Berechtigungsreferenz für Team Foundation Server

Berechtigungen legen fest, welche Aktionen die einzelnen Benutzer ausführen dürfen. Sie müssen die entsprechenden Benutzer zu einer Teamprojekt- oder TFS-Gruppe hinzufügen, um Zugriff auf Team Foundation Server (TFS)-Ressourcen und Teamprojekte zu vergeben. Eine Übersicht über Mitgliedschaften, Berechtigungen und Zugriffssteuerung in TFS finden Sie unter Verwalten von Benutzern und Gruppen in TFS.

Dieses Thema beschreibt die TFS-Berechtigungen und deren Standardzuordnungen zu den integrierten TFS-Gruppen. Außerdem werden die Tools beschrieben, mit denen Sie die Berechtigungen setzen können. Insgesamt existieren drei Kategorien von integrierten Gruppen, vier Berechtigungsstufen und fünf Berechtigungszustände. Jeder Benutzerzugriff auf funktionale Aufgaben hängt vom expliziten oder geerbten Berechtigungszustand des Benutzers oder der Gruppe ab, zu der der Benutzer gehört.

In diesem Thema Neuheiten bei Berechtigungen Tools zum Setzen von Berechtigungen Integrierte TFS-Gruppen Gruppen auf Serverebene Gruppen auf der Auflistungsebene Gruppen auf Projektebene Zulassen, Verweigern, Nicht festgelegt und andere Berechtigungszustände Vererbung Empfehlungen und Warnungen für das Festlegen von Berechtigungen Berechtigungen auf Serverebene Berechtigungen auf Auflistungsebene Berechtigungen auf Projekt-, Test- und Objektebene Berechtigungen auf Projekt- und Testebene Berechtigungen auf Buildebene Arbeitsaufgabenabfrage Tagging Bereichsebene für die Arbeitsaufgabennachverfolgung Iterationsebene für die Arbeitsaufgabenverfolgung Team Foundation-Versionskontrolle Git-Repository Lab Management Versionsverwaltung

Informationen zum Erteilen von Berechtigungen für die SharePoint-Produkte- oder SQL Server-Berichterstellung finden Sie unter Hinzufügen von Benutzern zu Teamprojekten und unter Vergeben von Berechtigungen zum Anzeigen oder Erstellen von Berichten in TFS.

Neuheiten bei Berechtigungen

Die folgende Tabelle enthält Zusätze und Änderungen am TFS-Berechtigungsmodell. Beachten Sie dabei die jeweilige Version, die Sie auf Ihrem Anwendungsserver installiert haben.

TFS-Version	Neue oder geänderte Berechtigungen
TFS 2013,3	Berechtigung Testsammlungen verwalten hinzugefügt und Gültigkeitsbereich der Berechtigung Testpläne verwalten geändert. Diese Berechtigung gilt jetzt nur noch für Testpläne. Diese Berechtigungen werden für einen Bereichspfad gesetzt. Zuvor konnte damit die Berechtigungsverwaltung sowohl von Testplänen als auch Testsammlungen durchgeführt werden.
TFS 2013,2	Taggingberechtigungen hinzugefügt.
TFS 2013	Git-Repositoryberechtigungen hinzugefügt.

Tools zum Setzen von Berechtigungen

Die folgende Tabelle enthält die Tools, mit denen Sie Berechtigungen setzen können. Je nachdem, ob Sie Berechtigungen auf Server-, Sammlungs- oder Projektebene setzen, verwenden Sie unterschiedliche Tools. Sie verwenden Team Web Access (TWA) für die Vergabe der meisten Teamprojekt-Berechtigungen für Benutzer und Gruppen.

Berechtigungsebene	TWA-Verwaltungsseite oder Sicherheit auf Objektebene	Team Explorer (Notiz 1)	Team Foundation-Verwaltungskonsole	TFSSecurity-Befehlszeilentool	Tf-Befehlszeilentool	TFSLabConfig-Befehlszeilentool
Serverebene
Auflistungsebene
Projekt- und Testebene
Buildebene
Arbeitsaufgabenabfrage
Tagging
Bereichsebene für die Arbeitsaufgabennachverfolgung
Iterationsebene für die Arbeitsaufgabenverfolgung
Team Foundation-Versionskontrolle
Git-Repository
Lab Management
Release Management (2)

Hinweise

1. Manche der Berechtigungsoptionen in Team Explorer öffnen eine Benutzeroberfläche in Team Web Access.

2. Wenn Sie die Releaseverwaltung zur Bereitstellung hinzufügen, können Sie Berechtigungen mithilfe von Gruppen verwalten, die Sie in der Releaseverwaltung, in TFS oder Active Directory definieren. Sie verwalten Berechtigungen im Release Management-Client.

Ein weiteres Tool zum Verwalten von Mitgliedschaften in Gruppen ist das TFSAdmin-Tool von CodePlex.

Befehlszeilentools, Namespaces und Berechtigungsnamen

Wenn Sie das TFSSecurity-Befehlszeilentool zum Verwalten von Berechtigungen ausführen, geben Sie einen Namespace sowie den Namen der Berechtigung an. In den folgenden Abschnitten werden Namespace und Befehlsname angegeben. Es existieren zwei Namespace-Gruppen: Projektauflistung und Server. Mit dem TFSSecurity /a-Befehl können Sie die Namespaces auflisten. Verwenden Sie TFSSecurity /a Namespace /collection:CollectionNameURL, um die Berechtigungen abzurufen, die Sie für einen Namespace setzen können

Projektauflistungs-Namespaces

Server-Namespaces

TFSSecurity /a /collection:CollectionNameURL Build BuildAdministration Chat Collection CSS Discussion Threads EventSubscription Git Repositories Identity Iteration Job Project ProjectServerAdministration Registry Server ServiceHooks StrongBox Tagging TeamLabSecurity VersionControlItems VersionControlPrivileges WorkItemQueryFolders WorkItemTrackingAdministration WorkItemTrackingProvision Workspaces

TFSSecurity /a /server:ServerNameURL Catalog CollectionManagement Diagnostic EventSubscription Feature Availability HostingAccount Identity Job Lab Registry Server StrongBox Warehouse WebAccess

Integrierte TFS-Gruppen

Bei der Installation von TFS werden vier Gruppen auf Serverebene definiert. Bei der Erstellung einer Projektauflistung werden sieben Gruppen auf Sammlungsebene erstellt, und für jedes Teamprojekt werden sechs Gruppen mit dem Geltungsbereich für das jeweilige Teamprojekt erstellt. Jede dieser Gruppen ist einem Satz von Standardberechtigungen zugeordnet. Die Standardgruppen auf Serverebene wie z. B. Team Foundation-Administratoren, können nicht gelöscht werden.

Serverebene	Auflistungsebene	Projektebene
SharePoint-Webanwendungsdienste Team Foundation-Administratoren Team Foundation Service-Konten Gültige Team Foundation-Benutzer	Projektauflistungsadministratoren Projektauflistungsbuild-Administratoren Builddienstkonten für die Projektauflistung Dienstkonten für die Projektauflistung Proxydienstkonten für die Projektauflistung Testdienstkonten für die Projektauflistung Gültige Benutzer für Projektauflistung (Notiz 1)	Buildadministratoren Mitwirkende Projektadministratoren Gültige Benutzer für Projekt (Notiz 1) Leser Teamprojekt-Gruppe (Notiz 2)

Hinweise:

1. Weitere Informationen zu gültigen Benutzergruppen finden Sie im Abschnitt Was ist ein gültiger Benutzer? Wie werden gültige Benutzergruppen gefüllt?.

2. Eine Teamgruppe wird mit dem Namen des Teamprojekts erstellt. Wenn Sie beispielsweise ein Teamprojekt mit dem Namen "Codebeispiel" erstellen, wird eine Teamgruppe mit dem Namen "Codebeispiel-Team" erstellt. Sie können dieses Team umbenennen.

   Wenn Sie weitere Teams erstellen, wird pro Team eine Teamgruppe erstellt.

Gruppen auf Serverebene werden Berechtigungen auf Serverebene zugewiesen. Gruppen auf Auflistungsebene werden Berechtigungen für die Auflistung, das Projekt und einzelne Objekte zugewiesen. Gruppen auf Projektebene werden Berechtigungen auf Projekt- und Objektebene zugewiesen.

Die folgende Abbildung zeigt die Berechtigungen, die der Gruppe Mitwirkende auf Projektebene zugewiesen wurden.

Die Gruppe Projektadministratoren hat dieselben Berechtigungen wie die Gruppe Mitwirkende, plus einige weitere.

Gruppen auf Serverebene

Wenn Sie TFS installieren, sind auf Serverebene standardmäßig die folgenden Gruppen für die Anwendungsebene vorhanden.

Gruppenname (Präfix: Team Foundation\	Berechtigungen	Standardbenutzerkonten
Team Foundation Administrators	Können alle Operationen für TFS ausführen. Diese Gruppe sollte so wenige Benutzer wie möglich enthalten und nur solche, die die vollständige Kontrolle zur Verwaltung von TFS benötigen.	Die lokale Administratorgruppe (VORDEFINIERT\Administratoren) für jeden Server, der die Anwendungsdienste für Team Foundation hostet. Die Gruppe Server\Team Foundation Service Accounts und Mitglieder der Gruppe \Project Server Integration Service Accounts.
Team Foundation Valid Users	Lesezugriff auf Quellcode, Arbeitsaufgaben und Builddefinitionen. Der Zugriff auf TWA-Features hängt von der zugewiesenen Lizenz oder Zugriffsebenen-Gruppe ab. Wichtig Wenn Sie die Berechtigung Instanzebeneninformationen anzeigen für diese Gruppe Verweigern oder nicht setzen, können keine Benutzer auf die Bereitstellung zugreifen.	Enthält alle Benutzer und Gruppen, die in TFS hinzugefügt wurden. Die Mitgliedschaft in dieser Gruppe kann nicht geändert werden.
Team Foundation Service Accounts	Berechtigungen auf Dienstebene für TFS.	Enthält das während der Installation angegebene Dienstkonto. Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten. Standardmäßig ist diese Gruppe ein Mitglied der Gruppe Team Foundation-Administratoren.
Dienstkonten Project Server-Integration	Berechtigungen auf Dienstebene für die Project Server-Bereitstellungen, die für die Interoperation mit TFS konfiguriert werden. Darüber hinaus haben Mitglieder dieser Gruppe bestimmte Berechtigungen auf Dienstebene für TFS.	Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten. Standardmäßig ist diese Gruppe ein Mitglied der Gruppe Team Foundation-Administratoren.
SharePoint Web Application Services	Berechtigungen auf Dienstebene für die SharePoint-Webanwendungen, die für die Verwendung mit TFS konfiguriert sind, sowie über bestimmte Berechtigungen auf Dienstebene für TFS.	Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten. Im Gegensatz zur Gruppe "Dienstkonten" ist diese Gruppe kein Mitglied von Team Foundation-Administratoren.
Team Foundation Proxy Service Accounts	Mitglieder dieser Gruppe verfügen über Berechtigungen auf Dienstebene für Team Foundation Server Proxy und über bestimmte Berechtigungen auf Dienstebene für TFS.	Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten.

Gruppen auf der Auflistungsebene

Wenn Sie eine Auflistung konfigurieren, sind auf der Auflistungsebene standardmäßig die folgenden Gruppen vorhanden.

Gruppenname (Präfix: TeamProjectCollectionName\	Berechtigungen auf Gruppenebene	Kontozuweisungen
Project Collection Administrators	Können alle Operationen für die Teamprojektauflistung ausführen.	Enthält die Gruppe lokale Administratoren (VORDEFINIERT\Administratoren) für den Server, auf dem die Dienste auf Anwendungsebene für TFS installiert wurden. Enthält außerdem die Mitglieder der Gruppe TeamProjectCollectionName\Service Accounts. Diese Gruppe sollte so wenige Benutzer wie möglich enthalten und nur solche, die eine umfassende Verwaltungskontrolle über die Auflistung benötigen.
Project Collection Valid Users	Zugriff auf die Teamprojekte, die für die Auflistung definiert wurden. Wichtig Wenn Sie die Berechtigung Auflistungsebeneninformationen anzeigen für diese Gruppe Verweigern oder nicht setzen, können keine Benutzer auf die Auflistung zugreifen.	Enthält alle Benutzer und Gruppen, die an einer beliebigen Position in der Teamprojektauflistung hinzugefügt wurden. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.
Project Collection Service Accounts	Berechtigungen auf Dienstebene für die entsprechende Auflistung und für TFS.	Enthält das während der Installation angegebene Dienstkonto. In dieser Gruppe dürfen sich nur Dienstkonten und Gruppen befinden, die ausschließlich Dienstkonten enthalten. Standardmäßig ist diese Gruppe Mitglied Team Foundation-Administratoren und Team Foundation-Dienstkonten.
Project Collection Build Administrators	Können Buildressourcen und Berechtigungen für die Auflistung verwalten.	Begrenzen Sie diese Gruppe möglichst wenige Benutzer, die vollständige Kontrolle zur Verwaltung von Buildservern und Diensten für diese Auflistung benötigen.
Project Collection Build Service Accounts	Diese Berechtigungen sollten erforderlich sein, um Builddienste für die Auflistung auszuführen.	Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten.
Project Collection Proxy Service Accounts	Diese Berechtigungen sollten erforderlich sein, um den Proxydienst für die Auflistung auszuführen.	Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten.
Project Collection Test Service Accounts	Haben Testdienstberechtigungen für die Auflistung.	Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten.

Gruppen auf Projektebene

Wenn Sie ein Teamprojekt erstellen, sind standardmäßig die folgenden Gruppen vorhanden. Die Berechtigungen dieser Gruppen gelten auf der Projektebene.

Gruppe (Präfix: ProjectName\)	Berechtigungen auf Gruppenebene	Zusätzliche Hinweise
Project Administrators	Können alle Aspekte des betreffenden Teamprojekts verwalten, jedoch keine Projekte erstellen.	Geeignet für Benutzer, die Benutzerberechtigungen verwalten, Teams erstellen, Bereichs- und Iterationspfade definieren oder die Arbeitsaufgabenverfolgung konfigurieren.
Build Administrators	Können Buildressourcen und -Berechtigungen für das Projekt verwalten. Die Mitglieder können Testumgebungen verwalten, Testläufe erstellen und Builds verwalten.
Contributors	Können vollständig zur Projekt-Codebasis und zur Arbeitsaufgabenverfolgung beitragen.	Standardmäßig wird die beim Erstellen eines Teamprojekts erstellte Team-Gruppe dieser Gruppe hinzugefügt, und jeder diesem Team hinzugefügte Benutzer wird Mitglied dieser Gruppe. Darüber hinaus wird jedes für ein Teamprojekt erstellte Team standardmäßig dieser Gruppe hinzugefügt, wenn Sie keine andere Gruppe aus der Liste auswählen.
Readers	Können das Projekt anzeigen, es jedoch nicht bearbeiten.	Weisen Sie diese Rolle an Projektbeteiligte zu, die den laufenden Fortschritt sehen möchten.
TeamName	Erbt die Berechtigungen der Gruppe Mitwirkende. Können vollständig zur Projekt-Codebasis und zur Arbeitsaufgabenverfolgung beitragen.	Die standardmäßige Teamgruppe wird erstellt, wenn Sie ein Teamprojekt erstellen. Diese wird standardmäßig der Gruppe "Contributors" für das Teamprojekt hinzugefügt. Alle neuen Teams, die Sie erstellen, haben ebenfalls eine für sie erstellte Gruppe und werden zur Gruppe der Contributors hinzugefügt.

Zusätzlich zu diesen Gruppen auf Projektebene werden in jedem Projekt von TFS zwei Gruppen auf Auflistungsebene angezeigt:

• TeamProjectCollectionName**\Project Collection Administrators**

  Sie können die Berechtigungen für diese Gruppe auf Auflistungsebene nicht ändern.

• TeamProjectCollectionName**\Project Collection Build Service Accounts**

  Sie dürfen die Berechtigung Projektebeneninformationen anzeigen für diese Gruppe nicht aufheben oder auf Verweigern festlegen.

Zulassen, Verweigern, Nicht festgelegt und andere Berechtigungszustände

TFS verwendet ein Mindest-Berechtigungsmodell für die Sicherheitsberechtigungen. Wenn dieselbe Berechtigung für eine Gruppe zugelassen und für eine zweite Gruppe verweigert ist, dann hat die Verweigerung Vorrang über die Erlaubnis für Benutzer, die beiden Gruppen angehören. Für diese Regel gelten einige Ausnahmen für Mitglieder der Gruppen Projektauflistungsadministratoren und Team Foundation Server-Administratoren.

Sie können zwei explizite Autorisierungszustände für Berechtigungen in festlegen: Verweigern und Zulassen. Außerdem existieren drei weitere Zustände: Geerbte Zulassung, Geerbte Verweigerung und Nicht festgelegt. Nicht festgelegt ist ein impliziter Verweigern-Zustand.

Berechtigung	Autorisierung
Zulassen	Erlaubt Benutzern explizit, die zur entsprechenden Berechtigung zugeordnete Aufgabe auszuführen. Zulassen wird normalerweise durch die Gruppenmitgliedschaft geerbt. Die entsprechende Berechtigung muss auf Zulassen oder Geerbte Zulassung gesetzt sein, damit Benutzer auf eine Aufgabe zugreifen können.
Verweigern	Verbietet Benutzern explizit, die zur entsprechenden Berechtigung zugeordnete Aufgabe auszuführen. Verweigern wird normalerweise durch die Gruppenmitgliedschaft geerbt.
Geerbte Zulassung/Geerbte Verweigerung	Erlaubt bzw. verweigert einem Benutzer die Ausführung der Aufgabe, der die Berechtigungen im Berechtigungssatz für eine Gruppe zugeordnet sind, zu der der Benutzer gehört.
Nicht festgelegt	Verbietet Benutzern implizit, die zur entsprechenden Berechtigung zugeordnete Aktion auszuführen. Da die Berechtigung weder explizit auf Verweigern noch explizit auf Zulassen festgelegt ist, kann die Autorisierung für diese Berechtigung aus anderen Gruppen übernommen werden, in denen der Benutzer oder die Gruppe Mitglied ist. Standardmäßig sind die meisten Berechtigungen weder auf Verweigern noch auf Zulassen festgelegt. Die Berechtigungen sind stattdessen Nicht festgelegt.

Die Berechtigungszustände verwenden die folgenden Vorrangregeln:

• Die Berechtigung Verweigern hat Vorrang gegenüber allen anderen Berechtigungseinstellungen, einschließlich Zulassen. Angenommen, ein Benutzer gehört zu zwei Gruppen in einem Projekt. Für eine Gruppe ist die Berechtigung Testergebnisse veröffentlichen auf Verweigern festgelegt, für die andere Gruppe auf Zulassen. Die Einstellung Verweigern hat Vorrang, und der Benutzer ist somit nicht zum Veröffentlichen von Testergebnissen autorisiert.

  Für diese Regel gelten die folgenden Ausnahmen:

  • Die Berechtigung Verweigern hat keinen Vorrang, wenn sie von einem hierarchisch übergeordneten Element übernommen wurde. Diese Funktionen unterstützen hierarchische Berechtigungseinstellungen:

    • Quellcodeverwaltungsordner für die Team Foundation-Versionskontrolle

    • Git-Repositorys

    • Knoten auf Bereichs- und Iterationsebene für die Arbeitsaufgabenverfolgung

    • Gemeinsam genutzte Abfragen und Abfrageordner für Arbeitsaufgaben

    Die expliziten Berechtigungen, die für ein bestimmtes Objekt wie z. B. einen Quellcodeverwaltungsordner, ein Repository oder einen untergeordneten Bereichsknoten festgelegt werden, überschreiben die von übergeordneten Objekten übernommenen Berechtigungen. Deny für einen Quellcodeverwaltungsordner überschreibt z. B. keine Erlauben-Berechtigung für einen der Unterordner.

  • Wenn ein Benutzer Mitglied einer Administratorengruppe wie z. B. Projektauflistungsadministratoren oder Team Foundation-Administratoren ist, sofern nicht in der Berechtigungsbeschreibung anderweitig angegeben.

• Geerbte Zulassung hat Vorrang vor Nicht festgelegt.

Vererbung

Wenn eine Berechtigung für einen Benutzer oder eine Gruppe Nicht festgelegt ist, kann für diese der explizite Zustand für die Berechtigung der Gruppen gelten, in denen sie Mitglied sind, da Berechtigungen in TFS vererbbar sind. Wenn Sie beispielsweise die Berechtigungen für einen Benutzer oder eine Gruppe überprüfen, stellen Sie möglicherweise fest, dass sowohl Zulassen als auch Geerbte Zulassung als Berechtigungen festgelegt sind. Die letzte Berechtigung wird von einer anderen Gruppe geerbt, zu der der Benutzer oder die Gruppe gehört. In diesem Beispiel gehört ein Benutzer möglicherweise zu einer Gruppe auf Projektebene und zu einer Gruppe auf Auflistungsebene in einem Projekt. Wenn eine dieser Gruppen über eine Berechtigung verfügt, die explizit auf Zulassen festgelegt ist, und die gleiche Berechtigung in der anderen Gruppe Nicht festgelegt ist, verfügt der Benutzer über die Berechtigung Geerbte Zulassung und kann die entsprechenden Aktionen auszuführen. Der Benutzer übernimmt die Berechtigungen aus beiden Gruppen, und die Berechtigung Zulassen hat Vorrang gegenüber der Berechtigung Nicht festgelegt.

Um zu verstehen, warum eine Berechtigung geerbt wird, können Sie mit der Maus auf die Berechtigungseinstellung zeigen und dann Warum? auswählen. Ein neues Fenster wird geöffnet. Das Fenster enthält die Vererbungsinformationen für diese Berechtigung.

Manche Dialogfelder für Sicherheit auf Objektebene bieten die Möglichkeit, Vererbung ein- und auszuschalten. Mit dieser Option können Sie die Vererbung für Ordner, gemeinsam genutzte Abfragen und andere Objekte deaktivieren.

Empfehlungen und Warnungen für die Vergabe von Berechtigungen

Empfehlungen:

• Verwenden Sie Windows-Gruppen, um große Mengen von Benutzern zu verwalten.

• Vergeben Sie die Mitwirkende-Berechtigungen an Benutzer oder Gruppen, die Arbeitsaufgabenabfragen für das Projekt erstellen und freigeben müssen.

• Wenn Sie viele Teams anlegen, sollten Sie eine gruppe Teamadministratoren für TFS erstellen und dieser Gruppe eine Teilmenge der Berechtigungen zuweisen, die Projektadministratoren zur Verfügung stehen.

• Beachten Sie beim Erstellen von Teams, welche Berechtigungen Sie an Teamleiter, Scrum-Master und andere Teammitglieder vergeben möchten, die Bereichs- und Iterationspfade sowie Abfragen erstellen und bearbeiten müssen.

Warnungen:

• Fügen Sie keine Konten zur Gruppe Leser hinzu, die Sie zur Gruppe Projektadministratoren hinzugefügt haben. Andernfalls wird für verschiedene Berechtigungen der Zustand Verweigert zugewiesen.

• Ändern Sie niemals die Standardzuweisungen einer gültigen Benutzergruppe. Wenn Sie die Berechtigung Instanzebeneninformationen anzeigen für eine der gültigen Benutzergruppen Verweigern, können keine Benutzer auf das Teamprojekt, die Auflistung oder die Bereitstellung zugreifen, je nach zugeordneter Gruppe.

• Weisen Sie keine Berechtigungen an Benutzerkonten zu, die die Notiz "Nur an Dienstkonten zuweisen" haben.

Berechtigungen auf Serverebene

Berechtigungen auf Serverebene wirken sich auf alle Projekte und Auflistungen in der Bereitstellung aus. Sie können die Berechtigungen auf Serverebene in der Team Foundation-Verwaltungskonsole oder über das TFSSecurity-Befehlszeilentool festlegen.

Sie können diese Berechtigungen für Benutzer und Gruppen auf Serverebene vergeben, wie z. B. Team Foundation-Administratoren, sowie für Ihre eigenen benutzerdefinierten Gruppen auf Serverebene.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	SharePoint-Webanwendungsdienste	Team Foundation-Administratoren	Team Foundation Service-Konten
Warehouse verwalten (Notiz 1)	Verwalten	Warehouse	Können Änderungen für Data Warehouse oder SQL Server-Analysecube mithilfe des Warehouse Control Web Service verarbeiten oder verändern.
Teamprojektauflistung erstellen	CreateCollection	CollectionManagement	Können Teamprojektauflistungen erstellen und verwalten.
Teamprojektauflistung löschen (Notiz 2)	DeleteCollection	CollectionManagement	Können eine Teamprojektauflistung aus der Bereitstellung löschen.
Informationen auf Instanzebene bearbeiten (Notiz 3)	GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections	Server	Können Berechtigungen auf Serverebene für TFS-Benutzer und -Gruppen bearbeiten und Gruppen auf Serverebene zur Auflistung hinzufügen oder aus ihr entfernen.
Anforderungen im Auftrag von anderen Benutzern einreichen	Identitätswechsel	Server	Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Nur an Dienstkonten zuweisen.
Triggerereignisse	TRIGGER_EVENT	Server	Können TFS-Warnereignisse auslösen. Diese Berechtigung sollte ausschließlich Dienstkonten und Mitgliedern der Gruppe "Team Foundation-Administratoren" zugewiesen werden.
Funktionen für uneingeschränkten Webzugriff verwenden (Notiz 4)	FullAccess	Server	Können alle TWA-Features verwenden.
Informationen auf Instanzebene anzeigen (Notiz 5)	GENERIC_READ	Server	Können die Gruppenmitgliedschaften auf Serverebene und die Berechtigungen der entsprechenden Benutzer anzeigen.

Hinweise:

1. Unter Umständen werden weitere Berechtigungen benötigt, um Data Warehouse und Analysecube komplett zu verarbeiten oder neu zu erstellen.

2. Beim Löschen einer Teamprojektsammlung wird die Auflistungsdatenbank aus SQL Server nicht gelöscht.

3. Zum Bearbeiten von Informationen auf Instanzebene gehört auch die Berechtigung, diese Aufgaben für alle Teamprojekte auszuführen, die in allen Projektauflistungen für diese Instanz definiert sind:

   • Hinzufügen und Verwalten von Teams und allen teamrelevanten Features

   • Erstellen und Ändern von Bereichen und Iterationen

   • Eincheckrichtlinien bearbeiten

   • Freigegebene Arbeitsaufgabenabfragen bearbeiten

   • Zugriffssteuerungslisten für Berechtigungen auf Projekt- und Auflistungsebene bearbeiten

   • Globale Listen erstellen und bearbeiten

   • Abonnements für Ereignisse (E-Mail oder SOAP) bearbeiten.

   Durch Erteilen der Berechtigung Instanzebeneninformation bearbeiten in allen Menüs erhält der Benutzer implizit die Berechtigung zum Ändern von Versionskontrollberechtigungen. Um alle diese Berechtigungen über die Befehlszeile zu erteilen, müssen Sie mit dem Befehl tf.exe Permission die AdminConfiguration-Berechtigung, die AdminConnections-Berechtigung sowie GENERIC_WRITE gewähren.

4. Wenn die Berechtigung "Funktionen für uneingeschränkten Webzugriff verwenden" auf "Verweigern" festgelegt ist, werden dem Benutzer nur die Funktionen angezeigt, die für die Gruppe Eingeschränkt in Team Web Access zulässig sind (siehe Ändern von Zugriffsebenen). "Verweigern" überschreibt jedes implizite "Zulassen", sogar für Konten, die Mitglieder von Administratorengruppen, wie Team Foundation-Administratoren, sind.

5. Die Berechtigung Instanzebeneninformationen anzeigen wird auch für die Gruppe mit gültigen Benutzern in Team Foundation zugewiesen.

Berechtigungen auf Auflistungsebene

Berechtigungen auf Auflistungsebene gewähren Zugriff auf auflistungsweite Aufgaben, die Sie für diese Benutzer und Gruppen setzen können:

• Benutzer und Gruppen auf Auflistungsebene, z. B. Projektauflistungsadministratoren

• Gruppen auf Projektebene, die Sie zu einer Auflistung hinzufügen

• Benutzerdefinierte Gruppen, die Sie zu einer Auflistung hinzufügen

Sie können die Berechtigungen für die Auflistungsebene in der TWA-Verwaltungsseite für die Auflistung, in der Team Foundation-Verwaltungskonsole oder mit den TFSSecurity bzw. tf-Befehlszeilentools konfigurieren. Alle Berechtigungen verwenden als Bereich die spezifische Auflistung, für die sie gesetzt wurden.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Dienstkonten für die Projektauflistung	Builddienstkonten für die Projektauflistung	Projektauflistungsbuild-Administratoren	Projektauflistungsadministratoren (Notiz 1)
Berechtigungen für Buildressourcen verwalten	AdministerBuildResourcePermissions	BuildAdministration	Kann Berechtigungen für Buildressourcen verändern.
Project Server-Integration verwalten	AdministerProjectServer	ProjectServerAdministration	Kann die Integration von TFS und Project Server konfigurieren, um die Datensynchronisierung zwischen den beiden Serverprodukten zu aktivieren.
Abgelegte Änderungen verwalten	AdminShelvesets tf: AdminShelvesets	VersionControlPrivileges	Können die von anderen Benutzern erstellten Shelvesets löschen.
Arbeitsbereiche verwalten	AdminWorkspaces tf: AdminWorkspaces	VersionControlPrivileges	Können Arbeitsbereiche für andere Benutzer erstellen und von anderen Benutzern erstellte Arbeitsbereiche löschen.
Ablaufverfolgungseinstellungen ändern	DIAGNOSTIC_TRACE	Auflistung	Können die Ablaufverfolgungseinstellungen zum Erfassen ausführlicherer Diagnoseinformationen über TFS-Webdienste ändern.
Arbeitsbereich erstellen (Notiz 2)	tf: CreateWorkspace	VersionControlPrivileges	Können einen Arbeitsbereich der Versionskontrolle erstellen.
Neue Projekte erstellen (Notiz 3)	CREATE_PROJECTS	Auflistung	Es können Projekte in der Teamprojektsammlung erstellt werden.
Teamprojekt löschen (Notiz 4)	Löschen	Project	Können Teamprojekte löschen.
Informationen auf Auflistungsebene bearbeiten (Notiz 5)	GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections	Auflistung VersionControlPrivileges	Können Benutzer und Gruppen sowie Berechtigungen auf Auflistungsebene für Benutzer und Gruppen bearbeiten.
Anforderungen im Auftrag von anderen Benutzern einreichen	Identitätswechsel	Server	Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Nur an Dienstkonten zuweisen.
Buildressourcen verwalten	ManageBuildResources	BuildAdministration	Können Buildcomputer, Build-Agents und Buildcontroller verwalten.
Prozessvorlage verwalten	MANAGE_TEMPLATE	Auflistung	Können Prozessvorlagen herunterladen, erstellen, bearbeiten und hochladen.
Testcontroller verwalten	MANAGE_TEST_CONTROLLERS	Auflistung	Können Testcontroller registrieren und deren Registrierung aufheben.
Triggerereignisse (Notiz 6)	TRIGGER_EVENT	Auflistung	Können Projektwarnungsereignisse innerhalb der Auflistung auslösen. Nur an Dienstkonten zuweisen.
Buildressourcen verwenden	UseBuildResources	BuildAdministration	Können Build-Agents reservieren und zuordnen. Nur an Dienstkonten für Builddienste zuweisen.
Buildressourcen anzeigen	ViewBuildResources	BuildAdministration	Können Buildcontroller und Build-Agents für die Auflistung anzeigen, jedoch nicht verwenden.
Informationen auf Auflistungsebene anzeigen	GENERIC_READ	Auflistung	Können die Gruppenmitgliedschaften und Berechtigungen auf Auflistungsebene anzeigen.
Systemsynchronisierungsinformationen anzeigen	SYNCHRONIZE_READ	Auflistung	Können die Synchronisierungs-Anwendungsprogrammierschnittstellen aufrufen. Nur an Dienstkonten zuweisen.

Hinweise:

1. Standardmäßig werden die folgenden Standardzuordnungen für diese TFS-Gruppen vorgenommen:

   • Gültige Benutzergruppe für Projektauflistung: Arbeitsbereich erstellen, Buildressourcen anzeigen und Informationen auf Auflistungsebene anzeigen.

   • Proxydienstkonten für die Projektauflistung: Arbeitsbereich erstellen, Buildressourcen anzeigen und Informationen auf Auflistungsebene anzeigen.

   • Testdienstkonten für die Projektauflistung: Arbeitsbereich erstellen, Testcontroller verwalten, Buildressourcen anzeigen und Informationen auf Auflistungsebene anzeigen.

2. Die Berechtigung Arbeitsbereich erstellen wird im Rahmen der Mitgliedschaft in der Gruppe "Gültige Benutzer für Projektauflistung" an alle Benutzer vergeben.

3. Je nach Bereitstellung müssen unter Umständen weitere Berechtigungen vergeben werden. Sie müssen Visual Studio oder Team Explorer außerdem als Administrator ausführen, um den Assistent für neue Teamprojekte erfolgreich abzuschließen.

4. Durch das Löschen eines Teamprojekts werden alle mit dem Projekt verbundenen Daten entfernt. Sie können das Löschen eines Teamprojekts nur rückgängig machen, indem Sie die Auflistung auf einen Zeitpunkt vor dem Löschen des Projekts zurücksetzen.

5. Zum Bearbeiten von Informationen auf Auflistungsebene gehört auch die Berechtigung, diese Aufgaben für alle Teamprojekte auszuführen, die in einer Auflistung definiert sind:

   • Hinzufügen und Verwalten von Teams und allen teamrelevanten Features

   • Erstellen und Ändern von Bereichen und Iterationen

   • Eincheckrichtlinien bearbeiten

   • Freigegebene Arbeitsaufgabenabfragen bearbeiten

   • Zugriffssteuerungslisten für Berechtigungen auf Projekt- und Auflistungsebene bearbeiten

   • Globale Listen erstellen und bearbeiten

   • Abonnements für Ereignisse (E-Mail oder SOAP) auf Projekt- oder Auflistungsebene bearbeiten.

   Wenn Sie Informationen auf Auflistungsebene bearbeiten in TWA auf Zulassen setzen, können Benutzer TFS-Gruppen auf Auflistungsebene hinzufügen oder entfernen und erhalten die implizite Erlaubnis, Berechtigungen für die Versionskontrolle zu ändern. Um alle diese Berechtigungen über die Befehlszeile zu erteilen, müssen Sie mit dem Befehl tf.exe Permission die AdminConfiguration-Berechtigung, die AdminConnections-Berechtigung sowie GENERIC_WRITE gewähren.

6. Benutzer mit dieser Berechtigung können keine Standardgruppen auf Auflistungsebene entfernen, z. B. die Gruppe Projektauflistungsadministratoren.

7. Wenn diese Berechtigung anderen Benutzern hinzugefügt wird, können möglicherweise Denial of Service-Angriffe verursacht werden.

Berechtigungen auf Projekt-, Test- und Objektebene

Berechtigungen auf Projektebene sind an die Benutzer und Gruppen eines einzelnen Projekts gebunden. In einem Projekt können Sie Berechtigungen für die einzelnen enthaltenen Objekte vergeben, z. B. für Bereiche, Iterationen, Quellcodeverwaltungsordner, Abfragen und Abfrageordner sowie Builddefinitionen. Sie können Berechtigungen auf Projekt- und Objektebene für Benutzer und Gruppen vergeben, die Sie zu einem Teamprojekt oder einer Auflistung hinzufügen möchten.

Viele Standardberechtigungen werden den folgenden integrierten Gruppen auf Projekt- und Auflistungsebene zugeordnet:

• Gruppen auf Projektebene: Generatoren, Mitwirkende, Projektadministratoren und Leser

• Gruppen auf Auflistungsebene: Projektauflistungsadministratoren, Builddienstkonten für die Projektauflistung, Proxydienstkonten für die Projektauflistung und Testdienstkonten für die Projektauflistung

Berechtigungen auf Projekt- und Testebene

Sie können die Berechtigungen auf Projektebene in der TWA-Verwaltungsseite für das Projekt oder über das TFSSecurity-Befehlszeilentool festlegen. Alle Berechtigungen auf Projektebene verwenden als Bereich das spezifische Teamprojekt, für die sie gesetzt wurden.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Buildadministratoren, Mitwirkende und Teams	Projektadministratoren (Notiz 1)
Create-Tagdefinition	Create	Tagging	Können Tags zu einem Arbeitsaufgabenformular hinzufügen.
Testläufe erstellen	PUBLISH_TEST_RESULTS	Project	Können Testergebnisse hinzufügen und entfernen und Testläufe hinzufügen oder ändern.
Teamprojekt löschen	DELETE	Project	Können das Teamprojekt aus TFS löschen.
Testläufe löschen	DELETE_TEST_RESULTS	Project	Können einen geplanten Test löschen.
Informationen auf Projektebene bearbeiten (Notiz 2)	GENERIC_WRITE	Project	Können Berechtigungen auf Projektebene für Benutzer und Gruppen bearbeiten.
Testkonfigurationen verwalten	MANAGE_TEST_CONFIGURATIONS	Project	Können Testkonfigurationen für das Teamprojekt erstellen und löschen.
Testumgebungen verwalten	MANAGE_TEST_ENVIRONMENTS	Project	Benutzer mit dieser Berechtigung können Testumgebungen erstellen und löschen.
Projektebeneninformationen anzeigen	GENERIC_READ	Project	Können die Gruppenmitgliedschaften und Berechtigungen auf Projektebene anzeigen.
Testläufe anzeigen	VIEW_TEST_RESULTS	Project	Können Testpläne unterhalb des Bereichspfads für das Teamprojekt anzeigen.

Hinweise:

1. Standardmäßig werden die folgenden Standardzuordnungen für diese TFS-Gruppen vorgenommen:

   • Leser: Tagdefinition erstellen, Projektebeneninformationen anzeigen und Testläufe anzeigen.

   • Projektauflistungsadministratoren: Gleiche Berechtigungen wie Projektadministratoren mit Ausnahme von "Testläufe löschen".

   • Projektauflistungs-Buildadministratoren: Gleiche Berechtigungen wie Projektadministratoren mit Ausnahme von "Testläufe löschen".

   • Builddienstkonten für die Projektauflistung: Testläufe erstellen, Testkonfigurationen verwalten, Testumgebungen verwalten, Informationen auf Projektebene anzeigen, Testläufe anzeigen.

   • Testdienstkonten für die Projektauflistung: Testläufe erstellen, Testkonfigurationen verwalten, Testumgebungen verwalten, Informationen auf Projektebene anzeigen.

2. Zum Bearbeiten von Informationen auf Projektebene gehört auch die Berechtigung, diese Aufgaben für das Teamprojekt auszuführen:

   • Hinzufügen und Verwalten von Teams und allen teamrelevanten Features

   • Erstellen und Ändern von Bereichen und Iterationen

   • Eincheckrichtlinien bearbeiten

   • Freigegebene Arbeitsaufgabenabfragen bearbeiten

   • Zugriffssteuerungslisten für Berechtigungen auf Projektebene bearbeiten

   • Globale Listen erstellen und bearbeiten

   • Abonnements für Ereignisse (E-Mail oder SOAP) auf Projektebene bearbeiten.

Berechtigungen auf Buildebene

Sie können Berechtigungen auf Buildebene für alle Builds oder für eine bestimmte Builddefinition über das Kontextmenü für die Builddefinition in TWA oder im Team Explorer oder über das TFSSecurity-Befehlszeilentool setzen.

Berechtigungsname (UI)	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Mitwirkende	Autoren oder Ersteller von Builddefinitionen	Buildadministratoren	Projektadministratoren (Notiz 1)
Buildberechtigungen verwalten	AdministerBuildPermissions	Build	Können die Buildberechtigungen für andere Benutzer verwalten.
Builddefinition löschen	DeleteBuildDefinition	Build	Können Builddefinitionen für dieses Projekt löschen.
Builds löschen	DeleteBuilds	Build	Können einen abgeschlossenen Build löschen.
Builds zerstören	DestroyBuilds	Build	Können einen abgeschlossenen Build permanent löschen.
Builddefinition bearbeiten (Notiz 2)	EditBuildDefinition	Build	Können Builddefinitionen für dieses Projekt erstellen und bearbeiten.
Buildqualität bearbeiten	EditBuildQuality	Build	Können Informationen zur Qualität des Builds über Team Explorer oder Team Web Access hinzufügen.
Buildqualität verwalten	ManageBuildQualities	Build	Können Buildqualitäten hinzufügen oder entfernen.
Buildwarteschlange verwalten	ManageBuildQueue	Build	Können in die Warteschlange gestellte Builds abbrechen, verzögern oder deren Priorität ändern.
Eincheckvalidierung durch Build überschreiben (Notiz 3)	OverrideBuildCheckInValidation	Build	Können einen Commit für ein Changeset ausführen, das sich auf eine abgegrenzte Builddefinition auswirkt, ohne dass das System zunächst den Code ablegt und die Änderungen erstellt.
Hinzufügen von Builds zur Warteschlange	QueueBuilds	Build	Können über die Benutzeroberfläche von Team Foundation Build oder in einer Eingabeaufforderung einen Build in die Warteschlange stellen. Sie können auch die Builds beenden, die sie in die Warteschlange gestellt haben.
Unbegrenzt beibehalten	RetainIndefinitely	Build	Können einen Build kennzeichnen, sodass dieser nicht durch eine gültige Beibehaltungsrichtlinie automatisch gelöscht wird.
Builds beenden	StopBuilds	Build	Können jeden ausgeführten Build beenden, darunter auch die Builds, die von anderen Benutzern in die Warteschlange gestellt und gestartet werden.
Buildinformationen aktualisieren	UpdateBuildInformation	Build	Können Buildinformationsknoten und Informationen zur Qualität eines Builds zum System hinzufügen. Nur an Dienstkonten zuweisen.
Builddefinition anzeigen	ViewBuildDefinition	Build	Können die Builddefinitionen anzeigen, die für das Teamprojekt erstellt wurden.
Builds anzeigen	ViewBuilds	Build	Können die in der Warteschlange stehenden und abgeschlossenen Builds für dieses Teamprojekt anzeigen.

Hinweise:

1. Standardmäßig werden die folgenden Standardzuordnungen für diese integrierten Gruppen vorgenommen:

   • Leser: Builddefinitionen und Builds anzeigen.

   • Projektauflistungsadministratoren: Alle Berechtigungen mit Ausnahme von "Buildinformationen aktualisieren".

   • Projektauflistungs-Buildadministratoren: Alle Berechtigungen mit Ausnahme von "Eincheckvalidierung durch Build überschreiben" und "Buildinformationen aktualisieren".

   • Builddienstkonten für die Projektauflistung: Buildqualität bearbeiten, Buildwarteschlange verwalten, Buildinformationen aktualisieren, Eincheckvalidierung durch Build überschreiben, Builds in Warteschlange stellen, Builddefinitionen anzeigen und Builds anzeigen.

   • Testdienstkonten für die Projektauflistung: Buildinformationen aktualisieren, Builddefinitionen und Builds anzeigen.

2. Deaktivieren Sie die Vererbung für eine Builddefinition, wenn Sie die Berechtigungen für bestimmte Builddefinitionen steuern möchten.

   Mit aktivierter Vererbung beachtet die Builddefinition die auf der Projektebene definierten Buildberechtigungen für eine Gruppe oder einen Benutzer. Eine benutzerdefinierte Build Managers-Gruppe hat z. B. die Berechtigung, einen Build für das Projekt Fabrikam manuell in die Warteschlange zu versetzen. In einer Builddefinition mit aktivierter Vererbung für das Projekt Fabrikam erlaubt allen Mitgliedern der Build Managers-Gruppe, einen Build manuell zur Warteschlange hinzuzufügen.

   Wenn Sie die Vererbung für das Projekt Fabrikam deaktivieren, können Sie Berechtigungen setzen, mit denen nur Projektadministratoren einen Build manuell zur Warteschlange hinzufügen können. Auf diese Weise können Sie spezifische Berechtigungen für diese Builddefinition vergeben.

3. Die Berechtigung "Eincheckvalidierung durch den Build außer Kraft setzen" darf nur für Dienstkonten für Builddienste und Buildadministratoren erteilt werden, die für die Codequalität zuständig sind. Weitere Informationen finden Sie unter Einchecken in einen Ordner, der von einem Buildprozess mit abgegrenztem Eincheckvorgang gesteuert wird.

Arbeitsaufgabenabfrage-Berechtigungen

Sie können Arbeitsaufgabenabfrage-Berechtigungen über das Kontextmenü für die freigegebene Abfrage in TWA oder im Team Explorer oder über das TFSSecurity-Befehlszeilentool setzen. Alle Berechtigungen verwenden als Bereich die spezifische Abfrage bzw. den Abfrageordner, für die sie gesetzt wurden.

Vergeben Sie die Mitwirkende-Berechtigungen an Benutzer oder Gruppen, die Arbeitsaufgabenabfragen für das Projekt erstellen und freigeben müssen. Sie benötigen erweiterten Zugriff, um Abfragediagramme zu erstellen.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Leser, Mitwirkende, Buildadministratoren	Ersteller-Besitzer, Projektadministratoren, Projektauflistungsadministratoren
Mitwirken	MITWIRKEN	WorkItemQueryFolders	Können diese Abfrage oder den Abfrageordner anzeigen und ändern.
Löschen	DELETE	WorkItemQueryFolders	Können eine Abfrage oder einen Abfrageordner und seinen Inhalt löschen.
Berechtigungen verwalten	MANAGEPERMISSIONS		Können die Berechtigungen für diese Abfrage oder den Abfrageordner verwalten.
Lesen	READ	WorkItemQueryFolders	Können die Abfragen in einem Ordner anzeigen und verwenden, jedoch kann der Inhalt der Abfrage oder der Inhalt des Abfrageordners nicht geändert werden.
	FullControl	WorkItemQueryFolders	Können die Berechtigungen für eine Abfrage oder einen Abfrageordner und seinen Inhalt anzeigen, bearbeiten, löschen und verwalten.

Taggingberechtigungen

Tags sind eine einfache Möglichkeit, um Arbeitsaufgaben zu gruppieren oder zu kategorisieren. Taggingberechtigungen sind verfügbar in lokalen TFS-Bereitstellungen mit TFS 2013.2 oder neueren Versionen. Sie können die Berechtigung "Tagdefinition erstellen" in der TWA-Sicherheitsverwaltungsseite setzen. Verwenden Sie das TFSSecurity-Befehlszeilentool, um alle restlichen Berechtigungen zu setzen.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Leser	Mitwirkende	Projektadministratoren (Notiz 1)
Tagdefinition erstellen (Notiz 2)	CREATE	Tagging	Können neue Tags erstellen und zu Arbeitsaufgaben zuweisen. Benutzer ohne diese Berechtigung können nur aus den für das Teamprojekt vorhandenen Tags auswählen.
Tagdefinition löschen (Notiz 3, 4)	DELETE	Tagging	Können ein Tag aus der Liste der für dieses Projekt verfügbaren Tags entfernen.
Tagdefinition auflisten (Notiz 4, 5)	ENUMERATE	Tagging	Können eine Liste von Tags anzeigen, die für die Arbeitsaufgabe im Teamprojekt verfügbar sind. Benutzer ohne diese Berechtigung verfügen im Arbeitsaufgabenformular und im Abfrage-Editor über keine Liste verfügbarer Tags.
Tagdefinition aktualisieren (Notiz 4)	UPDATE	Tagging	Können Tags mithilfe der REST-API umbenennen.

Hinweise:

1. Außerdem verfügt die Gruppe Dienstkonten für die Projektauflistung explizit über alle Taggingberechtigungen.

2. Leser und Mitwirkende erben die Berechtigung Tagdefinition erstellen, da diese für die Gruppe Gültige Benutzer für Projekt explizit auf Zulassen gesetzt ist.

   Obwohl die Berechtigung Tagdefinition erstellen in den Sicherheitseinstellungen auf Teamprojektebene angezeigt wird, sind Taggingberechtigungen tatsächlich Berechtigungen auf Auflistungsebene, die auf Projektebene übertragen werden, wenn sie in der Benutzeroberfläche angezeigt werden. Um Taggingberechtigungen mit dem TFSSecurity-Befehl auf ein einzelnes Teamprojekt zu begrenzen, müssen Sie die GUID für das Projekt in die Befehlssyntax aufnehmen. Andernfalls wird die Änderung auf die gesamte Teamprojektauflistung angewendet. Denken Sie daran, wenn Sie diese Berechtigungen ändern oder festlegen.

3. Es gibt es keine Möglichkeit, Tags in der Benutzeroberfläche zu löschen. Um einen Tag zu löschen, müssen Sie dessen Zuordnungen löschen. TFS löscht nicht zugewiesene Tags automatisch nach 3 Tagen, wenn diese nicht verwendet werden.

4. Wird in der Benutzeroberfläche nicht angezeigt; kann nur mithilfe des TFSSecurity-Befehls festgelegt werden.

5. Wenn die Berechtigung Informationen auf Projektebene anzeigen für Leser und Mitwirkende explizit auf Zulassen gesetzt ist, können Benutzer in diesen Gruppen vorhandene Tags anzeigen (Berechtigung Tagdefinitionen auflisten).

Berechtigungen auf Bereichsebene für die Arbeitsaufgabennachverfolgung

Berechtigungen auf Bereichsebene regeln den Zugriff auf Arbeitsaufgaben für Projekte basierend auf dem Speicherort in der Strukturhierarchie für Bereiche.

Sie können die Berechtigungen auf Bereichsebene in der TWA-Verwaltungsseite für den Bereich oder über das TFSSecurity-Befehlszeilentool definieren und setzen. Alle Berechtigungen verwenden als Bereich den spezifischen Bereichspfad, für den sie gesetzt wurden.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Mitwirkende	Buildadministratoren	Builddienstkonten für die Projektauflistung (Notiz 1)
Untergeordnete Knoten erstellen (Notiz 2)	CREATE_CHILDREN	CSS	Bereichsknoten können erstellt werden. Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten können beliebige untergeordnete Bereichsknoten verschieben und neu anordnen.
Diesen Knoten löschen (Notiz 2)	DELETE	CSS	Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten können Bereichsknoten löschen und vorhandene Arbeitsaufgaben aus dem gelöschten Knoten neu klassifizieren. Wenn der gelöschte Knoten über untergeordnete Knoten verfügt, werden diese ebenfalls gelöscht.
Diesen Knoten bearbeiten (Notiz 2)	GENERIC_WRITE	CSS	Können Berechtigungen für diesen Knoten setzen und Bereichsknoten umbenennen.
Arbeitsaufgaben in diesem Knoten bearbeiten (Notiz 3)	WORK_ITEM_WRITE	CSS	Können Arbeitsaufgaben in diesem Bereichsknoten bearbeiten.
Testpläne verwalten (Notiz 4)	MANAGE_TEST_PLANS	CSS	Können Testplaneigenschaften wie z. B. Build- und Testeinstellungen ändern.
Testsammlungen verwalten (Notiz 4)	MANAGE_TEST_SUITES	CSS	Können Testsammlungen erstellen und löschen, Testfälle zu Testsammlungen hinzufügen und daraus entfernen, Testsammlungen zugeordnete Testkonfigurationen entfernen und die Auflistungshierarchie ändern (eine Testsammlung verschieben).
Berechtigungen des Knotens anzeigen	GENERIC_READ	CSS	Können die Sicherheitseinstellungen für diesen Knoten anzeigen.
Arbeitsaufgaben in diesem Knoten anzeigen (Notiz 5)	WORK_ITEM_READ	CSS	Können Arbeitsaufgaben in diesem Bereichsknoten zwar anzeigen, aber nicht ändern.

Hinweise:

1. Standardmäßig werden die folgenden Standardzuordnungen für diese integrierten Gruppen vorgenommen:

   • Leser: Berechtigungen für den Knoten und schreibgeschützte Berechtigungen anzeigen.

   • Testdienstkonten für die Projektauflistung: Schreibgeschützte Berechtigungen.

   • Team Foundation-Administratoren, Projektauflistungsadministratoren und Projektadministratoren: Alle CSS-Berechtigungen. Alle Benutzer oder Gruppen, die Informationen auf Instanz-, Auflistungs- oder Projektebene bearbeiten dürfen, können Bereichsknoten erstellen und verwalten.

   • Mitglieder der Gruppen Gültige Benutzer für Projektauflistung, Gültige Benutzer für Projekt sowie alle Benutzer oder Gruppen mit den Berechtigungen Informationen auf Auflistungs- oder Projektebene anzeigen können die Berechtigungen beliebiger Bereichsknoten anzeigen.

2. Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Bereichsknoten löschen, hinzufügen oder umbenennen müssen.

3. Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Arbeitsaufgaben unterhalb des Bereichsknotens bearbeiten müssen.

4. Die Berechtigung "Testsammlungen verwalten" wurde mit dem Update TFS 2013.3 hinzugefügt. Sie können diese Berechtigungen an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Testpläne oder Testsammlungen unterhalb dieses Bereichsknotens verwalten müssen.

5. Wenn Sie die Berechtigung "Arbeitsaufgaben anzeigen" auf "Verweigern" festlegen, kann der Benutzer keine Arbeitsaufgaben in diesem Bereichsknoten anzeigen. "Verweigern" überschreibt jedes implizite "Zulassen", sogar für Konten, die Mitglieder von Administratorengruppen, wie Team Foundation-Administratoren, sind.

Berechtigungen auf Iterationsebene für die Arbeitsaufgabenverfolgung

Berechtigungen auf Iterationsebene regeln den Zugriff auf die Erstellung und Verwaltung von Iterationspfaden.

Sie können Berechtigungen auf Iterationsebene für Benutzer und Gruppen, die Sie zu einem Teamprojekt oder einer Auflistung hinzufügen, auf der TWA-Verwaltungsseite für Iterationen oder mit dem TFSSecurity-Befehlszeilentool festlegen. Alle Berechtigungen verwenden als Bereich den spezifischen Iterationspfad, für den sie gesetzt wurden.

Für einige Vorgänge in der Arbeitsaufgabenverfolgung sind mehrere Berechtigungen erforderlich. Zum Beispiel benötigen Sie mehrere Berechtigungen, um einen Knoten zu löschen.

Sie können z. B. Teamadministratoren, Scrum-Master und Teamleitern Berechtigungen zum Erstellen, Bearbeiten oder Löschen von Knoten erteilen.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Projektadministratoren (Notiz 1)
Untergeordnete Knoten erstellen (Notiz 2)	CREATE_CHILDREN	Iteration	Iterationsknoten können erstellt werden. Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten können beliebige untergeordnete Iterationsknoten verschieben und neu anordnen.
Diesen Knoten löschen (Notiz 2)	DELETE	Iteration	Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten können Iterationsknoten löschen und vorhandene Arbeitsaufgaben aus dem gelöschten Knoten neu klassifizieren. Wenn der gelöschte Knoten über untergeordnete Knoten verfügt, werden diese ebenfalls gelöscht.
Diesen Knoten bearbeiten (Notiz 2)	GENERIC_WRITE	Iteration	Können Berechtigungen für diesen Knoten setzen und Iterationsknoten umbenennen.
Berechtigungen des Knotens anzeigen (Notiz 3)	GENERIC_READ	Iteration	Können die Sicherheitseinstellungen für diesen Knoten anzeigen.

Hinweise:

1. Team Foundation-Administratoren und Projektauflistungsadministratoren erhalten sämtliche Iterationsberechtigungen. Alle Benutzer oder Gruppen, die Informationen auf Instanz-, Auflistungs- oder Projektebene bearbeiten dürfen, können Iterationsknoten erstellen und verwalten.

2. Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Iterationsknoten löschen, hinzufügen oder umbenennen müssen.

3. Mitglieder der Gruppen Gültige Benutzer für Projektauflistung, Gültige Benutzer für Projekt sowie alle Benutzer oder Gruppen mit den Berechtigungen Informationen auf Auflistungs- oder Projektebene anzeigen können die Berechtigungen beliebiger Iterationsknoten anzeigen.

Berechtigungen für die Team Foundation-Versionskontrolle (Team Foundation Version Control, TFVC)

Sie können Berechtigungen für Quellcodedateien und Ordner in TFVC über das Kontextmenü für die Datei- oder Ordnerdefinition in TWA oder im Team Explorer oder über das tf-Befehlszeilentool setzen. Diese Berechtigungen werden nur für Teamprojekte angezeigt, die TFVC für die Quellcodeverwaltung verwenden.

In Versionskontrollberechtigungen hat eine explizite Verweigerung Vorrang vor Administratorgruppenberechtigungen.

Berechtigungsname	TFSSecurity-Aktion und tf perm	TFSSecurity-Namespace	Beschreibung	Mitwirkende	Buildadministratoren	Builddienstkonten für die Projektauflistung	Projektadministratoren (Notiz 1)
Bezeichnungen verwalten	tf: LabelOther	VersionControlItems	Können die von anderen Benutzern erstellten Beschriftungen bearbeiten oder löschen.
Einchecken (Notiz 2)	tf: Checkin	VersionControlItems	Können Elemente einchecken und alle übernommenen Changesetkommentare überarbeiten. Ausstehende Änderungen werden beim Einchecken übernommen.
Änderungen anderer Benutzer einchecken	tf: CheckinOther	VersionControlItems	Können von anderen Benutzern vorgenommene Änderungen einchecken. Ausstehende Änderungen werden beim Einchecken übernommen.
Auschecken (Notiz 2)	tf: PendChange	VersionControlItems	Können Elemente in einem Ordner auschecken und ausstehende Änderungen an den Elementen in einem Ordner vornehmen. Beispiele für ausstehende Änderungen sind u. a. das Hinzufügen, Bearbeiten, Umbenennen, Löschen, Wiederherstellen, Verzweigen und Zusammenführen einer Datei. Ausstehende Änderungen müssen eingecheckt werden, folglich benötigen Benutzer auch die Berechtigung Einchecken, um ihre Änderungen für das Team freigeben.
Label	tf: Label	VersionControlItems	Können Elemente beschriften.
Lock	tf: Lock	VersionControlItems	Können Ordner und Dateien sperren und entsperren.
Verzweigung verwalten	tf: ManageBranch	VersionControlItems	Können beliebige Ordner unterhalb eines Pfads zu einer Verzweigung konvertieren und außerdem die folgenden Aktionen auf Verzweigungen ausführen: Bearbeiten der Eigenschaften, Erstellen einer neuen Überordnung und Konvertieren in einen Ordner. Benutzer mit dieser Berechtigung können diese Verzweigung nur verzweigen, wenn sie auch über die Berechtigung Zusammenführen für den Zielpfad verfügen. Benutzer können keine Verzweigungen aus einer Verzweigung erstellen, für die sie nicht die Berechtigung Verzweigung verwalten haben.
Berechtigungen verwalten (Notiz 3)	tf: AdminProjectRights	VersionControlItems	Können die Berechtigungen anderer Benutzer für Ordner und Dateien in der Versionskontrolle verwalten.
Zusammenführen (Notiz 4)	tf: Merge	VersionControlItems	Können Änderungen mit diesem Pfad zusammenführen.
Lesen	tf: Read	VersionControlItems	Können den Inhalt einer Datei oder eines Ordners lesen. Benutzer mit der Berechtigung Lesen für einen Ordner können den Inhalt des Ordners und die Eigenschaften der darin enthaltenen Dateien anzeigen. Dies ist auch dann der Fall, wenn der Benutzer nicht über die Berechtigungen zum Öffnen dieser Dateien verfügt.
Änderungen anderer Benutzer überarbeiten (Notiz 5)	tf: ReviseOther	VersionControlItems	Können die Kommentare zu eingecheckten Dateien bearbeiten, selbst wenn diese von einem anderen Benutzer eingecheckt wurden.
Änderungen anderer Benutzer rückgängig machen (Notiz 5)	tf: UndoOther	VersionControlItems	Können von anderen Benutzern vorgenommene ausstehende Änderungen rückgängig machen.
Änderungen anderer Benutzer entsperren (Notiz 5)	tf: UnlockOther	VersionControlItems	Können von anderen Benutzern gesperrte Dateien entsperren.

Hinweise:

1. Außerdem werden alle Berechtigungen für Projektauflistungsadministratoren und Dienstkonten für die Projektauflistung auf "Geerbte Zulassung" gesetzt.

   Die Gruppe "Leser" erhält Leseberechtigungen: Lesen.

2. Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind, sowie an alle Benutzer, die Elemente in einem Ordner ein- oder auschecken, ausstehende Änderungen vornehmen oder übernommene Changesetkommentare prüfen müssen.

3. Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind und private Verzweigungen erstellen müssen, sofern das Projekt nicht restriktiveren Entwicklungsverfahren unterliegt.

4. Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind und Quelldateien zusammenführen müssen, sofern das Projekt nicht restriktiveren Entwicklungsverfahren unterliegt.

5. Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die für die Beaufsichtigung oder Überwachung des Projekts zuständig sind und die die Kommentare zu eingecheckten Dateien bearbeiten müssen, auch wenn die betreffende Datei von einem anderen Benutzer eingecheckt wurde.

Git-Repositoryberechtigungen

Sie können die Berechtigungen für ein Git-Projekt, -Repository oder eine Git-Verzweigungen im Kontextmenü in TWA oder über das TFSSecurity-Befehlszeilentool festlegen. Diese Berechtigungen werden nur für Teamprojekte angezeigt, die Git für die Quellcodeverwaltung verwenden.

Sie können alle Berechtigungen für ein Projekt oder Repository festlegen. Sie können die Berechtigungen "Verwalten", "Mitwirken" und "Verlauf neu schreiben und zerstören (erzwungener Push)" für eine Verzweigung festlegen. Repositorys und Verzweigungen erben Berechtigungen von Zuweisungen auf Projektebene.

Standardmäßig haben die Leser-Gruppen auf Projekt- und Auflistungsebene nur Leseberechtigungen.

Berechtigungsname	TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Mitwirkende	Buildadministratoren	Projektadministratoren (Notiz 1)
Verwalten (Notiz 2)	Verwalten	GitRepositories	Können das Repository umbenennen, zusätzliche Repositorys hinzufügen, die Datenbank überprüfen und Berechtigungen für die Verzweigung festlegen. Benutzer mit dieser Berechtigung können das Repository löschen, wenn sie darüber hinaus über die Berechtigung zum Erzwingen verfügen. Können auf Verzweigungsebene Berechtigungen für die Verzweigung festlegen und die Verzweigung löschen.
VERZWEIGUNG	CreateBranch	GitRepositories	Können Verzweigungen im Repository veröffentlichen. Benutzer ohne diese Berechtigung können dennoch Verzweigungen in ihrem lokalen Repository erstellen, sie können nur keine lokalen Verzweigungen auf dem Server veröffentlichen. Wenn Benutzer eine neue Verzweigung auf dem Server erstellen, erhalten sie standardmäßig die Berechtigungen zum Verwalten, Mitwirken und Erzwingen.
Mitwirken	GenericContribute	GitRepositories	Können ihre Änderungen per Push an das Repository übermitteln. Können ihre Änderungen auf Verzweigungsebene per Push an die Verzweigung übermitteln.
Hinweisverwaltung	ManageNote	GitRepositories	Können Git-Hinweise per Push an das Repository übermitteln und bearbeiten. Außerdem können sie Hinweise von Elementen entfernen, wenn sie die Berechtigung zum Erzwingen haben. Weitere Informationen über Hinweise finden Sie in diesem Thema.
Lesen	GenericRead	GitRepositories	Können den Inhalt des Repositorys klonen, abrufen, ziehen und untersuchen, aber keine von ihnen vorgenommenen Änderungen per Push an das Repository übermitteln.
Verlauf neu schreiben und zerstören (erzwungener Push)	ForcePush	GitRepositories	Können Updates erzwingen, die Commits von Benutzern überschreiben oder verwerfen können. Durch das Löschen von Commits wird der Verlauf geändert. Ohne diese Berechtigung können Benutzer ihre eigenen Änderungen nicht verwerfen. Die Berechtigung "Verlauf neu schreiben und zerstören" ist zum Löschen einer Verzweigung ebenfalls erforderlich. Da Benutzer durch die Berechtigung "Verlauf neu schreiben und zerstören" den Verlauf ändern oder einen Commit aus dem Verlauf entfernen können, können Benutzer mit dieser Berechtigung eine Änderung und den dazugehörigen Verlauf vom Server löschen. Sie können auch den Commitverlauf vom Serverrepository ändern. Können den Verlauf auf Verzweigungsebene neu schreien und den Verlauf der Verzweigung zerstören.
Erstellung von Tags	CreateTag	GitRepositories	Können Tags per Push an das Repository übermitteln und Tags bearbeiten und aus Elementen entfernen, wenn zusätzlich die Berechtigung zum Erzwingen gesetzt ist.

Hinweise:

1. Für Projektauflistungsadministratoren und Dienstkonten für die Projektauflistung werden alle Berechtigungen auf "Geerbte Zulassung" gesetzt.

   Die Gruppen "Leser" und "Builddienstkonten für die Projektauflistung" erhalten Leseberechtigungen: Lesen.

2. Sie können alle Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind.

Berechtigungen für Lab Management

Visual Studio Lab Management-Berechtigungen sind für virtuelle Computer, Umgebungen und andere Ressourcen spezifisch. Außerdem werden dem Ersteller eines Objekts in Lab-Management automatisch alle Berechtigungen für dieses Objekt erteilt. Verwenden Sie zum Festlegen dieser Berechtigungen das TFSLabConfig-Befehlszeilentool.

Standardmäßig haben die Leser-Gruppen auf Projekt- und Auflistungsebene nur Leseberechtigungen zum Anzeigen von Lab-Ressourcen.

Berechtigungsname	TFSLabConfig perm	Beschreibung	Mitwirkende (Notiz 1)	Projektadministratoren	Builddienst für die Projektauflistung	Team Foundation-Administratoren, Projektauflistungsadministratoren
Umgebung und virtuelle Computer löschen	Löschen	Können Umgebungen und Vorlagen löschen. Die Berechtigung wird für das zu löschende Objekt überprüft.
Lab-Speicherorte löschen	DeleteLocation	Können die Speicherorte von Lab Management-Ressourcen löschen, einschließlich der Speicherorte für Auflistungshostgruppen, Auflistungsbibliotheksfreigaben, Projekthostgruppen und Projektbibliotheksfreigaben. Zum Löschen eines Speicherorts müssen Sie über die Berechtigung Lab-Speicherorte löschen für den betreffenden Speicherort verfügen.
Umgebung und virtuelle Computer bearbeiten	Edit	Können Umgebungen und Vorlagen bearbeiten. Die Berechtigung wird für das zu bearbeitende Objekt überprüft.
Vorgänge in der Umgebung	EnvironmentOps	Können Momentaufnahmen starten, beenden, anhalten und verwalten und weitere Operationen in einer Umgebung ausführen.
Virtuellen Computer importieren	Create	Können virtuelle Computer aus VMM-Bibliotheksfreigaben importieren. Diese Berechtigung unterscheidet sich von "Schreiben", da nur ein Objekt in Lab Management erstellt wird, jedoch nichts in die Virtual Machine Manager-Hostgruppe oder -Bibliotheksfreigabe geschrieben wird.
Untergeordnete Berechtigungen verwalten	ManageChildPermissions	Können die Berechtigungen aller untergeordneten Lab Management-Objekte ändern. Verfügt ein Benutzer beispielsweise über die Berechtigung Untergeordnete Berechtigungen verwalten für eine Teamprojekt-Hostgruppe, kann er die Berechtigungen für alle Umgebungen unterhalb dieser Teamprojekt-Hostgruppe ändern.
Lab-Speicherorte verwalten	ManageLocation	Können die Speicherorte von Lab Management-Ressourcen bearbeiten, einschließlich der Speicherorte für Auflistungshostgruppen, Auflistungsbibliotheksfreigaben, Projekthostgruppen und Projektbibliotheksfreigaben. Zum Bearbeiten eines bestimmten Speicherorts müssen Sie über die Berechtigung Lab-Speicherorte verwalten für den betreffenden Speicherort verfügen. Diese Berechtigung für Speicherorte auf Auflistungsebene (Auflistungshostgruppen und Auflistungsbibliotheksfreigaben) ermöglicht Ihnen auch, Speicherorte auf Projektebene (Projekthostgruppen und Projektbibliotheksfreigaben) zu erstellen.
Berechtigungen verwalten	ManagePermissions	Können die Berechtigungen für Lab Management-Objekte verändern. Diese Berechtigung wird für das Objekt überprüft, dessen Berechtigungen geändert werden.
Momentaufnahmen verwalten	ManageSnapshots	Können alle Verwaltungsaufgaben für Momentaufnahmen einer Umgebung ausführen, u. a. das Erstellen, Wiederherstellen, Umbenennen, Löschen und Lesen von Momentaufnahmen.
Umgebung anhalten	Pause	Können eine Umgebung anhalten.
Starten	Starten	Können eine Umgebung starten.
Stop	Stop	Können eine Umgebung beenden.
Lab-Ressourcen anzeigen	Lesen	Können Informationen für die verschiedenen Lab Management-Ressourcen anzeigen, einschließlich Informationen zu Auflistungshostgruppen, Projekthostgruppen und Umgebung. Um Informationen zu einer bestimmten Lab-Ressource anzuzeigen, müssen Sie über die Berechtigung Lab-Ressourcen anzeigen für diese Ressource verfügen.
Umgebung und virtuelle Computer schreiben	Write	Können Umgebungen für eine Projekthostgruppe erstellen. Benutzer mit dieser Berechtigung für eine Projektbibliotheksfreigabe können Umgebungen und Vorlagen speichern.

Hinweise:

1. Die Gruppe "Leser" erhält Leseberechtigungen: Lesen.

Release Management-Berechtigungen

In der Releaseverwaltung können Sie Berechtigungen entsprechend der Rolle zuweisen, die einem Benutzer zugewiesen wurde, explizite funktionale Berechtigungen, die Gruppen zugewiesen sind, oder Berechtigungen, die bestimmten Instanzen eines Freigabeobjekts zugewiesen sind. Außerdem können Sie bestimmten Stufen in einem Freigabepfad Prüfer und Validierer zuweisen, um sicherzustellen, dass die bereitgestellten Anwendungen den Qualitätsstandards entsprechen.

• Rollenbasiert: Die beiden Rollen sind "Freigabe-Manager" und "Dienstbenutzer". Freigabe-Manager können alle Funktionen verwalten, unabhängig von den Gruppen, mit denen sie verknüpft sind. Dienstbenutzer entspricht einer Dienstkontorolle. Um für einen Benutzer den Zugriff einzuschränken, weisen Sie ihm keine Rolle zu. Stattdessen lassen Sie ihn die Berechtigungen erben, die der Gruppe zugewiesen sind, mit der sie verknüpft sind.

• Gruppe: Um den Zugriff auf bestimmte Funktionsbereiche einzuschränken, weisen Sie die Berechtigungen dieser Gruppe zu. Mitglieder dieser Gruppe erben die Berechtigungen, die der Gruppe zugewiesen sind. Das Beschränken des Zugriffs erfordert, dass Sie die Berechtigungen ändern, die der Gruppe Jeder gewährt wurde, die standardmäßig über alle Berechtigungen verfügt.

• Objekt: Neben den Rollen und Gruppen können Sie den Zugriff auf die Bearbeitung, Ansicht und Verwaltung der Sicherheit von Freigabepfaden und Versionsvorlagen beschränken. Hierzu dient die Registerkarte "Sicherheit" auf dem Freigabepfad und die Seite "Eigenschaften" für eine Versionsvorlage.

• Prüfer und Validierer: Prüfer und die Validierer müssen jeden Schritt oder jede Stufe eine Freigabe signieren. Sie weisen Prüfer und Validierer zu, wenn Sie einen Freigabepfad konfigurieren. Alle Prüfer und Validierer müssen als Benutzer oder Mitglied einer Gruppe in der Releaseverwaltung hinzugefügt werden.

Die Releaseverwaltung definiert eine einzelne Standardgruppe Jeder, zu der alle Konten gehören, die Sie in der Releaseverwaltung hinzufügen. Darüber hinaus werden bestimmte Berechtigungen den Rollen "Freigabe-Manager" und "Dienstbenutzer" zugeordnet.

Sie verwalten Release Management-Berechtigungen mit dem Release Management-Client. Sie können diese Berechtigungen festlegen, indem Sie das Untermenü öffnen, das in der Spalte Wo festlegen aufgeführt ist. Weitere Informationen zum Festlegen dieser Berechtigungen finden Sie unter Hinzufügen von Benutzern und Gruppen und Steuern des Zugriffs auf Release Management. Hier können Sie Release Management installieren.

Berechtigungsname oder Benutzerrolle	Wo festlegen	Beschreibung	Jeder	Release Manager-Rolle	Dienstbenutzerrolle
Release Manager	Verwaltung > Seiten "Mein Profil" und "Neuer Benutzer"	Können den Release Management-Server, die Verbindung zwischen TFS und Release Management sowie die folgenden Objekte verwalten: Freigabepfade und Stufeninformationen in einem Freigabepfad Versionsvorlagen, einschließlich Hinzufügen von benutzerdefinierten Tools, Aktionen sowie Bereitstellungssequenz- und Konfigurationsvariablen für alle in einer Versionsvorlage definierten Stufen. Sicherheit für alle Funktionsbereiche. Kann hinzugefügt werden: Benutzer, die den Release Management-Server verwalten.
Dienstbenutzer	Verwaltung > Seiten "Mein Profil" und "Neuer Benutzer"	Können Bereitstellungen oder Webanwendungspools verwalten. Kann hinzugefügt werden: Dienstkontoidentitäten für die Ausführung von Serveranwendungspools, Windows-Dienst für den Deployment Agent und Release Management-Überwachung von Windows-Diensten.
Ansicht	Apps konfigurieren > Versionsvorlage > Eigenschaften Pfade konfigurieren > Freigabepfade	Können Versionsvorlagen oder Versionspfade anzeigen und Lesezugriff für bestimmte Versionsvorlagen und Versionspfade selektiv bestimmten Benutzern zuweisen. Kann hinzugefügt werden: Benutzer oder Gruppen, die bestimmte Versionsvorlagen oder Freigabepfade anzeigen, jedoch nicht bearbeiten müssen.
Edit	Apps konfigurieren > Versionsvorlage > Eigenschaften Pfade konfigurieren > Freigabepfade	Können Versionsvorlagen oder Versionspfade bearbeiten und auswählen, welche Benutzer bestimmte Versionsvorlagen und Versionspfade bestimmter Benutzer bearbeiten können. Kann hinzugefügt werden: Benutzer oder Gruppen, die bestimmte Versionsvorlagen oder Freigabepfade bearbeiten müssen.
Darf freigeben	Apps konfigurieren > Versionsvorlage > Eigenschaften	Können Freigaben initiieren und festlegen, welche Benutzer Freigaben aus den Versionsvorlagen initiieren dürfen, die sie anzeigen können. Kann hinzugefügt werden:Benutzer oder Gruppen, die eine Freigabe initiieren. Mit dieser Berechtigung können Sie angeben, welche Benutzer eine Freigabe aus Versionsvorlagen initiieren können, die sie anzeigen können.
Sicherheit verwalten	Apps konfigurieren > Versionsvorlage > Eigenschaften Pfade konfigurieren > Freigabepfade	Können festlegen, welche Gruppen die Berechtigung zum Anzeigen, Bearbeiten und Verwalten von Versionsvorlagen oder Freigabepfaden erhalten. Kann hinzugefügt werden: Benutzer oder Gruppen, die festlegen, welche Gruppen die Berechtigung zum Anzeigen, Bearbeiten und Verwalten von Versionsvorlagen oder Freigabepfaden erhalten. Mit dieser Berechtigung können Ersteller von Versionsvorlagen und Freigabepfaden festlegen, wer bestimmte Vorlagen oder Pfade anzeigen, bearbeiten oder freigeben kann.
Darf Versionsvorlage erstellen	Apps konfigurieren > Versionsvorlage	Können Releasevorlagen definieren. Ohne diese Berechtigung ist die Schaltfläche Neu auf der Registerkarte Apps konfigurieren > Versionsvorlage ausgeblendet. Kann hinzugefügt werden: Benutzer oder Gruppen, die eine Freigabe erstellen, starten oder genehmigen müssen.
Darf Freigabepfad erstellen	Pfade konfigurieren > Freigabepfade	Können die Stufen, den Genehmigungsprozess und die Sicherheit von Versionspfaden definieren. Ohne diese Berechtigung ist die Schaltfläche Neu auf der Registerkarte Pfade konfigurieren > Freigabepfade ausgeblendet. Kann hinzugefügt werden: Benutzer oder Gruppen, die die Freigabekonfiguration für die Bereitstellung von Anwendungen verwalten müssen.
Darf Umgebung verwalten	Pfade konfigurieren > Umgebungen	Können die Stufen definieren, die einen Versionspfad, die Server und die Sicherheit für jede Stufe enthalten. Ohne diese Berechtigung ist die Registerkarte Pfade konfigurieren > Umgebungen ausgeblendet. Kann hinzugefügt werden: Benutzer oder Gruppen, die die Server und Umgebungen verwalten müssen, die zur Definition der Freigabepfade verwendet werden.
Darf Server verwalten	Pfade konfigurieren > Server	Können die Freigabepfade zum Bereitstellen von Anwendungen im System definieren. Diese Berechtigung unterstützt Zugriff zum Definieren der Server, die verwendet werden, um Anwendungen für Test-, Stufen- und Produktionsserver bereitzustellen. Ohne diese Berechtigung ist die Registerkarte Pfade konfigurieren > Server ausgeblendet. Kann hinzugefügt werden: Benutzer oder Gruppen, die die Freigabepfade zum Bereitstellen von Anwendungen im System definieren. Diese Berechtigung unterstützt den Zugriff zum Definieren der Server, die verwendet werden, um Anwendungen für Test-, Stufen- und Produktionsserver bereitzustellen.
Darf Bestand verwalten	Bestand > Aktionen und Tools	Können benutzerdefinierte Tools oder Aktionen für das Bereitstellen von Anwendungen im System definieren. Mit dieser Berechtigung können Aktionen und Tools angezeigt, bearbeitet und erstellt werden. Siehe Freigabeaktionen zum Bereitstellen einer App für Release Management. Ohne diese Berechtigung bleibt die Registerkarte Bestand ausgeblendet. Kann hinzugefügt werden: Benutzer oder Gruppen, die benutzerdefinierte Tools oder Aktionen für das Bereitstellen von Anwendungen im System definieren. Mit dieser Berechtigung können Aktionen und Tools angezeigt, bearbeitet und erstellt werden, die bei der Bereitstellung von Anwendungen verwendet werden.
Darf benutzerdefiniertes Tool in Aktionen und Komponenten verwenden	Apps konfigurieren > Komponente > Bereitstellung Apps konfigurieren > Versionsvorlage > Komponente > Bereitstellung	Können die Felder Befehl und Argumente bearbeiten, wenn Kein Tool ausgewählt ist. Ohne diese Berechtigung können Benutzer diese Felder nicht bearbeiten. Kann hinzugefügt werden: Benutzer oder Gruppen, die Freigabepfade oder Versionsvorlagen definieren, oder die Freigaben initiieren. Dies ermöglicht ihnen, die Felder Befehl und Argumente zu bearbeiten, wenn Kein Tool ausgewählt ist.
Werte und Zielserver bearbeiten	Apps konfigurieren > Versionsvorlage	Können Bereitstellungssequenz- und Konfigurationsvariablen für bestimmte Freigaben oder Stufen bearbeiten. Ohne diese Berechtigung sind Stufeninformationen schreibgeschützt. Kann hinzugefügt werden: Benutzer oder Gruppen, die Freigabepfade oder Versionsvorlagen definieren, oder die Freigaben initiieren. Dadurch können sie Bereitstellungssequenz- und Konfigurationsvariablen für besondere Freigaben oder Stufen bearbeiten.
Genehmigungen und Umgebung bearbeiten	Pfade konfigurieren > Freigabepfade > Stufen	Können Genehmigungen und Umgebungen für eine bestimmte Stufe bearbeiten. Ohne diese Berechtigung sind Stufeninformationen schreibgeschützt. Kann hinzugefügt werden: Benutzer oder Gruppen, die Freigabepfade oder Versionsvorlagen definieren. Dadurch können sie Genehmigungen und Umgebungen einer bestimmte Stufe bearbeiten. Ohne diese Berechtigung sind Stufeninformationen schreibgeschützt.

Fragen und Antworten

F: Was ist der Unterschied zwischen Berechtigungen und Zugriffsebenen?

A: Bestimmte Funktionen in TFS sind nur für jene Benutzer verfügbar, die über die entsprechende Lizenzierung für derartige Funktionen verfügen. Der Zugriff auf diese Funktionen wird nicht über Berechtigungen sondern durch die Mitgliedschaft in den Lizenzierungsgruppen für Team Web Access gesteuert. Siehe Ändern von Zugriffsebenen.

F: Welche Berechtigungen werden an Teamadministratoren vergeben?

A: Teamadministratoren erhalten verschiedene rollenbasierte Berechtigungen, die hier beschrieben werden.

F: Welche Berechtigungen existieren für Benachrichtigungen?

A: Es existieren keine Berechtigungen in der Benutzeroberfläche für Benachrichtigungen, die Sie über TWA abonnieren können.

Standardmäßig können alle Mitwirkenden Benachrichtigungen für sich selbst abonnieren. Projektauflistungsadministratoren und Projektadministratoren oder Benutzer bzw. Mitglieder von Gruppen, die Informationen auf Auflistungs- oder Projektebene bearbeiten dürfen, können Benachrichtigungen für andere Benutzer oder für ein Team setzen.

Sie können die Berechtigungen für Benachrichtigungen auf Auflistungsebene mithilfe von TFSSecurity verwalten. Der Team Foundation Server-EventService-Dienst ist besonders flexibel und erweiterbar.

TFSSecurity-Aktion	TFSSecurity-Namespace	Beschreibung	Projektauflistungsadministratoren und Dienstkonten für die Projektauflistung
CREATE_SOAP_SUBSCRIPTION	EventSubscription	Kann ein SOAP-basiertes Webdienst-Abonnement erstellen.
GENERIC_READ	EventSubscription	Kann die für ein Teamprojekt definierten Eventabonnements anzeigen.
GENERIC_WRITE	EventSubscription	Kann Benachrichtigungen für andere Benutzer oder für ein Team erstellen.
UNSUBSCRIBE	EventSubscription	Kann ein Eventabonnement stornieren.

F: Welche weiteren Features oder Tools verweisen auf Gruppen?

A: Diese Features verweisen auf integrierte und benutzerdefinierte (von Ihnen erstellte) TFS-Gruppen:

• Arbeitsaufgabenabfragen: Operatoren "In Gruppe" und "Nicht in Gruppe"

• Untergeordnetes Feld (Definitions)-Element oder Attribut: Attribute "for" und "not"

• Untergeordnetes Feld (Workflow)-Element oder Attribut: Attribute "for" und "not"

• Zugriffsebene

F: Was ist ein gültiger Benutzer?Wie werden gültige Benutzergruppen gefüllt?

A: Wenn Sie Benutzerkonten direkt zu einer TFS-Gruppe oder über eine Windows-Gruppe hinzufügen, werden diese automatisch zu einer der gültigen Benutzergruppen hinzugefügt.

• Server\Gültige Team Foundation-Benutzer: Alle Mitglieder, die zu Gruppen auf Serverebene hinzugefügt wurden.

• Projektauflistungsname\Gültige Benutzer für Projektauflistung: Alle Mitglieder, die zu Gruppen auf Projektebene hinzugefügt wurden.

• Teamprojektname\Gültige Benutzer für Projekt: Alle Mitglieder, die zu Gruppen auf Projektebene hinzugefügt wurden.

Die Standardberechtigungen für diese Gruppen beschränken sich hauptsächlich auf Lesezugriff, wie z. B. Buildressourcen anzeigen, Informationen auf Projektebene anzeigen und Informationen auf Auflistungsebene anzeigen.

Alle Benutzer, die Sie zu einem Teamprojekt hinzufügen, können also die Objekte in anderen Teamprojekten innerhalb einer Auflistung anzeigen. Falls Sie den Lesezugriff einschränken müssen, können Sie Einschränkungen über den Bereichspfadknoten konfigurieren. Weitere Möglichkeiten finden Sie unter Einschränken des Zugriffs auf Funktionen und Aufgaben.

Wenn Sie die Berechtigung Instanzebeneninformationen anzeigen für eine der gültigen Benutzergruppen Verweigern, können keine Benutzer auf das Teamprojekt, die Auflistung oder die Bereitstellung zugreifen, je nach zugeordneter Gruppe.

Das VALIDUSER-Element kann ebenfalls verwendet werden, um den Zugriff auf die Arbeitsaufgabenverfolgung zu verwalten.

F: Wie kann ich die Berechtigungen für den Zugriff auf Berichte oder das Projektportal verwalten?

A: Informationen zum Festlegen von Berechtigungen in Reporting Services und SharePoint-Produkte für Benutzer in TFS finden Sie unter Festlegen von Administratorberechtigungen für Teamprojektsammlungen und Festlegen von Administratorberechtigungen für Team Foundation Server.

Schrittweise Anweisungen zum Erstellen von benutzerdefinierten Gruppen, Konfigurieren von Berechtigungen und Steuern des Zugriffs auf Ressourcen sowie weitere Optionen finden Sie unter Einschränken des Zugriffs auf Funktionen und Aufgaben.