Controlar el acceso a las áreas funcionales

Puede establecer la configuración de seguridad inicial para las áreas funcionales siguientes de un proyecto de equipo: consultas de equipo, control de versiones de Team Foundation, Team Foundation Build y Visual Studio Lab Management. Las plantillas de proceso de Microsoft Solutions Framework (MSF) asignan varios permisos a los grupos de seguridad predeterminados. Puede modificar dichas asignaciones si personaliza el archivo de complemento para el área funcional apropiada.

Para obtener más información sobre cómo configurar los grupos de seguridad de Visual Studio Team Foundation Server, consulte Configurar grupos equipos, miembros y permisos iniciales.

Para obtener más información sobre cómo administrar usuarios y grupos, y cómo controlar el acceso a Visual Studio Application Lifecycle Management (ALM), consulte Administrar usuarios o grupos en TFS.

Asignar permisos a áreas funcionales

Use el elemento permission funcional para permitir o denegar permisos de áreas funcionales a un grupo de seguridad de Team Foundation Server, un grupo de Windows o una identidad de Windows. Este elemento se usa en los archivos de complementos para el seguimiento de elementos de trabajo, control de versiones de Team Foundation, Team Foundation Build y Lab Management. Debe encapsular el elemento de permiso en su contenedor correspondiente: el elemento permissions. Use la estructura de sintaxis siguiente para el elemento funcional permission:

<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>

En la tabla siguiente se describen los atributos del elemento permission funcional:

Atributo	Descripción
allow	Identifica los permisos que se conceden. Especifique los permisos como texto delimitado por comas. Para ver los nombres de los permisos que se han definido para cada área funcional, vaya a las siguientes secciones del presente tema: Asignar permisos de control de versiones Asignar permisos de compilación Asignar permisos de Lab Management
deny	Identifica los permisos que se revocan. Especifique los permisos como texto delimitado por comas. Nota Los permisos denegados tienen prioridad sobre los permisos concedidos.
identity	Especifica el grupo de seguridad en Team Foundation Server, el grupo de Windows o la identidad de Windows en los que se aplican los permisos. Para obtener información sobre el formato que debe usar al especificar grupos, consulte la sección sobre los grupos predeterminados definidos en Team Foundation Server, en Configurar grupos equipos, miembros y permisos iniciales.

En el ejemplo siguiente se muestra cómo conceder permisos para que el grupo Contributors vea las compilaciones y las definiciones de compilación, ponga compilaciones en cola y edite la calidad de compilación.

<taskXml>
   <permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>

Nota

Si durante el tiempo de ejecución no se encuentra un permiso para una identidad, se busca ese permiso en el resto de grupos a los que pertenece la identidad.Si se logra encontrar el permiso, se deniega de forma predeterminada.

Asignar permisos para consultas de elementos de trabajo

En el archivo de complemento de elementos de trabajo, puede asignar permisos que controlan el acceso a las carpetas de consulta de equipo. Los permisos de carpeta de consulta son específicos de las consultas y de las carpetas de consultas. Puede conceder acceso a los usuarios y grupos de Windows o a los grupos predeterminados definidos para Team Foundation Server.

Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" /> 

Nota

Para establecer los permisos una vez creado el proyecto de equipo, haga clic con el botón derecho en una consulta o carpeta de consulta en Team Explorer y, a continuación, haga clic en Seguridad.Para más información, vea Establecer permisos en consultas.

En la tabla siguiente se describen los permisos que controlan el acceso a las carpetas de consulta y a las consultas. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF. De forma predeterminada, los creadores o los propietarios de las consultas y las carpetas de consultas tienen el control total de la administración de las consultas que hayan creado o posean.

Permission	Descripción	Lectores, colaboradores, generadores	Creadores propietarios, grupo de administradores de proyectos, administradores de la colección de proyectos
Read	Lectura. Puede ver y ejecutar una consulta o ver una carpeta de consultas y su contenido.
Contribute	Colaborar. Puede ver y editar una consulta o una carpeta de consultas y su contenido.
Delete	Eliminar. Puede ver, editar y eliminar una consulta o una carpeta de consultas y su contenido.
ManagePermissions	Administrar permisos. Puede administrar los permisos de una consulta o carpeta de consultas y su contenido.
FullControl	Control total. Pueden ver, editar, eliminar y administrar los permisos de una consulta o de una carpeta de consultas y de su contenido.

Asignar permisos de control de versiones

Para asignar los permisos que controlan el acceso a las carpetas y los archivos de código fuente, cambie el archivo de complemento de control de versiones. Los permisos de control de versiones son específicos de las carpetas y los archivos de código fuente. Puede conceder acceso a los usuarios y grupos de Windows o a los grupos predeterminados definidos para Team Foundation Server.

Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Nota

Para establecer estos permisos una vez creado el proyecto de equipo, vaya al Explorador de control de código fuente, haga clic con el botón derecho en la carpeta o en el archivo , haga clic en Propiedades y haga clic en la pestaña Seguridad.En esta pestaña, haga clic en el usuario o grupo para el que desea cambiar los permisos y, a continuación, cambie los permisos enumerados en Permisos.Estos permisos también se pueden establecer mediante la herramienta de línea de comandos tf de control de versiones o la herramienta de línea de comandos TFSSecurity.Para obtener más información, consulte Referencia de permisos para Team Foundation Server.

En la tabla siguiente se describen los permisos que controlan el acceso a las carpetas y los archivos de código fuente. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.

Permiso	Descripción	Lectores	Contributors	Generadores	Grupo de administradores de proyecto
Read	Lectura. Pueden mostrar el contenido de un archivo o carpeta. Si un usuario tiene el permiso Lectura para una carpeta, pero no para los archivos que contiene, el usuario puede mostrar los nombres y las propiedades de esos archivos, pero no abrirlos.
PendChange	Desproteger. Puede desproteger y realizar un cambio pendiente en los elementos. Entre los ejemplos de cambios pendientes se incluyen agregar, editar, cambiar de nombre, eliminar, recuperar, bifurcar y combinar un archivo.
Merge	Combinar. Puede combinar los cambios en la ruta de acceso para la que tienen permisos.
Checkin	Proteger. Pueden proteger elementos y revisar los comentarios de los conjuntos de cambios confirmados. Los cambios pendientes se confirman cuando el usuario protege el elemento.
Label	Etiqueta. Pueden etiquetar elementos.
Lock	Bloquear. Puede bloquear un elemento para que otros usuarios no puedan actualizarlo.
ReviseOther	Revisar los cambios de otro usuario. Puede cambiar el contenido de los comentarios del conjunto de cambios y las notas de protección de otra persona.
UnlockOther	Desbloquear los cambios de otro usuario. Puede quitar el bloqueo de otro usuario.
UndoOther	Deshacer los cambios de otro usuario. Puede deshacer los cambios pendientes de otro usuario.
LabelOther	Administrar etiquetas. Puede modificar la etiqueta de otro usuario.
AdminProjectRights	Administrar permisos. Puede definir la configuración de seguridad del control de versiones.
CheckinOther	Proteger los cambios de otro usuario. Puede realizar protección como otro usuario. Este permiso es necesario con utilidades de conversión.
ManageBranch	Administrar bifurcación. Los usuarios que tienen este permiso para una ruta de acceso determinada pueden convertir cualquier carpeta bajo esa ruta de acceso en una bifurcación. Los usuarios que tienen este permiso para una bifurcación también pueden editar sus propiedades, cambiar su elemento primario y convertirla en una carpeta. Los usuarios que tienen este permiso solo pueden crear una bifurcación de esta bifurcación si también tienen el permiso Combinar para la ruta de acceso de destino. Los usuarios no pueden crear bifurcaciones a partir de una bifurcación para la que no tienen el permiso Administrar bifurcación.

Asignar permisos de compilación

Para asignar permisos que controlan el acceso a las actividades de compilación, cambie el archivo de complemento de compilación. Puede conceder acceso a usuarios y grupos de Windows y grupos de Team Foundation Server. Para obtener más información sobre el formato que debe usar al especificar grupos, consulte la sección sobre los grupos predeterminados definidos en Team Foundation Server, en Configurar grupos equipos, miembros y permisos iniciales.

Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Nota

Para establecer estos permisos una vez creado el proyecto de equipo, abra el proyecto en Team Explorer, haga clic con el botón derecho en Compilaciones y, a continuación, haga clic en Seguridad.Si desea aplicar permisos a una definición de compilación concreta, haga clic con el botón derecho en la definición de compilación y, a continuación, haga clic en Seguridad.Si desea aplicar permisos a una carpeta de compilación, haga clic en ella con el botón derecho y, a continuación, haga clic en Seguridad.Además, puede establecer estos permisos con la herramienta de línea de comandos TFSSecurity.Para obtener más información, consulte Referencia de permisos para Team Foundation Server.

En la tabla siguiente se describen los permisos que puede asignar y que controlan el acceso a las funciones de compilación de un proyecto de equipo. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.

Nota

El permiso Reemplazar validación de protección por compilación solo debe asignarse a las cuentas de servicio de los servicios de compilación y a los administradores de compilación responsables de la calidad del código.Para obtener más información, consulte Proteger archivos e incluirlos en una carpeta controlada por un proceso de compilación con protección controlada.

Permiso	Descripción	Lectores	Contributors	Administradores de compilación	Project Administrators	Project Collection Administrators
ViewBuildDefinition	Ver definición de compilación. Pueden ver las definiciones de compilación que se han creado para el proyecto de equipo.
ViewBuilds	Ver compilaciones. Pueden ver las compilaciones en cola y completadas de este proyecto de equipo.
EditBuildQuality	Editar calidad de compilación. Puede agregar información sobre la calidad de la compilación a través de la interfaz de Team Foundation Build.
QueueBuilds	Compilaciones en cola. Pueden agregar una compilación a la cola a través de la interfaz de Team Foundation Build o en un símbolo del sistema.
DeleteBuildDefinition	Eliminar definición de compilación. Puede eliminar definiciones de compilación.
DeleteBuilds	Eliminar compilaciones. Pueden eliminar una compilación completada.
DestroyBuilds	Destruir compilaciones. Pueden eliminar de forma permanente una compilación completada.
EditBuildDefinition	Editar definición de compilación. Puede crear y modificar definiciones de compilación.
ManageBuildQualities	Administrar calidades de compilación. Puede agregar o quitar calidades de compilación, como Listo para la implementación, Rechazado o Bajo investigación. Para obtener más información, consulte Agregar o quitar valores de calidad de la compilación.
ManageBuildQueue	Administrar cola de compilación. Pueden cancelar, volver a clasificar por orden de prioridad o posponer las compilaciones en cola.
RetainIndefinitely	Retener indefinidamente. Pueden marcar una compilación para que una directiva de retención aplicable no la elimine automáticamente.
StopBuilds	Detener compilaciones. Puede detener una compilación en curso.
OverrideBuildCheckInValidation	Reemplazar validación de protección por compilación. Pueden confirmar un conjunto de cambios que afecte a una definición de compilación controlada sin que el sistema aplace y compile antes los cambios. Para obtener más información, consulte Proteger archivos e incluirlos en una carpeta controlada por un proceso de compilación con protección controlada.
UpdateBuildInformation	Actualizar información de compilación. Puede agregar información sobre la calidad de una compilación. Este permiso se debería asignar solo a las cuentas de servicio.

Asignar permisos para Lab Management

Cambie el archivo de complemento de Lab para controlar el acceso a las actividades de Lab Management. Los permisos de Lab Management son específicos de las máquinas virtuales, los entornos y otros recursos. Puede conceder acceso a usuarios y grupos de Windows y grupos de Team Foundation Server. Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Nota

Puede establecer permisos de Lab Management mediante la herramienta de línea de comandos TFSLabConfig.Para mostrar la información de un recurso de laboratorio específico, debe disponer del permiso Lectura para ese recurso.Para eliminar una ubicación, debe tener el permiso Eliminar ubicaciones de laboratorio correspondiente. Para obtener más información, consulte TFSLabConfig - Permissions (Comando).

En la tabla siguiente se describen los permisos que se pueden asignar para controlar el acceso a Visual Studio Lab Management. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.

Permission	Descripción	Lectores	Contributors	Grupo Cuentas de servicio de compilación de la colección de proyectos	Grupo Administradores de proyectos de equipo	Grupo Administradores de la colección de proyectos
Read	Ver recursos de laboratorio. Pueden ver información de los distintos recursos de Lab Management, que incluyen grupos host de colección, grupos de host de proyecto y entornos.
Create	Importar máquina virtual. Puede importar una máquina virtual desde un recurso compartido de biblioteca de Virtual Machine Manager (VMM). Este permiso se diferencia de Write en que los usuarios pueden crear un objeto de Lab Management, pero no escribir en el recurso compartido de biblioteca o en el grupo host de VMM.
Write	Escribir en entorno y máquinas virtuales. Puede crear entornos. Los usuarios que tienen este permiso para un recurso compartido de biblioteca de proyectos pueden almacenar entornos y máquinas virtuales.
Edit	Editar entorno y máquinas virtuales. Puede editar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se edita.
Start	Iniciar. Pueden iniciar un entorno.
Stop	Detener. Pueden detener un entorno.
Pause	Pausar. Pueden pausar un entorno.
ManageSnapshots	Administrar instantáneas. Pueden realizar todas las tareas de administración de instantáneas, lo que incluye tomar una instantánea, revertir a una instantánea, cambiar de nombre una instantánea, eliminar una instantánea y leer una instantánea.
Delete	Eliminar entornos y máquinas virtuales. Puede eliminar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se elimina.
ManageLocation	Administrar ubicaciones de laboratorio. Pueden editar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, proyectos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos. Este permiso para las ubicaciones de nivel de colección (grupos host de colección y recursos compartidos de biblioteca de colección) también permite crear ubicaciones de nivel de proyecto (grupos host de proyecto y recursos compartidos de biblioteca de proyectos).
DeleteLocation	Administrar ubicaciones de laboratorio. Pueden eliminar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, recursos compartidos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos.
ManageChildPermissions	Administrar permisos secundarios. Puede cambiar los permisos de todos los objetos secundarios de Lab Management. Por ejemplo, si un usuario tiene este permiso para un grupo host de proyectos de equipo, ese usuario puede cambiar los permisos de todos los entornos de ese grupo.
ManagePermissions	Administrar permisos. Puede modificar los permisos para un objeto de Lab Management. Este permiso se comprueba el objeto cuyos permisos se modifican.
EnvironmentOps	Operaciones de entorno. Pueden iniciar, detener, pausar y administrar instantáneas, además de realizar otras operaciones en un entorno.

Vea también

Conceptos

Configurar grupos equipos, miembros y permisos iniciales

Referencia de permisos para Team Foundation Server