Configure initial groups, teams, members, and permissions

Článek
09/11/2015

Pomocí modulu plug-in souboru pro skupiny a oprávnění lze nakonfigurovat nastavení počáteční zabezpečení pro týmový projekt. Tuto operaci provést definováním úlohy, které slouží k vytváření skupin zabezpečení, vnoření skupin, definovat skupiny jako týmy, konfigurovat nastavení počáteční týmu, přiřadit členy skupin a povolit nebo odepřít konkrétní oprávnění pro každou skupinu. Kromě úkolů, můžete použít nastavení zabezpečení počáteční úrovni kolekce, úrovni projektu a projekt klasifikace oblastí.

Šablony procesů Microsoft přiřadit několik oprávnění ke skupinám výchozí. Tato přiřazení můžete upravit přizpůsobením soubor modulu plug-in pro skupiny a oprávnění. Další informace o tomto modulu plug-in, přečtěte si část Define groups, teams, and permissions using the Groups and Permissions Plug-in.

V tomto tématu

Definovat a přiřazovat oprávnění skupinám
Skupina makra a výchozí skupiny
Vnoření skupin a přiřadit členy skupiny
Definovat týmu
Přiřadit oprávnění na úrovni kolekce
Přiřadit oprávnění na úrovni projektu
Přiřazovat oprávnění pro řízení oblasti cesty
Přiřazovat oprávnění pro řízení cesty iterace

Informace o tom, jak konfigurovat nastavení počáteční zabezpečení pro týmový projekt funkční oblasti, jako je například Team Foundation Build, Team Foundation – správa verzí, a Visual Studio Lab Management, naleznete v části Control access to functional areas.

Informace o tom, jak upravit typy pracovních položek, které chcete povolit nebo odepřít přístup k skupiny nebo uživatele, naleznete v tématu Použití pravidla pro pole pracovní položky.

Další informace o tom, jak spravovat uživatele a skupiny a řízení přístupu pro Visual Studio Application Lifecycle Management (ALM), naleznete v části Správa uživatelů nebo skupin v TFS.

Definovat a přiřazovat oprávnění skupinám

Můžete použít group a member prvky k určení zabezpečení nové skupiny v Team Foundation Server a přidejte členy do této skupiny. Skupinu lze použít permission elementu, který chcete přiřadit oprávnění ke skupině a pro členy této skupiny. Musí být zapouzdřena každý z těchto elementů v rámci jejich odpovídající elementy typu kontejner: groups, members, a permissions. Pomocí následující syntaxe strukturu pro každý z těchto prvků:

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>

Následující tabulka popisuje atributy group, member, a skupinou permission elementy. Tyto prvky použít pouze v souboru modul plug-in skupiny a oprávnění.

Element	Atribut	Popis
group	name	Určuje název skupiny, kterou vytváříte.
	isTeam	Určuje, zda je skupině týmu (true) nebo ne (false).
	description	Popisuje účel skupiny ostatním uživatelům.
member	name	Určuje název skupiny, který chcete přidat jako člena jiné skupiny. Můžete vytvořit skupiny a předem naplnit je některý z následujících typů členů: Výchozí skupiny, které jsou definovány v Team Foundation Server Skupiny projektů, které byly dříve vytvořeny v souboru groupsandpermissions.xml (například \Contributors [$$$ $PROJECTNAME]) Skupiny a uživatele, kteří jsou definováni ve službě Active Directory, kterou určíte pomocí v následujícím formátu: DOMÉNA\UŽIVATELSKÉ JMÉNO DOMAIN\GROUPNAME Informace o formátu, který má být použita při určení výchozí skupiny naleznete v tématu skupin makra a výchozí skupiny dále v tomto tématu.
permission	name	Identifikuje oprávnění, která je použito. Seznam podporovaných oprávnění naleznete v následujících částech dále v tomto tématu: Přiřadit oprávnění na úrovni kolekce Přiřadit oprávnění na úrovni projektu Přiřazovat oprávnění pro řízení oblasti cesty Přiřazovat oprávnění pro řízení cesty iterace
	class	Identifikuje třídy nebo oblast, kde je uděleno oprávnění ke skupině. Platné jsou následující hodnoty: NAMESPACE: Určuje oprávnění na úrovni kolekce. PROJECT: Určuje oprávnění na úrovni projektu. CSS_NODE: Určuje oprávnění pro zobrazení a Správa oblasti cesty pro týmový projekt. ITERATION_NODE: Určuje oprávnění pro zobrazení a správa cesty iterace pro týmový projekt.
	allow	Použije true nebo false hodnoty, která určuje, zda je povolen nebo odepřen oprávnění.
	path	Identifikuje uzel cesta k oblasti nebo cesta k iteraci kde je použito oprávnění. Tento atribut je platná pouze v případě class je nastaven na CSS_NODE nebo ITERATION_NODE.

Skupina makra a výchozí skupiny

V následující tabulce jsou uvedeny makra, které lze použít k určení výchozí skupiny, který je definován v Team Foundation Server.

Poznámka

Můžete zadat makra v následující tabulce v modulu plug-in pro skupiny a oprávnění.Tato makra nelze zadat, pokud přiřadíte oprávnění pomocí moduly plug-in pro sestavení, správu verzí nebo Správa testovacího prostředí.

Výchozí skupiny	Makro
Project Collection Administrators	\$$PROJECTCOLLECTIONADMINGROUP$$ [SERVER] \$$TEAMFOUNDATIONADMINGROUP$$ [SERVER] COLLECTIONADMINGROUP $$$ $
Project Collection Service Accounts	\$$PROJECTCOLLECTIONSERVICESGROUP$$ [SERVER]
Project Collection Build Service Accounts	\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ [SERVER] COLLECTIONBUILDSERVICESGROUP $$$ $
Project Collection Build Administrators	\$$PROJECTCOLLECTIONBUILDADMINSGROUP$$ [SERVER] COLLECTIONBUILDADMINISTRATORSGROUP $$$ $
Project Administrators	PROJECTADMINGROUP $$$ $ \$$PROJECTADMINGROUP$$ [PROJECTNAME$ $$$] \Builders [PROJECTNAME$ $$$]
Autor projektu	CREATOR_OWNER $$$ $ @creator
Výchozí tým	@defaultTeam

Příklad: Vnoření skupin a přiřadit členy skupiny

Následující příklad ukazuje, jak nakonfigurovat skupiny, které se nazývají TestGroup1, TestGroup2 a TestGroup3. V tomto příkladu přidáte jako člen TestGroup2 TestGroup1. Pro tento kód platné je nutné definovat TestGroup1 před definováním TestGroup2.

<task id="GroupCreation1"> 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

Definovat týmu

Kromě vytvoření skupiny, lze přiřadit skupinu jako tým. Vytváření týmový projekt také vytvoří výchozí tým. Pokud máte několika týmy, které chcete organizaci práce samostatně od jiných týmů, pak buď můžete definovat tyto týmy v rámci skupin a souborů modulů plug-in oprávnění, nebo lze nakonfigurovat po vytvoření týmového projektu. Podívejte se na téma Add another team or a hierarchy of teams.

Následující příklad ukazuje, jak nakonfigurovat skupinu jako tým. V tomto příkladu určete skupinu, sen týmu jako tým a přidejte Tvůrce týmový projekt jako člen týmu. Libovolné iterace cesty, které zadáte týmu musí být definován v souboru modul plug-in klasifikace. Podívejte se na téma Definování modulu plug-in pro klasifikaci.

<group name="Dream Team" isTeam="true" description="Next generation work">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
   </permissions>
   <members>
      <member name="@creator"/>
   </members>
   <teamSettings areaPath="Area">
      <iterationPaths backlogPath="Iteration">
         <iterationPath path="Release 1\Sprint 1" />
         <iterationPath path="Release 1\Sprint 2" />
         <iterationPath path="Release 1\Sprint 3" />
         <iterationPath path="Release 1\Sprint 4" />
         <iterationPath path="Release 1\Sprint 5" />
         <iterationPath path="Release 1\Sprint 6" />
      </iterationPaths>
   </teamSettings>
</group>

Přiřadit oprávnění na úrovni kolekce

Pomocí skupiny můžete přiřadit oprávnění na úrovni kolekce permission element a třídou oboru názvů. Tato oprávnění řízení přístupu k prostředkům, které jsou k dispozici v rámci týmové projekty. Můžete nastavit oprávnění na úrovni kolekce pro následující kategorie uživatelů:

Uživatelé a skupiny na úrovni kolekce, například Project Collection Administrators
Úroveň projektu skupiny, které byly přidány na úrovni kolekce na serveru, který je spuštěn Team Foundation
Vlastní skupiny, které vytvoříte a přidáte na úrovni kolekce

Formát, který se má použít při zadání skupiny, naleznete v části skupin makra a výchozí skupiny dříve v tomto tématu.

Poznámka

Tato oprávnění lze nastavit kliknutím pravým tlačítkem myši na server v Průzkumník týmových projektů a poté klepnutím na zabezpečení, otevřením a pomocí konzoly pro správu pro Team Foundation, nebo pomocí TFSSecurity a tf Nástroje příkazového řádku.Další informace naleznete v tématu úrovni kolekce skupin, Změny skupin a oprávnění pomocí nástroje TFSSecurity, a příkaz oprávnění.

Následující příklad ukazuje, jak udělit oprávnění na úrovni kolekce správce projektu pro týmový projekt.

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
       <permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
    </permissions>
</group>

Následující tabulka popisuje úrovni kolekce oprávnění, která lze přiřadit.

Poznámka

Ve výchozím nastavení jsou v šablonách procesu MSF přiřazena žádná oprávnění na úrovni kolekce.

Oprávnění	Popis
DIAGNOSTIC_TRACE	Změnit nastavení trasování. Můžete změnit nastavení trasování pro shromažďování Podrobnější diagnostické informace o webových službách pro Team Foundation Server.
CREATE_PROJECTS	Vytváření nových projektů. Můžete vytvořit projekty v kolekce týmových projektů.
GENERIC_WRITE	Upravit informace na úrovni kolekce. Můžete upravit oprávnění na úrovni kolekce pro uživatele a skupiny do kolekce týmových projektů. Uživatelé, kteří mají toto oprávnění lze provádět následující úlohy: Přidat, odebrat nebo přejmenování skupiny úrovni kolekce aplikace z kolekce v Team Foundation Server. Poznámka Nelze odebrat výchozí úrovni kolekce skupiny, například správce kolekce projektu. Přidat nebo odebrat uživatele nebo skupinu uživatele systému Windows nebo jiné aplikace skupiny v Team Foundation Server (na úrovni serveru). Změnit oprávnění na úrovni kolekce pro uživatele a skupiny. Navíc uživatelé, kteří mají toto oprávnění můžete upravit oprávnění pro správu verzí, a mají přístup pro zápis ke všem souborům v nástroji správy verzí jedině v případě, jejich přístup byl odepřen explicitně podle jiná oprávnění.
MANAGE_TEMPLATE	Šablony procesů spravovat. Můžete stáhnout, vytvořit, upravit a odeslat šablony procesů do kolekce týmových projektů.
MANAGE_TEST_CONTROLLERS	Spravovat testovací řadiče. Můžete zaregistrovat a zrušit registraci testovací řadiče pro kolekce týmových projektů.
MANAGE_LINK_TYPES	Spravovat pracovní položka odkaz typy. Můžete přidat, odebrat a změnit typy odkazů pro pracovní položky.
GENERIC_READ	Zobrazit informace na úrovni kolekce. Můžete zobrazit členství ve skupinách na úrovni kolekce a oprávnění pro tyto uživatele.

Přiřadit oprávnění na úrovni projektu

Můžete přiřadit oprávnění na úrovni projektu v souboru modul plug-in skupiny a oprávnění. Tato oprávnění přidělit pomocí skupiny permission element a třída projektu. Tato oprávnění řízení přístupu k prostředkům jednoho projektu. Můžete udělit přístup pro uživatele a skupiny v systému Windows, skupin v Team Foundation, a skupiny, které jste již definovali v souboru modul plug-in skupiny a oprávnění. Formát, který se má použít při zadání skupiny, naleznete v části skupin makra a výchozí skupiny dříve v tomto tématu.

Následující příklad ukazuje, jak má být udělena několika oprávnění ke skupině přispěvatelů pro týmový projekt.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

Následující tabulka popisuje oprávnění úrovni projektu, které můžete přiřazovat a určuje výchozí přiřazení, které byly provedeny v šablonách MSF procesu.

Oprávnění	Popis	Čtenáři	Přispěvatelé	Správci sestavení
GENERIC_READ	Zobrazit informace na úrovni projektu. Můžete zobrazit členství ve skupinách na úrovni projektu a oprávnění pro tyto členy.
VIEW_TEST_RESULTS	Spouští test zobrazení. Můžete zobrazit testovacích plánů v tomto uzlu.
MANAGE_TEST_CONFIGURATIONS	Spravovat testovací konfigurace. Můžete vytvářet a odstraňovat test konfigurace pro týmový projekt.
MANAGE_TEST_ENVIRONMENTS	Správa testovacích prostředí. Můžete vytvářet a odstraňovat testovacích prostředí pro týmový projekt.
PUBLISH_TEST_RESULTS	Spouští test vytvořte. Můžete přidat a odebrat výsledky testů a přidat nebo upravit testů pro týmový projekt.
DELETE_TEST_RESULTS	Spouští test odstranění. Můžete odstranit naplánované test pro týmový projekt.
DELETE	Odstranit týmový projekt. Můžete odstranit z Team Foundation Server projektu, pro kterou má uživatel toto oprávnění.
GENERIC_WRITE	Upravit informace na úrovni projektu. Můžete upravit oprávnění na úrovni projektu pro uživatele a skupiny v Team Foundation Server.

Přiřazovat oprávnění pro řízení oblasti cesty

Můžete přiřadit oprávnění, které řídí přístup k oblasti definice pomocí skupiny permission element a třídou CSS_NODE. Tato oprávnění řídit přístup k s jediným projektem klasifikace struktury. Můžete udělit přístup pro uživatele a skupiny v systému Windows, skupin v Team Foundation, a skupiny, které jste již definovali v souboru modul plug-in skupiny a oprávnění. Informace o formátu, který má být použita při zadání skupin naleznete v tématu skupin makra a výchozí skupiny dříve v tomto tématu.

Následující příklad ukazuje, jak má být udělena několika oprávnění ke skupině přispěvatelů pro týmový projekt.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

Následující tabulka popisuje oprávnění, která lze přiřadit k řízení přístupu k hierarchickou strukturu pro projektovou oblasti a iterace uzlů. Tabulka také označuje výchozí přiřazení, které byly provedeny v šablonách MSF procesu.

Poznámka

Některé operace pro sledování pracovních položek vyžadují více oprávnění.Několik oprávnění potřebujete například k odstranění uzlu.

Oprávnění	Popis	Čtenáři	Přispěvatelé	Správci sestavení
GENERIC_READ	Zobrazit tento uzel. Můžete zobrazit nastavení zabezpečení pro uzel oblasti.
WORK_ITEM_READ	Zobrazení pracovních položek v tomto uzlu. Můžete zobrazit, ale nezmění pracovní položky, které jsou přiřazeny k oblasti uzlu.
WORK_ITEM_WRITE	Upravit pracovní položky v tomto uzlu. Můžete upravovat pracovní položky, které jsou přiřazeny k oblasti uzlu.
MANAGE_TEST_PLANS	Správa testovacích plánů. Můžete vytvářet a upravovat testovacích plánů, které jsou přiřazeny k oblasti uzlu. Pokud testovací plány nejsou spuštěny, můžete je také odstranit.
CREATE_CHILDREN	Pořadí a vytvořit podřízené uzly. Můžete vytvořit oblast uzly. Uživatelé, kteří mají toto oprávnění a oprávnění k všeobecné_zápis můžete přesunout nebo změnit pořadí libovolné podřízený uzel oblasti.
DELETE	Tento uzel odstranit. Můžete odstranit oblasti uzly. Uživatelé, kteří mají toto oprávnění a oprávnění k všeobecné_zápis pro jiného uzlu můžete odstranit oblasti uzly a zařazení existující pracovní položky z odstraněné uzlu. Pokud odstraněný uzel obsahuje podřízené uzly, jsou tyto uzly také odstraněny.
GENERIC_WRITE	Upravit tento uzel. Můžete nastavit oprávnění pro a přejmenovat uzly oblasti.

Přiřazovat oprávnění pro řízení cesty iterace

Udělit oprávnění, která řízení přístupu k cestám iteraci pomocí skupiny permission elementu a ITERATION_NODE třídy. Tato oprávnění řízení přístupu k vydání milníku nebo iterací pro jednoho projektu. Můžete udělit přístup pro uživatele a skupiny v systému Windows, skupin v Team Foundation, a skupiny, které jste již definovali v souboru modul plug-in skupiny a oprávnění. Informace o formátu, který má být použita při zadání skupin naleznete v tématu skupin makra a výchozí skupiny dříve v tomto tématu.

Následující příklad ukazuje, jak má být udělena několika oprávnění ke skupině přispěvatelů pro týmový projekt:

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
      <permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
   </permissions>
</group>

Následující tabulka popisuje oprávnění, která můžete přiřadit k řízení přístupu k hierarchickou strukturu pro uzly iteraci projektu. Vzhledem k tomu, že šablony procesů MSF nezadávejte žádné ITERATION_NODE oprávnění, všechny týmu, můžete vytvořit členů, zobrazení a odstranění uzlů iterace.

Poznámka

Některé operace pro sledování pracovních položek vyžadují více oprávnění.Několik oprávnění potřebujete například k odstranění uzlu.

Oprávnění	Popis
GENERIC_READ	Zobrazit tento uzel. Můžete zobrazit nastavení zabezpečení pro uzel.
CREATE_CHILDREN	Pořadí a vytvořit podřízené uzly. Můžete vytvořit iterace uzly. Uživatelé, kteří mají toto oprávnění a oprávnění k všeobecné_zápis můžete přesunout nebo změnit pořadí libovolný uzel iterace.
DELETE	Tento uzel odstranit. Můžete odstranit iterace uzly. Uživatelé, kteří mají toto oprávnění a oprávnění k všeobecné_zápis pro jiného uzlu můžete odstranit iterace uzly a zařazení existující pracovní položky z odstraněné uzlu. Pokud odstraněný uzel obsahuje podřízené uzly, jsou tyto uzly také odstraněny.
GENERIC_WRITE	Upravit tento uzel. Můžete nastavit oprávnění pro uzly iterace a přejmenujte uzly.