server ne prend pas en charge tous les modes d'authentification ou niveaux fonctionnels de domaine qui prennent en charge Windows NT Server 4.0.

Approbations de domaine

Team Foundation Server n'a pas de configuration requise spécifique en termes d'approbations de domaine prises en charge. Les types d'approbation qui peuvent être utilisés dépendent des types de forêt et de domaine déployés dans le réseau de votre société. Certaines relations d'approbation peuvent être requises par Team Foundation Server en fonction du mode de déploiement des composants de Team Foundation sur le réseau de votre société.

En général, les utilisateurs et les services de Team Foundation Server doivent être authentifiés pour pouvoir accéder aux composants du serveur. Du point de vue de la relation de confiance, Team Foundation Server doit approuver le domaine où l'utilisateur ou le compte de service est défini.

Configuration requise pour les relations d'approbation entre les composants Team Foundation Server

Cette section décrit les relations de confiance minimales requises entre les différents composants de Team Foundation Server. Elle décrit également les implications spéciales de la relation d'approbation pour votre configuration de déploiement. Lorsque vous déterminez si une relation de confiance est suffisante entre les composants de Team Foundation, par exemple, si vous souhaitez vérifier une relation de confiance entre un potentiel ordinateur client de Team Foundation et un serveur Team Foundation Server, vous pouvez utiliser un navigateur Web pour vérifier si ce client peut accéder à un dossier ou partager sur le serveur hébergeant les composants de couche Application de Team Foundation logique. Si le client ne peut pas accéder au partage, la configuration ne sera pas valide pour Team Foundation Server.

Dans Team Foundation Server, la gestion des appartenances et des autorisations de groupe pour l'accès (autorisation) au serveur et à ses ressources peut être configurée dans Team Explorer ou via les utilitaires en ligne de commande TFSSecurity et TF. Cet utilisateur spécifié est contrôlé sur le serveur de couche Application pour vérifier qu'il appartient à un domaine approuvé.

Approbations entre les clients et le serveur de couche Application Team Foundation

Lorsque des applications clientes, comme Team Explorer, se connectent au serveur de couche Application de Team Foundation, le serveur tente d'authentifier l'identité de l'utilisateur exécutant l'application cliente. Si le domaine auquel l'utilisateur appartient est approuvé par le domaine du serveur de couche Application de Team Foundation, l'utilisateur est automatiquement authentifié dans le cadre de l'authentification Windows intégrée. Si cette approbation n'existe pas, l'application cliente affiche une boîte de dialogue relative au nom d'utilisateur et au mot de passe pour inviter l'utilisateur à entrer d'autres informations d'identification pour se connecter au serveur. Après l'authentification, Team Foundation Server vérifie si l'utilisateur authentifié est autorisé à accéder au serveur. Pour ce faire, l'utilisateur doit être membre du groupe Team Foundation Valid Users. Un utilisateur est ajouté automatiquement à ce groupe lorsque son identité est ajoutée à un groupe de Team Foundation Server existant ou qu'elle est ajoutée à un serveur ou un projet. Pour plus d'informations, consultez Gestion des utilisateurs et groupes

Les services du serveur de couche Application de Team Foundation s'exécutent sous le compte TFSService. Par conséquent, le domaine du serveur de couche Application de Team Foundation doit approuver le domaine auquel le compte TFSService appartient. La plupart du temps, le serveur de couche Application de Team Foundation et le compte TFSService appartiennent au même domaine.

Domaine du composant

Faire confiance

Domaine du composant

Domaine du serveur de couche Application de Team Foundation

approbation à sens unique vers

Domaine de l'utilisateur de Team Foundation

Domaine du serveur de couche Application de Team Foundation

approbation à sens unique vers

domaine du compte TFSService

Pour éviter de taper un nom d'utilisateur et un mot de passe chaque fois qu'une application cliente de Team Foundation Server se connecte à Team Foundation, le domaine du client de Team Foundation doit approuver le domaine du serveur de couche Application de Team Foundation.

Approbations entre les clients et Team Foundation Server Proxy

Le domaine de l'ordinateur de Team Foundation Server Proxy doit approuver le domaine d'un utilisateur pour que le proxy puisse fonctionner.

Domaine du composant

Faire confiance

Domaine du composant

Domaine de l'ordinateur de Team Foundation Server Proxy

approbation à sens unique vers

Domaine de l'utilisateur de Team Foundation

Approbations entre Team Foundation Server Proxy et le serveur de couche Application Team Foundation

Dans le contexte d'Active Directory, Team Foundation Server Proxy est un autre client de Team Foundation Server.

Domaine du composant

Faire confiance

Domaine du composant

Domaine du serveur de couche Application de Team Foundation

approbation à sens unique vers

Domaine du compte de service de Team Foundation Server Proxy

Domaine de l'ordinateur de Team Foundation Server Proxy

approbation à sens unique vers

Domaine du compte d'utilisateur de Team Foundation Server Proxy

Pour éviter de taper un nom d'utilisateur et un mot de passe chaque fois qu'une application cliente de Team Foundation Server se connecte à Team Foundation, le domaine du client de Team Foundation doit approuver le domaine du serveur de couche Application de Team Foundation.

Approbations entre le serveur de couche Application Team Foundation et le serveur de couche Données Team Foundation

Le serveur de couche Application de Team Foundation se connecte au serveur de couche Données de Team Foundation en utilisant un compte de service, communément appelé compte TFSService. Les services Web de Team Foundation Server s'exécutent également sous ce compte. Par conséquent, le domaine du serveur de couche Données de Team Foundation doit approuver le domaine du compte TFSService. De plus, tous les domaines dans votre déploiement de Team Foundation Server doivent approuver le compte TFSService lui-même, soit via une relation de confiance de domaine, soit via une autorisation explicite. Le domaine du serveur de couche Données de Team Foundation doit également approuver le domaine du compte TFSReports. Le compte TFSReport est le compte utilisé pour accéder aux sources de données pour la création de rapports de Team Foundation Server.

En outre, Reporting Services s'exécute sur le serveur de couche Application de Team Foundation sous le compte Service réseau. Par conséquent, le domaine du serveur de couche Données de Team Foundation approuvera le domaine du serveur de couche Application de Team Foundation. Si une relation de confiance entre les couches de Team Foundation n'est pas souhaitable dans votre organisation, vous pouvez reconfigurer le système de sorte que Reporting Services s'exécute sous un compte de service nommé qui appartient à un domaine autre que le serveur de couche Application de Team Foundation. Toutefois, il s'agit d'une configuration assez complexe qui requiert la migration d'un déploiement sur serveur unique vers un déploiement sur deux serveurs et la reconfiguration manuelle de Report Server pour qu'il s'exécute à l'aide d'un compte de service nommé.

Domaine du composant

Faire confiance

Domaine du composant

Domaine du serveur de couche Données de Team Foundation

approbation à sens unique vers

domaine du compte TFSService

Domaine du serveur de couche Données de Team Foundation

approbation à sens unique vers

domaine du compte TFSReport

Domaine du serveur de couche Données de Team Foundation

approbation à sens unique vers

Domaine du serveur de couche Application de Team Foundation

Approbations entre Team Foundation Build et le serveur de couche Application Team Foundation

Team Foundation Build s'exécute sous un compte de service Windows. Par conséquent, le domaine de l'ordinateur de Team Foundation Build doit approuver le domaine de ce compte de service. En général, ce compte de service est le compte TFSService, mais il peut être configuré manuellement pour s'exécuter sous un autre compte. Si Team Foundation Build ne s'exécute pas sous le compte TFSService, le nom du service doit être ajouté au groupe d'applications [Projet]\Build Services.

Remarque :

Lorsqu'une build est créée, la nouvelle build est placée dans le dossier partagé Build Drop. Vous devez vérifier que ce dossier est partagé avec tous les utilisateurs, et que le compte TFSService dispose d'un contrôle total sur le dossier. Le port « Partage de fichiers et d'imprimantes » doit être ouvert dans le Pare-feu Windows sur l'ordinateur de Team Foundation Build pour autoriser le partage de fichiers.

Domaine du composant

Faire confiance

Domaine du composant

Domaine de l'ordinateur de Team Foundation Build

approbation à sens unique vers

domaine du compte de service (généralement TFSService)

Domaine du serveur de couche Application de Team Foundation

approbation à sens unique vers

domaine du compte de service (généralement TFSService)

Autres configurations et considérations sur les domaines

Toutes les autres configurations de domaine Active Directory ne sont pas prises en charge et ne doivent pas être utilisées. Vous devez vous assurer que le domaine dans lequel vous installez Team Foundation Server prend en charge Team Foundation Server et que les ordinateurs sur lesquels Team Foundation Server est installé se trouvent dans des environnements de domaine appropriés. Si Team Foundation Server prend en charge des tâches de plusieurs forêts, les approbations inter-forêts appropriées doivent être disponibles.

Pour des raisons de sécurité, installez Team Foundation Server dans un environnement de domaine Windows Server 2003. Afin d'éviter des emprunts d'identité, vous devez interdire les noms dupliqués et sécuriser les noms d'ordinateurs par créateur. Pour plus d'informations, consultez Windows Server 2003 Active Directory à l'adresse https://go.microsoft.com/fwlink/?linkid=47541 (en anglais).

Voir aussi

Concepts

Configurations de domaine non prises en charge

Gestion de Team Foundation Server dans un groupe de travail

Autres ressources

Gestion de Team Foundation Server dans un domaine Active Directory

Topologies de Team Foundation Server