Compartir a través de


Controlar el acceso a las áreas funcionales

Puede establecer la configuración de seguridad inicial para las áreas funcionales siguientes de un proyecto de equipo: consultas de equipo, control de versiones de Team Foundation, Team Foundation Build y Visual Studio Lab Management. Las plantillas de proceso de Microsoft Solutions Framework (MSF) asignan varios permisos a los grupos de seguridad predeterminados. Puede modificar dichas asignaciones si personaliza el archivo de complemento para el área funcional apropiada.

Para obtener más información sobre cómo configurar los grupos de seguridad de Visual Studio Team Foundation Server, consulte Configurar grupos equipos, miembros y permisos iniciales.

Para obtener más información sobre cómo administrar usuarios y grupos, y cómo controlar el acceso a Visual Studio Application Lifecycle Management (ALM), consulte Administrar usuarios o grupos en TFS.

Asignar permisos a áreas funcionales

Use el elemento permission funcional para permitir o denegar permisos de áreas funcionales a un grupo de seguridad de Team Foundation Server, un grupo de Windows o una identidad de Windows. Este elemento se usa en los archivos de complementos para el seguimiento de elementos de trabajo, control de versiones de Team Foundation, Team Foundation Build y Lab Management. Debe encapsular el elemento de permiso en su contenedor correspondiente: el elemento permissions. Use la estructura de sintaxis siguiente para el elemento funcional permission:

<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>

En la tabla siguiente se describen los atributos del elemento permission funcional:

Atributo

Descripción

allow

Identifica los permisos que se conceden. Especifique los permisos como texto delimitado por comas.

Para ver los nombres de los permisos que se han definido para cada área funcional, vaya a las siguientes secciones del presente tema:

  • Asignar permisos de control de versiones

  • Asignar permisos de compilación

  • Asignar permisos de Lab Management

deny

Identifica los permisos que se revocan. Especifique los permisos como texto delimitado por comas.

Nota

Los permisos denegados tienen prioridad sobre los permisos concedidos.

identity

Especifica el grupo de seguridad en Team Foundation Server, el grupo de Windows o la identidad de Windows en los que se aplican los permisos. Para obtener información sobre el formato que debe usar al especificar grupos, consulte la sección sobre los grupos predeterminados definidos en Team Foundation Server, en Configurar grupos equipos, miembros y permisos iniciales.

En el ejemplo siguiente se muestra cómo conceder permisos para que el grupo Contributors vea las compilaciones y las definiciones de compilación, ponga compilaciones en cola y edite la calidad de compilación.

<taskXml>
   <permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>

Nota

Si durante el tiempo de ejecución no se encuentra un permiso para una identidad, se busca ese permiso en el resto de grupos a los que pertenece la identidad.Si se logra encontrar el permiso, se deniega de forma predeterminada.

Asignar permisos para consultas de elementos de trabajo

En el archivo de complemento de elementos de trabajo, puede asignar permisos que controlan el acceso a las carpetas de consulta de equipo. Los permisos de carpeta de consulta son específicos de las consultas y de las carpetas de consultas. Puede conceder acceso a los usuarios y grupos de Windows o a los grupos predeterminados definidos para Team Foundation Server.

Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" /> 

Nota

Para establecer los permisos una vez creado el proyecto de equipo, haga clic con el botón derecho en una consulta o carpeta de consulta en Team Explorer y, a continuación, haga clic en Seguridad.Para más información, vea Establecer permisos en consultas.

En la tabla siguiente se describen los permisos que controlan el acceso a las carpetas de consulta y a las consultas. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF. De forma predeterminada, los creadores o los propietarios de las consultas y las carpetas de consultas tienen el control total de la administración de las consultas que hayan creado o posean.

Permission

Descripción

Lectores, colaboradores, generadores

Creadores propietarios, grupo de administradores de proyectos, administradores de la colección de proyectos

Read

Lectura. Puede ver y ejecutar una consulta o ver una carpeta de consultas y su contenido.

marca de verificación marca de verificación

Contribute

Colaborar. Puede ver y editar una consulta o una carpeta de consultas y su contenido.

marca de verificación

Delete

Eliminar. Puede ver, editar y eliminar una consulta o una carpeta de consultas y su contenido.

marca de verificación

ManagePermissions

Administrar permisos. Puede administrar los permisos de una consulta o carpeta de consultas y su contenido.

marca de verificación

FullControl

Control total. Pueden ver, editar, eliminar y administrar los permisos de una consulta o de una carpeta de consultas y de su contenido.

marca de verificación

Asignar permisos de control de versiones

Para asignar los permisos que controlan el acceso a las carpetas y los archivos de código fuente, cambie el archivo de complemento de control de versiones. Los permisos de control de versiones son específicos de las carpetas y los archivos de código fuente. Puede conceder acceso a los usuarios y grupos de Windows o a los grupos predeterminados definidos para Team Foundation Server.

Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Nota

Para establecer estos permisos una vez creado el proyecto de equipo, vaya al Explorador de control de código fuente, haga clic con el botón derecho en la carpeta o en el archivo , haga clic en Propiedades y haga clic en la pestaña Seguridad.En esta pestaña, haga clic en el usuario o grupo para el que desea cambiar los permisos y, a continuación, cambie los permisos enumerados en Permisos.Estos permisos también se pueden establecer mediante la herramienta de línea de comandos tf de control de versiones o la herramienta de línea de comandos TFSSecurity.Para obtener más información, consulte Referencia de permisos para Team Foundation Server.

En la tabla siguiente se describen los permisos que controlan el acceso a las carpetas y los archivos de código fuente. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.

Permiso

Descripción

Lectores

Contributors

Generadores

Grupo de administradores de proyecto

Read

Lectura. Pueden mostrar el contenido de un archivo o carpeta.

Si un usuario tiene el permiso Lectura para una carpeta, pero no para los archivos que contiene, el usuario puede mostrar los nombres y las propiedades de esos archivos, pero no abrirlos.

marca de verificación marca de verificación marca de verificación marca de verificación

PendChange

Desproteger. Puede desproteger y realizar un cambio pendiente en los elementos. Entre los ejemplos de cambios pendientes se incluyen agregar, editar, cambiar de nombre, eliminar, recuperar, bifurcar y combinar un archivo.

marca de verificación marca de verificación marca de verificación

Merge

Combinar. Puede combinar los cambios en la ruta de acceso para la que tienen permisos.

marca de verificación marca de verificación marca de verificación

Checkin

Proteger. Pueden proteger elementos y revisar los comentarios de los conjuntos de cambios confirmados. Los cambios pendientes se confirman cuando el usuario protege el elemento.

marca de verificación marca de verificación marca de verificación

Label

Etiqueta. Pueden etiquetar elementos.

marca de verificación marca de verificación marca de verificación

Lock

Bloquear. Puede bloquear un elemento para que otros usuarios no puedan actualizarlo.

marca de verificación marca de verificación marca de verificación

ReviseOther

Revisar los cambios de otro usuario. Puede cambiar el contenido de los comentarios del conjunto de cambios y las notas de protección de otra persona.

marca de verificación

UnlockOther

Desbloquear los cambios de otro usuario. Puede quitar el bloqueo de otro usuario.

marca de verificación

UndoOther

Deshacer los cambios de otro usuario. Puede deshacer los cambios pendientes de otro usuario.

marca de verificación

LabelOther

Administrar etiquetas. Puede modificar la etiqueta de otro usuario.

marca de verificación

AdminProjectRights

Administrar permisos. Puede definir la configuración de seguridad del control de versiones.

marca de verificación

CheckinOther

Proteger los cambios de otro usuario. Puede realizar protección como otro usuario. Este permiso es necesario con utilidades de conversión.

marca de verificación

ManageBranch

Administrar bifurcación. Los usuarios que tienen este permiso para una ruta de acceso determinada pueden convertir cualquier carpeta bajo esa ruta de acceso en una bifurcación. Los usuarios que tienen este permiso para una bifurcación también pueden editar sus propiedades, cambiar su elemento primario y convertirla en una carpeta.

Los usuarios que tienen este permiso solo pueden crear una bifurcación de esta bifurcación si también tienen el permiso Combinar para la ruta de acceso de destino. Los usuarios no pueden crear bifurcaciones a partir de una bifurcación para la que no tienen el permiso Administrar bifurcación.

marca de verificación

Asignar permisos de compilación

Para asignar permisos que controlan el acceso a las actividades de compilación, cambie el archivo de complemento de compilación. Puede conceder acceso a usuarios y grupos de Windows y grupos de Team Foundation Server. Para obtener más información sobre el formato que debe usar al especificar grupos, consulte la sección sobre los grupos predeterminados definidos en Team Foundation Server, en Configurar grupos equipos, miembros y permisos iniciales.

Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Nota

Para establecer estos permisos una vez creado el proyecto de equipo, abra el proyecto en Team Explorer, haga clic con el botón derecho en Compilaciones y, a continuación, haga clic en Seguridad.Si desea aplicar permisos a una definición de compilación concreta, haga clic con el botón derecho en la definición de compilación y, a continuación, haga clic en Seguridad.Si desea aplicar permisos a una carpeta de compilación, haga clic en ella con el botón derecho y, a continuación, haga clic en Seguridad.Además, puede establecer estos permisos con la herramienta de línea de comandos TFSSecurity.Para obtener más información, consulte Referencia de permisos para Team Foundation Server.

En la tabla siguiente se describen los permisos que puede asignar y que controlan el acceso a las funciones de compilación de un proyecto de equipo. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.

Nota

El permiso Reemplazar validación de protección por compilación solo debe asignarse a las cuentas de servicio de los servicios de compilación y a los administradores de compilación responsables de la calidad del código.Para obtener más información, consulte Proteger archivos e incluirlos en una carpeta controlada por un proceso de compilación con protección controlada.

Permiso

Descripción

Lectores

Contributors

Administradores de compilación

Project Administrators

Project Collection Administrators

ViewBuildDefinition

Ver definición de compilación. Pueden ver las definiciones de compilación que se han creado para el proyecto de equipo.

marca de verificación marca de verificación marca de verificación marca de verificación marca de verificación

ViewBuilds

Ver compilaciones. Pueden ver las compilaciones en cola y completadas de este proyecto de equipo.

marca de verificación marca de verificación marca de verificación marca de verificación marca de verificación

EditBuildQuality

Editar calidad de compilación. Puede agregar información sobre la calidad de la compilación a través de la interfaz de Team Foundation Build.

marca de verificación marca de verificación marca de verificación marca de verificación

QueueBuilds

Compilaciones en cola. Pueden agregar una compilación a la cola a través de la interfaz de Team Foundation Build o en un símbolo del sistema.

marca de verificación marca de verificación marca de verificación marca de verificación

DeleteBuildDefinition

Eliminar definición de compilación. Puede eliminar definiciones de compilación.

marca de verificación marca de verificación marca de verificación

DeleteBuilds

Eliminar compilaciones. Pueden eliminar una compilación completada.

marca de verificación marca de verificación marca de verificación

DestroyBuilds

Destruir compilaciones. Pueden eliminar de forma permanente una compilación completada.

marca de verificación marca de verificación marca de verificación

EditBuildDefinition

Editar definición de compilación. Puede crear y modificar definiciones de compilación.

marca de verificación marca de verificación marca de verificación

ManageBuildQualities

Administrar calidades de compilación. Puede agregar o quitar calidades de compilación, como Listo para la implementación, Rechazado o Bajo investigación. Para obtener más información, consulte Agregar o quitar valores de calidad de la compilación.

marca de verificación marca de verificación marca de verificación

ManageBuildQueue

Administrar cola de compilación. Pueden cancelar, volver a clasificar por orden de prioridad o posponer las compilaciones en cola.

marca de verificación marca de verificación marca de verificación

RetainIndefinitely

Retener indefinidamente. Pueden marcar una compilación para que una directiva de retención aplicable no la elimine automáticamente.

marca de verificación marca de verificación marca de verificación

StopBuilds

Detener compilaciones. Puede detener una compilación en curso.

marca de verificación marca de verificación marca de verificación

OverrideBuildCheckInValidation

Reemplazar validación de protección por compilación. Pueden confirmar un conjunto de cambios que afecte a una definición de compilación controlada sin que el sistema aplace y compile antes los cambios. Para obtener más información, consulte Proteger archivos e incluirlos en una carpeta controlada por un proceso de compilación con protección controlada.

marca de verificación

UpdateBuildInformation

Actualizar información de compilación. Puede agregar información sobre la calidad de una compilación.

Este permiso se debería asignar solo a las cuentas de servicio.

Asignar permisos para Lab Management

Cambie el archivo de complemento de Lab para controlar el acceso a las actividades de Lab Management. Los permisos de Lab Management son específicos de las máquinas virtuales, los entornos y otros recursos. Puede conceder acceso a usuarios y grupos de Windows y grupos de Team Foundation Server. Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:

<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Nota

Puede establecer permisos de Lab Management mediante la herramienta de línea de comandos TFSLabConfig.Para mostrar la información de un recurso de laboratorio específico, debe disponer del permiso Lectura para ese recurso.Para eliminar una ubicación, debe tener el permiso Eliminar ubicaciones de laboratorio correspondiente. Para obtener más información, consulte TFSLabConfig - Permissions (Comando).

En la tabla siguiente se describen los permisos que se pueden asignar para controlar el acceso a Visual Studio Lab Management. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.

Permission

Descripción

Lectores

Contributors

Grupo Cuentas de servicio de compilación de la colección de proyectos

Grupo Administradores de proyectos de equipo

Grupo Administradores de la colección de proyectos

Read

Ver recursos de laboratorio. Pueden ver información de los distintos recursos de Lab Management, que incluyen grupos host de colección, grupos de host de proyecto y entornos.

marca de verificación marca de verificación marca de verificación marca de verificación marca de verificación

Create

Importar máquina virtual. Puede importar una máquina virtual desde un recurso compartido de biblioteca de Virtual Machine Manager (VMM).

Este permiso se diferencia de Write en que los usuarios pueden crear un objeto de Lab Management, pero no escribir en el recurso compartido de biblioteca o en el grupo host de VMM.

marca de verificación

marca de verificación marca de verificación

Write

Escribir en entorno y máquinas virtuales. Puede crear entornos. Los usuarios que tienen este permiso para un recurso compartido de biblioteca de proyectos pueden almacenar entornos y máquinas virtuales.

marca de verificación marca de verificación marca de verificación marca de verificación

Edit

Editar entorno y máquinas virtuales. Puede editar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se edita.

marca de verificación marca de verificación marca de verificación marca de verificación

Start

Iniciar. Pueden iniciar un entorno.

marca de verificación marca de verificación marca de verificación marca de verificación

Stop

Detener. Pueden detener un entorno.

marca de verificación marca de verificación marca de verificación marca de verificación

Pause

Pausar. Pueden pausar un entorno.

marca de verificación marca de verificación marca de verificación

ManageSnapshots

Administrar instantáneas. Pueden realizar todas las tareas de administración de instantáneas, lo que incluye tomar una instantánea, revertir a una instantánea, cambiar de nombre una instantánea, eliminar una instantánea y leer una instantánea.

marca de verificación marca de verificación marca de verificación marca de verificación

Delete

Eliminar entornos y máquinas virtuales. Puede eliminar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se elimina.

marca de verificación marca de verificación

ManageLocation

Administrar ubicaciones de laboratorio. Pueden editar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, proyectos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos.

Este permiso para las ubicaciones de nivel de colección (grupos host de colección y recursos compartidos de biblioteca de colección) también permite crear ubicaciones de nivel de proyecto (grupos host de proyecto y recursos compartidos de biblioteca de proyectos).

marca de verificación marca de verificación

DeleteLocation

Administrar ubicaciones de laboratorio. Pueden eliminar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, recursos compartidos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos.

marca de verificación marca de verificación

ManageChildPermissions

Administrar permisos secundarios. Puede cambiar los permisos de todos los objetos secundarios de Lab Management. Por ejemplo, si un usuario tiene este permiso para un grupo host de proyectos de equipo, ese usuario puede cambiar los permisos de todos los entornos de ese grupo.

marca de verificación marca de verificación

ManagePermissions

Administrar permisos. Puede modificar los permisos para un objeto de Lab Management. Este permiso se comprueba el objeto cuyos permisos se modifican.

marca de verificación

EnvironmentOps

Operaciones de entorno. Pueden iniciar, detener, pausar y administrar instantáneas, además de realizar otras operaciones en un entorno.

Vea también

Conceptos

Configurar grupos equipos, miembros y permisos iniciales

Referencia de permisos para Team Foundation Server