Considérations sur les approbations et les forêts pour Team Foundation Server
Mise à jour : novembre 2007
Team Foundation Server fournit une base pour la collaboration inter-groupes dans des domaines différents ou même des forêts différentes. Vous pouvez vous assurer de la sécurité et la stabilité du serveur et de votre domaine en suivant quelques indications importantes. Dans une configuration optimale, les couches Application et Données de Team Foundation sont dans le même domaine, mais les clients qui se connectent peuvent se trouver dans différents emplacements du domaine.
Team Foundation Server est pris en charge dans les modes Active Directory et les niveaux fonctionnels suivants :
Windows 2000 Active Directory en mode natif.
Windows Server 2003 Active Directory en mode natif Windows 2000.
Windows Server 2003 Active Directory en niveau fonctionnel Windows Server 2003.
Remarque : |
---|
Team Foundation Server ne prend pas en charge tous les modes d'authentification ou niveaux fonctionnels de domaine qui prennent en charge Windows NT Server 4.0. |
Approbations de domaine
Team Foundation Server n'a pas de configuration requise spécifique en termes d'approbations de domaine prises en charge. Les types d'approbation qui peuvent être utilisés dépendent des types de forêt et de domaine déployés dans le réseau de votre société. Certaines relations d'approbation peuvent être requises par Team Foundation Server en fonction du mode de déploiement des composants de Team Foundation sur le réseau de votre société.
En général, les utilisateurs et les services de Team Foundation Server doivent être authentifiés pour pouvoir accéder aux composants du serveur. Du point de vue de la relation de confiance, Team Foundation Server doit approuver le domaine où l'utilisateur ou le compte de service est défini.
Configuration requise pour les relations d'approbation entre les composants Team Foundation Server
Cette section décrit les relations de confiance minimales requises entre les différents composants de Team Foundation Server. Elle décrit également les implications spéciales de la relation d'approbation pour votre configuration de déploiement. Lorsque vous déterminez si une relation de confiance est suffisante entre les composants de Team Foundation, par exemple, si vous souhaitez vérifier une relation de confiance entre un potentiel ordinateur client de Team Foundation et un serveur Team Foundation Server, vous pouvez utiliser un navigateur Web pour vérifier si ce client peut accéder à un dossier ou partager sur le serveur hébergeant les composants de couche Application de Team Foundation logique. Si le client ne peut pas accéder au partage, la configuration ne sera pas valide pour Team Foundation Server.
Dans Team Foundation Server, la gestion des appartenances et des autorisations de groupe pour l'accès (autorisation) au serveur et à ses ressources peut être configurée dans Team Explorer ou via les utilitaires en ligne de commande TFSSecurity et TF. Cet utilisateur spécifié est contrôlé sur le serveur de couche Application pour vérifier qu'il appartient à un domaine approuvé.
Approbations entre les clients et le serveur de couche Application Team Foundation
Lorsque des applications clientes, comme Team Explorer, se connectent au serveur de couche Application de Team Foundation, le serveur tente d'authentifier l'identité de l'utilisateur exécutant l'application cliente. Si le domaine auquel l'utilisateur appartient est approuvé par le domaine du serveur de couche Application de Team Foundation, l'utilisateur est automatiquement authentifié dans le cadre de l'authentification Windows intégrée. Si cette approbation n'existe pas, l'application cliente affiche une boîte de dialogue relative au nom d'utilisateur et au mot de passe pour inviter l'utilisateur à entrer d'autres informations d'identification pour se connecter au serveur. Après l'authentification, Team Foundation Server vérifie si l'utilisateur authentifié est autorisé à accéder au serveur. Pour ce faire, l'utilisateur doit être membre du groupe Team Foundation Valid Users. Un utilisateur est ajouté automatiquement à ce groupe lorsque son identité est ajoutée à un groupe de Team Foundation Server existant ou qu'elle est ajoutée à un serveur ou un projet. Pour plus d'informations, consultez Gestion des utilisateurs et groupes
Les services du serveur de couche Application de Team Foundation s'exécutent sous le compte TFSService. Par conséquent, le domaine du serveur de couche Application de Team Foundation doit approuver le domaine auquel le compte TFSService appartient. La plupart du temps, le serveur de couche Application de Team Foundation et le compte TFSService appartiennent au même domaine.
Domaine du composant |
Faire confiance |
Domaine du composant |
---|---|---|
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
Domaine de l'utilisateur de Team Foundation |
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
domaine du compte TFSService |
Pour éviter de taper un nom d'utilisateur et un mot de passe chaque fois qu'une application cliente de Team Foundation Server se connecte à Team Foundation, le domaine du client de Team Foundation doit approuver le domaine du serveur de couche Application de Team Foundation.
Approbations entre les clients et Team Foundation Server Proxy
Le domaine de l'ordinateur de Team Foundation Server Proxy doit approuver le domaine d'un utilisateur pour que le proxy puisse fonctionner.
Domaine du composant |
Faire confiance |
Domaine du composant |
---|---|---|
Domaine de l'ordinateur de Team Foundation Server Proxy |
approbation à sens unique vers |
Domaine de l'utilisateur de Team Foundation |
Approbations entre Team Foundation Server Proxy et le serveur de couche Application Team Foundation
Dans le contexte d'Active Directory, Team Foundation Server Proxy est un autre client de Team Foundation Server.
Domaine du composant |
Faire confiance |
Domaine du composant |
---|---|---|
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
Domaine du compte de service de Team Foundation Server Proxy |
Domaine de l'ordinateur de Team Foundation Server Proxy |
approbation à sens unique vers |
Domaine du compte d'utilisateur de Team Foundation Server Proxy |
Pour éviter de taper un nom d'utilisateur et un mot de passe chaque fois qu'une application cliente de Team Foundation Server se connecte à Team Foundation, le domaine du client de Team Foundation doit approuver le domaine du serveur de couche Application de Team Foundation.
Approbations entre le serveur de couche Application Team Foundation et le serveur de couche Données Team Foundation
Le serveur de couche Application de Team Foundation se connecte au serveur de couche Données de Team Foundation en utilisant un compte de service, communément appelé compte TFSService. Les services Web de Team Foundation Server s'exécutent également sous ce compte. Par conséquent, le domaine du serveur de couche Données de Team Foundation doit approuver le domaine du compte TFSService. De plus, tous les domaines dans votre déploiement de Team Foundation Server doivent approuver le compte TFSService lui-même, soit via une relation de confiance de domaine, soit via une autorisation explicite. Le domaine du serveur de couche Données de Team Foundation doit également approuver le domaine du compte TFSReports. Le compte TFSReport est le compte utilisé pour accéder aux sources de données pour la création de rapports de Team Foundation Server.
En outre, Reporting Services s'exécute sur le serveur de couche Application de Team Foundation sous le compte Service réseau. Par conséquent, le domaine du serveur de couche Données de Team Foundation approuvera le domaine du serveur de couche Application de Team Foundation. Si une relation de confiance entre les couches de Team Foundation n'est pas souhaitable dans votre organisation, vous pouvez reconfigurer le système de sorte que Reporting Services s'exécute sous un compte de service nommé qui appartient à un domaine autre que le serveur de couche Application de Team Foundation. Toutefois, il s'agit d'une configuration assez complexe qui requiert la migration d'un déploiement sur serveur unique vers un déploiement sur deux serveurs et la reconfiguration manuelle de Report Server pour qu'il s'exécute à l'aide d'un compte de service nommé.
Domaine du composant |
Faire confiance |
Domaine du composant |
---|---|---|
Domaine du serveur de couche Données de Team Foundation |
approbation à sens unique vers |
domaine du compte TFSService |
Domaine du serveur de couche Données de Team Foundation |
approbation à sens unique vers |
domaine du compte TFSReport |
Domaine du serveur de couche Données de Team Foundation |
approbation à sens unique vers |
Domaine du serveur de couche Application de Team Foundation |
Approbations entre Team Foundation Build et le serveur de couche Application Team Foundation
Team Foundation Build s'exécute sous un compte de service Windows. Par conséquent, le domaine de l'ordinateur de Team Foundation Build doit approuver le domaine de ce compte de service. En général, ce compte de service est le compte TFSService, mais il peut être configuré manuellement pour s'exécuter sous un autre compte. Si Team Foundation Build ne s'exécute pas sous le compte TFSService, le nom du service doit être ajouté au groupe d'applications [Projet]\Build Services.
Remarque : |
---|
Lorsqu'une build est créée, la nouvelle build est placée dans le dossier partagé Build Drop. Vous devez vérifier que ce dossier est partagé avec tous les utilisateurs, et que le compte TFSService dispose d'un contrôle total sur le dossier. Le port « Partage de fichiers et d'imprimantes » doit être ouvert dans le Pare-feu Windows sur l'ordinateur de Team Foundation Build pour autoriser le partage de fichiers. |
Domaine du composant |
Faire confiance |
Domaine du composant |
---|---|---|
Domaine de l'ordinateur de Team Foundation Build |
approbation à sens unique vers |
domaine du compte de service (généralement TFSService) |
Domaine du serveur de couche Application de Team Foundation |
approbation à sens unique vers |
domaine du compte de service (généralement TFSService) |
Autres configurations et considérations sur les domaines
Toutes les autres configurations de domaine Active Directory ne sont pas prises en charge et ne doivent pas être utilisées. Vous devez vous assurer que le domaine dans lequel vous installez Team Foundation Server prend en charge Team Foundation Server et que les ordinateurs sur lesquels Team Foundation Server est installé se trouvent dans des environnements de domaine appropriés. Si Team Foundation Server prend en charge des tâches de plusieurs forêts, les approbations inter-forêts appropriées doivent être disponibles.
Pour des raisons de sécurité, installez Team Foundation Server dans un environnement de domaine Windows Server 2003. Afin d'éviter des emprunts d'identité, vous devez interdire les noms dupliqués et sécuriser les noms d'ordinateurs par créateur. Pour plus d'informations, consultez Windows Server 2003 Active Directory à l'adresse https://go.microsoft.com/fwlink/?linkid=47541 (en anglais).
Voir aussi
Concepts
Configurations de domaine non prises en charge
Gestion de Team Foundation Server dans un groupe de travail
Autres ressources
Gestion de Team Foundation Server dans un domaine Active Directory