Referencia de permisos para Team Foundation Server
Los permisos determinan qué tareas pueden y no pueden realizar los usuarios. Para que los usuarios puedan acceder a los recursos y proyectos de equipo de Team Foundation Server (TFS), debe agregarlos a un proyecto de equipo o a un grupo de TFS. Para obtener información general sobre cómo TFS administra la pertenencia, los permisos y el acceso, vea Administrar usuarios y grupos en TFS.
En este tema se describen los permisos de TFS y sus asignaciones predeterminadas a cada uno de los grupos integrados en TFS. También se explican las herramientas que se pueden utilizar para establecer los permisos. Hay tres categorías de grupos integrados, cuatro niveles de permisos y cinco estados de los permisos. El acceso de cada usuario a una tarea funcional depende del estado de permiso explícito o heredado asignado a dicho usuario o a un grupo al que dicho usuario pertenezca.
En este tema
|
.png "Niveles de permiso y grupos de TFS predeterminados") |
Para asignar permisos para Productos de SharePoint o SQL Server Reporting Services, vea Agregar usuarios a proyectos de equipo y Conceder permisos para ver o crear informes en TFS.
Novedades de los permisos
Las adiciones y los cambios realizados en el modelo de permisos de TFS se indican en la siguiente tabla. Se basan en la versión que tenga instalada en el servidor de capa de aplicación.
Versión de TFS |
Permisos nuevos o modificados |
|---|---|
TFS 2013,3 |
Se ha agregado el permiso Administrar conjuntos de pruebas y se ha limitado el permiso Administrar planes de pruebas para que administre únicamente planes de pruebas. Estos permisos se establecen para una ruta de acceso de área. Anteriormente, abarcaba los permisos de administración de planes de pruebas y conjuntos de pruebas. |
TFS 2013,2 |
Permisos de etiquetado agregados. |
TFS 2013 |
Permisos de repositorios Git agregados. |
Herramientas usadas para establecer permisos
Puede usar las herramientas indicadas en la siguiente tabla para establecer permisos. Las herramientas variarán en función de si establece los permisos en el nivel de servidor, colección o proyecto. Team Web Access (TWA) se usa para establecer la mayoría de permisos de usuarios y grupos referentes al acceso a un proyecto de equipo.
Nivel de permiso |
Página administrativa de TWA o seguridad del nivel de objeto |
Team Explorer (Nota 1) |
Consola de administración de Team Foundation |
Herramienta de línea de comandos de TFSSecurity |
Herramienta de línea de comandos de Tf |
Herramienta de línea de comandos de TFSLabConfig |
|---|---|---|---|---|---|---|
Nivel de servidor |
|
|
||||
Nivel de colección |
|
|
|
|
||
Nivel de proyecto y de prueba |
|
|
|
|||
Nivel de compilación |
|
|
||||
Consulta de elementos de trabajo |
|
|
|
|||
Etiquetado |
|
|||||
Nivel de área para el seguimiento de elementos de trabajo |
|
|
|
|||
Nivel de iteración para el seguimiento de elementos de trabajo |
|
|
|
|||
Control de versiones de Team Foundation |
|
|
||||
Repositorio Git |
|
|
||||
Lab Management |
|
|||||
Administración de versiones (2) |
Notas
Para configurar algunas de las opciones de permisos a las que se accede desde Team Explorer, se abre una interfaz de usuario en Team Web Access.
Si agrega Release Management a su implementación, puede administrar los permisos utilizando los grupos que defina en Release Management, TFS o Active Directory. Los permisos se administran a través de Release Management Client.
Otra herramienta que puede usar para administrar la pertenencia de los usuarios dentro de grupos es la Herramienta TFSAdmin de CodePlex.
Herramientas de línea de comandos, espacios de nombres y nombres de permisos
Al probar la herramienta de línea de comandos TFSSecurity para administrar permisos, especifica tanto un espacio de nombres como el nombre del permiso. En las secciones mostradas a continuación se indican el espacio de nombres y el nombre del comando. Hay dos grupos de espacios de nombres: colección de proyectos y servidor. Use el comando TFSSecurity /a para enumerar los espacios de nombres. Para obtener el conjunto de permisos que puede establecer bajo un espacio de nombres, use TFSSecurity /a Namespace /collection:CollectionNameURL
Espacios de nombres de colección de proyectos |
Espacios de nombres de servidor |
|---|---|
TFSSecurity /a /collection:CollectionNameURL |
TFSSecurity /a /server:ServerNameURL |
Grupos integrados en TFS
Al instalar TFS, se definen cuatro grupos en el nivel de servidor. Al crear una colección de proyectos, se crean siete grupos en el nivel de colección, y por cada proyecto de equipo que cree, se crearán seis grupos limitados al proyecto del equipo. Cada uno de estos grupos está asociado a un conjunto de permisos predeterminados. No puede quitar o eliminar un grupo de nivel de servidor predeterminado, como el grupo Administradores de Team Foundation.
Nivel de servidor |
Nivel de colección |
Nivel del proyecto |
|---|---|---|
|
|
|
Notas:
Para aprender más sobre grupos de usuarios válidos, vaya a la sección ¿Qué es un usuario válido? ¿Cómo se rellenan los grupos de usuarios válidos?.
Un grupo de equipo se crea con el nombre del proyecto de equipo. Por ejemplo, si crea un proyecto de equipo denominado "Ejemplo de código", también se creará un grupo de equipo con el nombre "Ejemplo de código Equipo". Puede cambiar el nombre de este equipo.
Además, al crear equipos adicionales, se crea un grupo de equipo para cada equipo.
A los grupos de nivel de servidor se les asignan permisos de nivel de servidor. A los grupos de nivel de colección se les asignan permisos definidos para la colección, el proyecto y los objetos. Y entre los permisos asignados a los grupos de nivel de proyecto se incluyen permisos de nivel de proyecto y de nivel de objeto.
Por ejemplo, en la imagen mostrada a continuación se pueden ver los permisos asignados al grupo de nivel de proyecto Colaboradores.
.png "Permisos predeterminados del rol Colaborador")
Entre los permisos del grupo Administradores de proyectos se incluyen aquellos asignados al grupo Colaboradores y algunos más.
.png "Permisos predeterminados del rol de administrador del proyecto")
Grupos de nivel de servidor
De forma predeterminada, al instalar TFS, existen los siguientes grupos en el nivel de servidor para la capa de aplicación.
Nombre del grupo (prefijo: Team Foundation\ |
Permisos |
Cuentas de usuarios predeterminados |
|---|---|---|
Team Foundation Administrators |
Pueden realizar todas las operaciones de TFS. Este grupo debería limitarse al menor número posible de usuarios que necesitan un control administrativo total sobre TFS. |
Grupo Administradores locales (BUILTIN\Administrators) para cualquier servidor que aloje servicios de aplicación de Team Foundation. El grupo Servidor\Team Foundation Service Accounts y los miembros del grupo \Project Server Integration Service Accounts. |
Team Foundation Valid Users |
Tienen acceso de lectura al código fuente, los elementos de trabajo y las definiciones de compilación. El acceso a las características de TWA depende de la licencia o del grupo de nivel de acceso al que hayan sido asignados. Importante Si establece el permiso Ver información de nivel de instancia en Denegar o Sin establecer para este grupo, ningún usuario podrá tener acceso a la implementación. |
Contiene todos los usuarios y grupos que se hayan agregado en cualquier parte de TFS. No puede modificar la pertenencia a este grupo. |
Team Foundation Service Accounts |
Tienen permisos de nivel de servicio para TFS. |
Contiene la cuenta de servicio que se proporcionó durante la instalación. Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario. De forma predeterminada, este grupo es un miembro de Administradores de Team Foundation. |
Cuentas de servicio de la integración de Project Server |
Tienen permisos de nivel de servicio para las implementaciones de Project Server configuradas para interoperar con TFS. Además, los miembros de este grupo tienen algunos permisos de nivel de servicio para TFS. |
Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario. De forma predeterminada, este grupo es un miembro de Administradores de Team Foundation. |
SharePoint Web Application Services |
Tienen permisos de nivel de servicio para las aplicaciones web de SharePoint que se configuran para su uso con TFS, además de algunos permisos de nivel de servicio para TFS. |
Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario. A diferencia del grupo Service Accounts, este grupo no es miembro de Administradores de Team Foundation. |
Team Foundation Proxy Service Accounts |
Los miembros de este grupo tienen permisos de nivel de servicio para el proxy de Team Foundation Server y algunos permisos de nivel de servicio para TFS. |
Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario. |
Grupos de nivel de colección
De forma predeterminada, al configurar una colección, existen los siguientes grupos en el nivel de colección.
Nombre del grupo (prefijo: TeamProjectCollectionName\ |
Permisos de nivel de grupo |
Asignaciones de cuentas |
|---|---|---|
Project Collection Administrators |
Pueden realizar todas las operaciones que afectan a la colección de proyectos de equipo. |
Contiene el grupo Local Administrators (BUILTIN\Administrators) para el servidor donde se han instalado los servicios de la capa de aplicación de TFS. También contiene los miembros del grupo TeamProjectCollectionName\Service Accounts. Este grupo debería limitarse al menor número posible de usuarios que necesiten un control administrativo total sobre la colección. |
Project Collection Valid Users |
Pueden acceder a los proyectos de equipo definidos para la colección. Importante Si establece el permiso Ver información de nivel de colección en Denegar o Sin establecer para este grupo, ningún usuario podrá tener acceso a la colección. |
Contiene todos los usuarios y grupos que se hayan agregado en cualquier parte dentro de la colección de proyectos de equipo. No puede modificar la pertenencia a este grupo. |
Project Collection Service Accounts |
Tienen permisos de nivel de servicio para la colección y para TFS. |
Contiene la cuenta de servicio que se proporcionó durante la instalación. Este grupo debe contener sólo cuentas de servicio y grupos que contengan únicamente cuentas de servicio. De forma predeterminada, este grupo es miembro de Administradores de Team Foundation y Team Foundation Service Accounts. |
Project Collection Build Administrators |
Pueden administrar los recursos y permisos de compilación de la colección. |
Limite este grupo al menor número posible de usuarios que necesiten un control administrativo total sobre los servidores de compilación y los servicios de esta colección. |
Project Collection Build Service Accounts |
Tienen los permisos requeridos para ejecutar servicios de compilación para la colección. |
Limite este grupo a las cuentas de servicio y los grupos que solo contengan cuentas de servicio. |
Project Collection Proxy Service Accounts |
Tienen los permisos requeridos para ejecutar el servicio de proxy para la colección. |
Limite este grupo a las cuentas de servicio y los grupos que solo contengan cuentas de servicio. |
Project Collection Test Service Accounts |
Tienen los permisos del servicio de pruebas para la colección. |
Limite este grupo a las cuentas de servicio y los grupos que solo contengan cuentas de servicio. |
Grupos de nivel del proyecto
Los siguientes grupos existen de forma predeterminada al crear un proyecto de equipo. Sus permisos se limitan al nivel de proyecto.
Grupo (prefijo: ProjectName\) |
Permisos de nivel de grupo |
Notas adicionales |
|---|---|---|
Project Administrators |
Pueden administrar todos los aspectos del proyecto de equipo, pero no pueden crear proyectos. |
Asigne estos permisos a los usuarios que administrarán los permisos de usuarios, crearán equipos, definirán rutas de acceso de iteración y área o personalizarán el seguimiento de elementos de trabajo. |
Build Administrators |
Pueden administrar los recursos y permisos de compilación del proyecto. Sus miembros pueden administrar entornos de pruebas, crear ejecuciones de pruebas y administrar compilaciones. |
|
Contributors |
Pueden contribuir por completo al seguimiento de los elementos de trabajo y a la base de código del proyecto. |
De forma predeterminada, el grupo de equipo generado al crear un proyecto de equipo se agrega a este grupo y cualquier usuario que agregue al equipo será miembro de este grupo. Además, cualquier equipo que cree para un proyecto de equipo se agregará a este grupo de forma predeterminada, a menos que elija otro grupo en la lista. |
Readers |
Pueden ver el proyecto pero no modificarlo. |
Asigne estos permisos a las partes interesadas que quieran poder ver el trabajo en curso. |
TeamName |
Heredan los mismos permisos asignados al grupo Colaboradores. Pueden contribuir por completo al seguimiento de los elementos de trabajo y a la base de código del proyecto. |
El grupo de equipo predeterminado se genera al crear un proyecto de equipo y, de forma predeterminada, se agrega al grupo Colaboradores del proyecto de equipo. También se creará un grupo para cada nuevo equipo creado, que se agregará al grupo Colaboradores. |
Además de estos grupos de nivel de proyecto, también encontramos dos grupos de nivel de colección en todos los proyectos de TFS:
TeamProjectCollectionName**\Project Collection Administrators**
No puede cambiar los permisos para este grupo de nivel de colección.
TeamProjectCollectionName**\Project Collection Build Service Accounts**
No quite ni establezca en Denegar el permiso Ver información del nivel de proyecto para este grupo.
Permitir, Denegar, Sin establecer y otros estados de permisos
TFS usa un modelo basado en el permiso más restrictivo para los permisos de seguridad. Lo que esto significa es que si un usuario pertenece a dos grupos y se asigna el mismo permiso Permitir a un grupo y Denegar a otro, tendrá preferencia este último permiso sobre el primero. Existen unas pocas excepciones a esta regla para los miembros de los grupos Administradores de la colección de proyectos y Administradores de Team Foundation.
Puede especificar dos estados de autorización explícitos para los permisos: Denegar y Permitir. Además, hay otros tres estados: Permitir herencia, Denegar herencia y Sin establecer. Sin establecer es un estado Denegar implícito.
Permission |
Autorización |
|---|---|
Permitir |
Permite a los usuarios realizar la tarea asociada al permiso específico de forma explícita. Por lo general, Permitir se hereda al pertenecer al grupo. Para que los usuarios puedan acceder a una tarea, el permiso asociado debe estar establecido en Permitir o Permitir herencia. |
Denegar |
Impide a los usuarios realizar la tarea asociada al permiso específico de forma explícita. Por lo general, Denegar se hereda al pertenecer al grupo. |
Permitir herencia/Denegar herencia |
Permite o impide a un usuario realizar la tarea asociada al permiso basándose en el permiso establecido para un grupo al que el usuario pertenece. |
No establecido |
Impide a los usuarios realizar la acción asociada al permiso específico de forma implícita. Como el permiso no está establecido explícitamente en Denegar ni en Permitir, la autorización para ese permiso se puede heredar de otros grupos de los que el usuario o grupo sea miembro. De forma predeterminada, la mayoría de los permisos no están establecidos en Denegar ni en Permitir. Los permisos se dejan Sin establecer. |
Los estados de permisos siguen esta configuración de prioridad:
El permiso Denegar tiene prioridad frente al resto de permisos, incluido Permitir. Por ejemplo, un usuario podría pertenecer a dos grupos en un proyecto. En un grupo, el permiso Publicar resultados de pruebas está establecido en Denegar, mientras que en el otro grupo está establecido en Permitir. La opción Denegar tiene prioridad y el usuario no tiene autorización para publicar resultados de pruebas.
Las excepciones a esta regla son:
El permiso Denegar no tiene prioridad si se ha heredado de un elemento primario jerárquico. Estas funciones permiten establecer permisos teniendo en cuenta la jerarquía:
Carpetas de código fuente para el control de versiones de Team Foundation
Repositorios Git
Nodos de área e iteración para el seguimiento de elementos de trabajo
Consultas compartidas de elementos de trabajo y carpetas de consultas
Los permisos explícitos que se establecen en un objeto determinado (como una carpeta de control de código fuente, un repositorio o un nodo secundario de área) invalidan los permisos heredados de los objetos primarios. Por ejemplo, el permiso Denegar establecido para una carpeta de control de código fuente no invalida un permiso Permitir establecido para una de sus subcarpetas.
Si un usuario pertenece a un grupo de administradores, como los grupos Administradores de la colección de proyectos o Administradores de Team Foundation, salvo que se especifique lo contrario en la descripción del permiso.
Permitir herencia tiene prioridad frente a Sin establecer.
Herencia
Cuando un permiso está Sin establecer para un usuario o grupo, este se puede ver afectado por el estado explícito del permiso en los grupos a los que pertenece, ya que los permisos de TFS se heredan. Por ejemplo, al examinar los permisos de un usuario o grupo, puede ver que se ha establecido tanto Permitir como Permitir herencia para los permisos. El último permiso se hereda de otro grupo al que el usuario o grupo pertenece. En este ejemplo, un usuario puede pertenecer a un grupo en el nivel de proyecto y a un grupo en el nivel de colección de un proyecto. Si uno de esos grupos tiene un permiso que está establecido explícitamente en Permitir y el otro grupo tiene el mismo permiso Sin establecer, el usuario tendrá el permiso Permitir herencia para realizar las acciones controladas por ese permiso. El usuario hereda los permisos de ambos grupos, pero el permiso Permitir prevalece sobre el permiso Sin establecer.
.png "Herencia de permisos")
Para entender por qué se hereda un permiso, puede mantener el mouse sobre la configuración de permisos y, a continuación, elegir ¿Por qué? Se abrirá una nueva ventana. En ella se mostrará la información de herencia de dicho permiso.
.png "Página de seguridad, rol Colaborador, permisos")
Algunos cuadros de diálogo de seguridad de nivel de objeto proporcionan una opción de Activar/desactivar herencia. Use esta opción para desactivar la herencia para carpetas, consultas compartidas y otros objetos.
.png "Cuadro de diálogo Seguridad con la opción Herencia")
Qué hacer y qué no hacer al asignar permisos
Qué hacer:
Use grupos de Windows al administrar muchos usuarios.
Considere el conceder los permisos Contribuir a los usuarios o grupos que necesiten tener la capacidad de crear y compartir consultas de elementos de trabajo del proyecto.
Al agregar muchos equipos, considere el crear un grupo de Administradores de equipo para TFS donde asignar un subconjunto de los permisos disponibles a los Administradores de proyectos.
Al agregar equipos, considere qué permisos quiere asignar a los responsables de equipo, scrummasters y otros miembros de equipos que puede que necesiten crear y modificar rutas de acceso de área, rutas de acceso de iteración y consultas.
Qué no hacer:
No agregue cuentas al grupo Lectores que haya agregado al grupo Administradores de proyectos. Si lo hace, se asignará el estado Denegar a varios permisos.
No cambie las asignaciones predeterminadas realizadas en un grupo de usuarios válidos. Si elimina o establece el permiso Ver información de nivel de instancia en Denegar para uno de los grupos de Usuarios válidos, ninguno de los usuarios del grupo podrá acceder al proyecto del equipo, la colección o la implementación, dependiendo del grupo para el que lo establezca.
No asigne permisos que estén marcados como "Asignar únicamente a cuentas de servicio" a cuentas de usuarios.
Permisos de nivel de servidor
Los permisos de nivel de servidor conceden permisos que pueden afectar a todos los proyectos y las colecciones de la implementación. Puede establecer los permisos de nivel de servidor desde la Consola de administración de Team Foundation o mediante la herramienta de línea de comandos TFSSecurity.
Puede establecer estos permisos para usuarios y grupos de nivel de servidor, como Administradores de Team Foundation y para los grupos personalizados de nivel de servidor que agregue.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
SharePoint Web Application Services |
Team Foundation Administrators |
Team Foundation Service Accounts |
|---|---|---|---|---|---|---|
Administrar almacén de datos (Nota 1) |
Administrar |
Almacén |
Pueden procesar o cambiar la configuración del almacén de datos o del cubo de SQL Server Analysis usando el servicio Web Control de almacén. |
.png "marca de verificación"){kind=icon} |
|
|
Crear colección de proyectos de equipo |
CreateCollection |
CollectionManagement |
Pueden crear y administrar colecciones de proyectos de equipo. |
|
|
|
Eliminar colección de proyectos de equipo (Nota 2) |
DeleteCollection |
CollectionManagement |
Pueden eliminar una colección de proyectos de equipo de la implementación. |
|
|
|
Editar información de nivel de instancia (Nota 3) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Servidor |
Pueden editar permisos de nivel de servidor para usuarios y grupos de TFS, así como agregar o eliminar grupos de nivel de servidor de la colección. |
|
|
|
Realizar solicitudes en nombre de otros |
Suplantar |
Servidor |
Pueden llevar a cabo operaciones en nombre de otros usuarios o servicios. Asigne este permiso únicamente a cuentas de servicio. |
|
|
|
Desencadenar eventos |
TRIGGER_EVENT |
Servidor |
Pueden activar eventos de alerta de TFS. Asigne este permiso únicamente a cuentas de servicio y miembros del grupo Administradores de Team Foundation. |
|
|
|
Usar características de acceso total de Web Access (Nota 4) |
FullAccess |
Servidor |
Pueden usar todas las características de TWA. |
|
|
|
Ver información de nivel de instancia (Nota 5) |
GENERIC_READ |
Servidor |
Pueden ver la pertenencia a grupos de nivel de servidor y los permisos de esos usuarios. |
|
|
|
Notas:
Puede que sean necesarios permisos adicionales para procesar completamente o recompilar el almacén de datos y el cubo de Analysis.
Al eliminar una colección de proyectos de equipo, no se eliminará la base de datos de la colección de SQL Server.
Editar información en el nivel de instancia incluye la capacidad de realizar estas tareas en todos los proyectos de equipo definidos en todas las colecciones de proyectos definidas para la instancia:
Agregar y administrar equipos y todas las características relacionadas con los equipos
Crear y modificar áreas e iteraciones
Editar directivas de protección
Editar consultas de elementos de trabajo compartidas
Editar listas de control de acceso (ACL) de permisos de nivel de proyecto y de nivel de colección
Crear y modificar listas globales
Editar suscripciones a eventos (correo electrónico o SOAP).
Cuando se establece a través de los menús, el permiso Editar información en el nivel de instancia permite implícitamente al usuario modificar, además, los permisos de control de versiones. Para conceder todos estos permisos en un símbolo del sistema, debe usar el comando tf.exe Permission para conceder los permisos AdminConfiguration y AdminConnections, además de GENERIC_WRITE.
Si el permiso Usar características de acceso total de Web Access está establecido en Denegar, el usuario solo verá aquellas características permitidas para el grupo Limitado (vea Cambiar niveles de acceso). Denegar reemplazará cualquier permiso implícito, incluso para las cuentas que son miembros de grupos administrativos como Administradores de Team Foundation.
El permiso Ver información de nivel de instancia también se asigna al grupo Usuarios válidos de Team Foundation.
Permisos de nivel de colección
Los permisos de nivel de colección conceden autorización para realizar tareas para toda la colección, que se pueden establecer para los siguientes usuarios y grupos:
Usuarios y grupos en el nivel de colección, como Administradores de la colección de proyectos
Grupos de nivel de proyecto que agregue una colección
Grupos personalizados que agregue a una colección
Puede establecer permisos de nivel de colección desde la Página de administración de TWA de la colección, desde la Consola de administración de Team Foundation o mediante la herramienta de línea de comandos TFSSecurity o la herramienta de línea de comandos tf. Todos los permisos se limitan a la colección específica para la que se establecieron.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Cuentas de servicio de la colección de proyectos |
Cuentas de servicio de compilación de la colección de proyectos |
Administradores de compilación de la colección de proyectos |
Administradores de colecciones de proyectos (Nota 1) |
|---|---|---|---|---|---|---|---|
Administrar permisos de recursos de compilación |
AdministerBuildResourcePermissions |
BuildAdministration |
Pueden modificar los permisos de los recursos de compilación. |
|
|
|
|
Administrar la integración de Project Server |
AdministerProjectServer |
ProjectServerAdministration |
Pueden configurar la integración de TFS y Project Server para habilitar la sincronización de datos entre los dos productos de servidor. |
|
|
||
Administrar cambios aplazados |
AdminShelvesets tf: AdminShelvesets |
VersionControlPrivileges |
Pueden eliminar los conjuntos de cambios aplazados que hayan creado otros usuarios. |
|
|
|
|
Administrar áreas de trabajo |
AdminWorkspaces tf: AdminWorkspaces |
VersionControlPrivileges |
Pueden crear áreas de trabajo para otros usuarios y eliminar áreas de trabajo creadas por otros usuarios. |
|
|
|
|
Modificar la configuración de seguimiento |
DIAGNOSTIC_TRACE |
Collection |
Pueden cambiar la configuración de seguimiento para recopilar información de diagnóstico más detallada sobre los servicios web de TFS. |
|
|||
Crear un área de trabajo (Nota 2) |
tf: CreateWorkspace |
VersionControlPrivileges |
Pueden crear un área de trabajo de control de versiones. |
|
|
|
|
Crear nuevos proyectos (Nota 3) |
CREATE_PROJECTS |
Collection |
Pueden crear proyectos en la colección de proyectos de equipo. |
|
|||
Eliminar proyecto de equipo (Nota 4) |
Eliminar |
Project |
Pueden eliminar proyectos de equipo. |
|
|||
Editar información en el nivel de colección (Nota 5) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Collection VersionControlPrivileges |
Pueden agregar usuarios y grupos y editar permisos de nivel de colección de usuarios y grupos. |
|
|
||
Realizar solicitudes en nombre de otros |
Suplantar |
Servidor |
Pueden llevar a cabo operaciones en nombre de otros usuarios o servicios. Asigne este permiso únicamente a cuentas de servicio. |
|
|||
Administrar recursos de compilación |
ManageBuildResources |
BuildAdministration |
Pueden administrar los equipos de compilación, agentes de compilación y controladores de compilación. |
|
|
|
|
Administrar plantilla de procesos |
MANAGE_TEMPLATE |
Collection |
Pueden descargar, crear, editar y cargar plantillas de proceso. |
|
|||
Administrar controladores de pruebas |
MANAGE_TEST_CONTROLLERS |
Collection |
Pueden registrar y eliminar del registro controladores de pruebas. |
|
|||
Activar eventos (Nota 6) |
TRIGGER_EVENT |
Collection |
Pueden activar eventos de alertas de proyectos dentro de la colección. Asigne este permiso únicamente a cuentas de servicio. |
|
|
||
Usar recursos de compilación |
UseBuildResources |
BuildAdministration |
Pueden reservar y asignar agentes de compilación. Asigne este permiso únicamente a cuentas de servicio para servicios de compilación. |
|
|
|
|
Ver recursos de compilación |
ViewBuildResources |
BuildAdministration |
Pueden ver, pero no usar, controladores de compilación y agentes de compilación configurados para la colección. |
|
|
|
|
Editar información de nivel de colección |
GENERIC_READ |
Collection |
Pueden ver permisos y la pertenencia al grupo en el nivel de colección. |
|
|
|
|
Ver información de sincronización del sistema |
SYNCHRONIZE_READ |
Collection |
Pueden llamar a las interfaces de programación de aplicaciones de sincronización. Asigne este permiso únicamente a cuentas de servicio. |
|
|
Notas:
Además, se realizan las siguientes asignaciones predeterminadas a estos grupos de TFS:
Grupo Project Collection Valid Users: Crear un área de trabajo, Ver recursos de compilación y Ver información de nivel de colección.
Cuentas de servicio de proxy de la colección de proyectos: Crear un área de trabajo, Ver recursos de compilación y Ver información de nivel de colección.
Cuentas de servicio de prueba de la colección de proyectos: Crear un área de trabajo, Administrar controladores de pruebas, Ver recursos de compilación y Ver información de nivel de colección.
El permiso Crear un área de trabajo se concede a todos los usuarios por pertenecer al grupo Project Collection Valid Users.
Puede que sean necesarios permisos adicionales en función de la implementación. Además, debe ejecutar Visual Studio o Team Explorer como administrador para completar correctamente el Asistente para crear un nuevo proyecto de equipo.
Al eliminar un proyecto de equipo, se eliminarán todos los datos que estén asociados al proyecto. No puede deshacer la eliminación de un proyecto de equipo, salvo que restaure la colección a un punto anterior a la eliminación del proyecto.
Editar información de nivel de colección incluye la capacidad de realizar estas tareas para todos los proyectos de equipo definidos en una colección:
Agregar y administrar equipos y todas las características relacionadas con los equipos
Crear y modificar áreas e iteraciones
Editar directivas de protección
Editar consultas de elementos de trabajo compartidas
Editar listas de control de acceso (ACL) de permisos de nivel de proyecto y de nivel de colección
Crear y modificar listas globales
Editar suscripciones a eventos (correo electrónico o SOAP) en eventos de nivel de proyecto o colección.
Al establecer el permiso Editar información en el nivel de colección en Permitir mediante TWA, los usuarios pueden agregar o eliminar grupos de TFS de nivel de colección y se permite de forma implícita a estos usuarios la modificación de los permisos de control de versiones. Para conceder todos estos permisos en un símbolo del sistema, debe usar el comando tf.exe Permission para conceder los permisos AdminConfiguration y AdminConnections, además de GENERIC_WRITE.
Los usuarios con este permiso no pueden eliminar los grupos de nivel de colección integrados, como es el caso del grupo Administradores de la colección de proyectos.
Agregar este permiso a otros usuarios tiene el potencial de permitir ataques por denegación de servicio.
Permisos de nivel de proyecto, prueba y objeto
Los permisos de nivel de proyecto son específicos de los usuarios y grupos de un solo proyecto. Dentro de un mismo proyecto puede establecer permisos para los objetos creados para dicho proyecto, como áreas, iteraciones, carpetas de control de código fuente, consultas y carpetas de consultas y definiciones de compilación. Puede establecer permisos de nivel de proyecto y objeto para usuarios y grupos que agregue a un proyecto de equipo o una colección.
Muchos permisos predeterminados se asignan a estos grupos integrados de nivel de proyecto y colección:
Grupos de nivel de proyecto: Creadores, Colaboradores, Administradores de proyectos y Lectores
Grupos de nivel de colección: Administradores de colección de proyectos, Cuentas de servicio de compilación de colección de proyectos, Cuentas de servicio de proxy de colección de proyectos y Cuentas de servicio de pruebas de colección de proyectos
Permisos de nivel de proyecto y prueba
Puede establecer los permisos de nivel de proyecto desde la Página de administración de TWA del proyecto o mediante la herramienta de línea de comandos TFSSecurity. Todos los permisos de nivel de proyecto autorizan a los usuarios en relación con el proyecto de equipo específico para el que recibieron los permisos.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Administradores de compilación, Colaboradores y Equipos |
Administradores de proyectos (Nota 1) |
|---|---|---|---|---|---|
Crear definición de etiqueta |
Create |
Etiquetado |
Pueden agregar etiquetas mediante un formulario de elementos de trabajo. |
|
|
Crear ejecuciones de pruebas |
PUBLISH_TEST_RESULTS |
Project |
Pueden agregar y eliminar resultados de pruebas y agregar o modificar ejecuciones de pruebas. |
|
|
Eliminar proyecto de equipo |
SUPRIMIR |
Project |
Pueden eliminar el proyecto de equipo desde TFS. |
|
|
Eliminar ejecuciones de pruebas |
DELETE_TEST_RESULTS |
Project |
Pueden eliminar una prueba programada. |
|
|
Editar información de nivel de proyecto (Nota 2) |
GENERIC_WRITE |
Project |
Pueden editar permisos de nivel de proyecto para usuarios y grupos. |
|
|
Administrar configuraciones de prueba |
MANAGE_TEST_CONFIGURATIONS |
Project |
Pueden crear y eliminar configuraciones de pruebas. |
|
|
Administrar entornos de prueba |
MANAGE_TEST_ENVIRONMENTS |
Project |
Los usuarios que tienen este permiso pueden crear y eliminar entornos de pruebas. |
|
|
Ver información de nivel de proyecto |
GENERIC_READ |
Project |
Pueden ver permisos y pertenencia al grupo de nivel de proyecto. |
|
|
Ver ejecuciones de pruebas |
VIEW_TEST_RESULTS |
Project |
Pueden ver planes de pruebas bajo la ruta de acceso de área del proyecto de equipo. |
|
|
Notas:
Además, se realizan las siguientes asignaciones predeterminadas a estos grupos de TFS:
Lectores: Crear definición de etiqueta, Ver información de nivel de proyecto y Ver ejecuciones de pruebas.
Administradores de la colección de proyectos: los mismos permisos que los de los Administradores de proyectos, salvo el permiso Eliminar ejecuciones de pruebas.
Administradores de compilación la colección de proyectos: los mismos permisos que los de los Administradores de proyectos, salvo el permiso Eliminar ejecuciones de pruebas.
Cuentas de servicio de compilación de la colección de proyectos: Crear ejecuciones de prueba, Administrar configuraciones de prueba, Administrar entornos de prueba, Ver información de nivel de proyecto y Ver ejecuciones de pruebas.
Cuentas de servicio de pruebas de la colección de proyectos: Crear ejecuciones de prueba, Administrar configuraciones de prueba, Administrar entornos de prueba y Ver información de nivel de proyecto.
Editar información de nivel de proyecto incluye la capacidad de realizar las siguientes tareas para el proyecto de equipo:
Agregar y administrar equipos y todas las características relacionadas con los equipos
Crear y modificar áreas e iteraciones
Editar directivas de protección
Editar consultas de elementos de trabajo compartidas
Editar listas de control de acceso (ACL) de permisos de nivel de proyecto
Crear y modificar listas globales
Editar suscripciones a eventos (correo electrónico o SOAP) en eventos de nivel de proyecto.
Permisos de nivel de compilación
Puede establecer permisos de nivel de compilación para todas las compilaciones o para una definición de compilación desde el menú contextual de la definición de compilación en TWA o Team Explorer o mediante la herramienta de línea de comandos TFSSecurity.
Nombre del permiso (Interfaz de usuario) |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Contributors |
Creadores o autores de definiciones de compilación |
Administradores de compilación |
Administradores de proyectos (Nota 1) |
|---|---|---|---|---|---|---|---|
Administrar permisos de compilación |
AdministerBuildPermissions |
Compilar |
Pueden administrar los permisos de compilación de otros usuarios. |
|
|||
Eliminar definición de compilación |
DeleteBuildDefinition |
Compilar |
Pueden eliminar definiciones de compilación de este proyecto. |
|
|
|
|
Eliminar compilaciones |
DeleteBuilds |
Compilar |
Pueden eliminar una compilación completada. |
|
|
|
|
Destruir compilaciones |
DestroyBuilds |
Compilar |
Pueden eliminar de forma permanente una compilación completada. |
|
|
||
Editar definición de compilación (Nota 2) |
EditBuildDefinition |
Compilar |
Pueden crear y modificar definiciones de compilación para este proyecto. |
|
|
|
|
Editar calidad de compilación |
EditBuildQuality |
Compilar |
Pueden agregar información sobre la calidad de la compilación mediante Team Explorer o Team Web Access. |
|
|
|
|
Administrar calidades de compilación |
ManageBuildQualities |
Compilar |
Pueden agregar o eliminar calidades de compilación. |
|
|
||
Administrar cola de compilación |
ManageBuildQueue |
Compilar |
Pueden cancelar, volver a clasificar por orden de prioridad o posponer las compilaciones en cola. |
|
|
||
Reemplazar validación de protección por compilación (Nota 3) |
OverrideBuildCheckInValidation |
Compilar |
Pueden confirmar un conjunto de cambios que afecte a una definición de compilación controlada sin que el sistema aplace y compile antes los cambios. |
||||
Compilaciones en cola |
QueueBuilds |
Compilar |
Pueden poner una compilación en la cola a través de la interfaz de Team Foundation Build o en un símbolo del sistema. También pueden detener las compilaciones que han puesto en cola. |
|
|
|
|
Retener indefinidamente |
RetainIndefinitely |
Compilar |
Pueden marcar una compilación para que una directiva de retención aplicable no la elimine automáticamente. |
|
|
||
Detener compilaciones |
StopBuilds |
Compilar |
Pueden detener cualquier compilación en curso, incluidas las compilaciones en cola y las iniciadas por otro usuario. |
|
|
||
Actualizar información de compilación |
UpdateBuildInformation |
Compilar |
Pueden agregar nodos de información de compilación al sistema e información sobre la calidad de una compilación. Asigne este permiso únicamente a cuentas de servicio. |
||||
Ver definición de compilación |
ViewBuildDefinition |
Compilar |
Pueden ver las definiciones de compilación que se han creado para el proyecto de equipo. |
|
|
|
|
Ver compilaciones |
ViewBuilds |
Compilar |
Pueden ver las compilaciones en cola y completadas de este proyecto de equipo. |
|
|
|
|
Notas:
Además se realizan las siguientes asignaciones predeterminadas a estos grupos integrados:
Lectores: Ver definición de compilación y Ver compilaciones.
Administradores de la colección de proyectos: Todos los permisos salvo el de Actualizar información de compilación.
Administradores de compilación de la colección de proyectos: todos los permisos salvo los de Reemplazar validación de protección por compilación y Actualizar información de compilación.
Cuentas de servicio de compilación de la colección de proyectos: Editar calidad de compilación, Administrar cola de compilación, Actualizar información de compilación, Reemplazar validación de protección por compilación, Poner compilaciones en cola, Ver definiciones de compilación y Ver compilaciones.
Cuentas de servicio de prueba de la colección de proyectos: Actualizar información de compilación, Ver definiciones de compilación y Ver compilaciones.
Desactive la Herencia de una definición de compilación si desea controlar los permisos de determinadas definiciones de compilación.
Si la Herencia está activada, la definición de compilación respeta los permisos de compilación definidos en el nivel de proyecto de un grupo o usuario. Por ejemplo, un grupo personalizado Administradores de compilación tiene permisos establecidos para poner en cola manualmente una compilación del proyecto Fabrikam. Cualquier definición de compilación que tenga activada la herencia para el proyecto Fabrikam permitirá a los miembros del grupo Administradores de compilación poner en cola una compilación manualmente.
Sin embargo, si desactiva la Herencia en el proyecto Fabrikam, puede establecer permisos que permiten únicamente a los Administradores de proyectos poner en cola manualmente una compilación de una definición de compilación concreta. Esto me permitiría establecer permisos para esta definición de compilación específicamente.
Asigne el permiso Reemplazar validación de protección por compilación únicamente a las cuentas de servicio de los servicios de compilación y a los administradores de compilación responsables de la calidad del código. Para obtener más información, consulta Proteger los cambios pendientes controlados por una compilación de protección controlada.
Permisos de consulta de elementos de trabajo
Puede establecer permisos de consulta de elementos de trabajo desde el menú contextual de Consultas compartidas en TWA o Team Explorer o mediante la herramienta de línea de comandos TFSSecurity. Todos los permisos se limitan a la consulta o a la carpeta de consultas determinada para la que se establecieron.
Considere el conceder los permisos Contribuir a los usuarios o grupos que necesiten tener la capacidad de crear y compartir consultas de elementos de trabajo del proyecto. Para crear gráficos de consulta necesita acceso Avanzado.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Lectores, Colaboradores, Administradores de compilación |
Propietarios del creador, Administradores de proyectos, Administradores de la colección de proyectos |
|---|---|---|---|---|---|
Contribuir |
CONTRIBUTE |
WorkItemQueryFolders |
Pueden ver y modificar esta consulta o carpeta de consultas. |
|
|
Eliminar |
SUPRIMIR |
WorkItemQueryFolders |
Pueden eliminar una consulta o carpeta de consultas y su contenido. |
|
|
Administrar permisos |
MANAGEPERMISSIONS |
Pueden administrar los permisos de esta consulta o de la carpeta de consultas. |
|
||
Leer |
READ |
WorkItemQueryFolders |
Pueden ver y utilizar la consulta o las consultas de una carpeta, pero no modificar el contenido de la consulta ni de la carpeta de consultas. |
|
|
FullControl |
WorkItemQueryFolders |
Pueden ver, editar, eliminar y administrar los permisos de una consulta o de una carpeta de consultas y de su contenido. |
|
Permisos de etiquetado
Las etiquetas son una forma rápida de agrupar o categorizar elementos de trabajo. Los permisos de etiquetado están disponibles en las implementaciones locales de TFS si se dispone de TFS 2013.2 o de una versión posterior. Puede establecer el permiso Crear definición de etiqueta desde la página Seguridad de administración de TWA. Para establecer los demás permisos, use la herramienta de línea de comandos TFSSecurity.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Lectores |
Contributors |
Administradores de proyectos (Nota 1) |
|---|---|---|---|---|---|---|
Crear definición de etiqueta (Nota 2) |
CREATE |
Etiquetado |
Pueden crear nuevas etiquetas y aplicarlas a elementos de trabajo. Los usuarios sin este permiso solo pueden seleccionar el conjunto de etiquetas para el proyecto de equipo. |
|
|
|
Eliminar definición de etiqueta (Nota 3 y 4) |
SUPRIMIR |
Etiquetado |
Pueden eliminar una etiqueta de la lista de etiquetas disponibles para ese proyecto. |
|
||
Enumerar definición de etiqueta (Notas 4 y 5) |
ENUMERATE |
Etiquetado |
Pueden ver una lista de etiquetas disponibles para el elemento de trabajo dentro del proyecto de equipo. Los usuarios sin este permiso no tendrán una lista de etiquetas disponible para elegir en el formulario de elemento de trabajo ni en el editor de consultas. |
|
|
|
Actualizar definición de etiqueta (Nota 4) |
UPDATE |
Etiquetado |
Pueden cambiar el nombre de una etiqueta utilizando la API REST. |
|
|
Notas:
Además, el grupo Cuentas de servicio de la colección de proyectos tiene todos los permisos de etiquetado asignados de manera explícita.
Los grupos Lectores y Colaboradores heredan el permiso Crear definición de etiqueta ya que está establecido explícitamente como Permitir para el grupo Project Valid Users.
Aunque el permiso Crear definición de etiqueta aparece en la configuración de seguridad en el nivel de proyecto de equipo, los permisos de etiquetado son en realidad permisos de colección cuyo ámbito es el nivel de proyecto cuando aparecen en la interfaz de usuario. Para aplicar permisos de etiquetado a un solo proyecto de equipo con el comando TFSSecurity, debe proporcionar el GUID del proyecto como parte de la sintaxis del comando. De lo contrario, el cambio se aplicará a toda la colección de proyectos de equipo. Tenga esto en cuenta cuando cambie o configure estos permisos.
No se puede eliminar una etiqueta desde la interfaz de usuario. Para eliminar una etiqueta, elimine las asignaciones asociadas a esa etiqueta. TFS elimina automáticamente las etiquetas sin asignar después de que hayan pasado 3 días sin haberse utilizado.
No aparece en la interfaz de usuario; solo se puede establecer mediante el comando TFSSecurity.
El permiso Ver información de nivel de proyecto establecido en Permitir para Lectores y Colaboradores permite de forma implícita a los usuarios de estos grupos ver las etiquetas existentes (permiso Enumerar etiqueta).
Permisos de nivel de área para el seguimiento de elementos de trabajo
Los permisos de nivel de área conceden o impiden el acceso a los elementos de trabajo definidos para un proyecto basado en su ubicación con su jerarquía de árbol de área.
Puede definir y establecer los permisos de nivel de área desde la Página de administración de TWA para áreas o mediante la herramienta de línea de comandos TFSSecurity. Todos los permisos se limitan a la ruta de acceso de área específica para la que se establecieron.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Contributors |
Administradores de compilación |
Cuentas de servicio de compilación de la colección de proyectos (Nota 1) |
|---|---|---|---|---|---|---|
Crear nodos secundarios (Nota 2) |
CREATE_CHILDREN |
CSS |
Pueden crear nodos de áreas. Los usuarios que tienen este permiso y el permiso Editar este nodo pueden mover o cambiar el orden de cualquier nodo de área secundario. |
|||
Eliminar este nodo (Nota 2) |
SUPRIMIR |
CSS |
Los usuarios que tienen este permiso y el permiso Editar este nodo para otro nodo pueden eliminar nodos de área y volver a clasificar los elementos de trabajo existentes del nodo eliminado. Si el nodo eliminado tiene nodos secundarios, también se eliminarán. |
|||
Editar este nodo (Nota 2) |
GENERIC_WRITE |
CSS |
Pueden establecer permisos para este nodo y cambiar el nombre de nodos de área. |
|||
Editar elementos de trabajo en este nodo (Nota 3) |
WORK_ITEM_WRITE |
CSS |
Pueden editar elementos de trabajo en este nodo de área. |
|
|
|
Administrar planes de pruebas (Nota 4) |
MANAGE_TEST_PLANS |
CSS |
Pueden modificar las propiedades de los planes de pruebas, como la configuración de compilación y prueba. |
|
|
|
Administrar conjuntos de pruebas (Nota 4) |
MANAGE_TEST_SUITES |
CSS |
Pueden crear y eliminar conjuntos de pruebas, agregar y quitar casos de prueba de los conjuntos de pruebas, cambiar configuraciones de prueba asociadas con los conjuntos de pruebas y modificar la jerarquía de las pruebas (mover un conjunto de pruebas). |
|
|
|
Ver permisos para este nodo |
GENERIC_READ |
CSS |
Pueden ver la configuración de seguridad de este nodo. |
|
|
|
Ver elementos de trabajo en este nodo (Nota 5) |
WORK_ITEM_READ |
CSS |
Pueden ver, pero no cambiar, los elementos de trabajo de este nodo de área. |
|
|
|
Notas:
Además se realizan las siguientes asignaciones predeterminadas a estos grupos integrados:
Lectores: Ver permisos para este nodo y permisos de solo vista.
Cuentas de servicio de pruebas de la colección de proyectos: permisos de solo vista.
Administradores de Team Foundation, Administradores de la colección de proyectos y Administradores de proyectos: todos los permisos de CSS. Cualquier grupo o usuario que tenga los permisos Editar información de nivel de instancia, Editar información de nivel de colección o Editar información de nivel de proyecto puede crear y administrar nodos de área.
Los miembros de los grupos Project Collection Valid Users o Project Valid Users, así como cualquier usuario o grupo que tenga los permisos Ver información de nivel de colección o Ver información de nivel de proyecto, pueden ver los permisos de cualquier nodo de área.
Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de área.
Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que editar elementos de trabajo bajo el nodo de área.
El permiso Administrar conjuntos de pruebas se agregó en la actualización TFS 2013.3. Considere agregar estos permisos a cualquier usuario o grupo agregado manualmente que puede que tenga que administrar planes de pruebas o conjuntos de pruebas bajo este nodo de área.
Si establece en Denegar el permiso Ver los elementos de trabajo en este nodo, el usuario no podrá ver ningún elemento de trabajo de este nodo de área. Denegar reemplazará cualquier permiso implícito, incluso para las cuentas que son miembros de grupos administrativos como Administradores de Team Foundation.
Permisos de nivel de iteración para el seguimiento de elementos de trabajo
Los permisos de nivel de iteración conceden o limitan el acceso para crear y administrar rutas de acceso de iteración.
Puede establecer permisos de nivel de iteración para usuarios y grupos que agregue a una colección o proyecto de equipo mediante la Página de administración de TWA para iteraciones o la herramienta de línea de comandos TFSSecurity. Todos los permisos se limitan a la ruta de acceso de iteración específica para la que se establecieron.
Algunas operaciones de seguimiento de elementos de trabajo requieren varios permisos. Por ejemplo, necesitará varios permisos para eliminar un nodo.
Considere conceder a los administradores de equipos, scrummasters o responsables de equipo los permisos necesarios para crear, editar y eliminar nodos.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Administradores de proyectos (Nota 1) |
|---|---|---|---|---|
Crear nodos secundarios (Nota 2) |
CREATE_CHILDREN |
Iteración |
Pueden crear nodos de iteración. Los usuarios que tienen este permiso y el permiso Editar este nodo pueden mover o cambiar el orden de cualquier nodo de iteración secundario. |
|
Eliminar este nodo (Nota 2) |
SUPRIMIR |
Iteración |
Los usuarios que tienen este permiso y el permiso Editar este nodo para otro nodo pueden eliminar nodos de iteración y volver a clasificar los elementos de trabajo existentes del nodo eliminado. Si el nodo eliminado tiene nodos secundarios, también se eliminarán. |
|
Editar este nodo (Nota 2) |
GENERIC_WRITE |
Iteración |
Pueden establecer permisos para este nodo y cambiar el nombre de nodos de iteración. |
|
Ver permisos para este nodo (Nota 3) |
GENERIC_READ |
Iteración |
Pueden ver la configuración de seguridad de este nodo. |
|
Notas:
Los miembros de los grupos Administradores de Team Foundation y Administradores de la colección de proyectos tienen todos los permisos de iteración. Cualquier grupo o usuario que tenga los permisos Editar información de nivel de instancia, Editar información de nivel de colección o Editar información de nivel de proyecto puede crear y administrar nodos de iteración.
Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de iteración.
Los miembros de los grupos Project Collection Valid Users o Project Valid Users, así como cualquier usuario o grupo que tenga los permisos Ver información de nivel de colección o Ver información de nivel de proyecto, pueden ver los permisos de cualquier nodo de iteración.
Permisos de control de versiones de Team Foundation (TFVC)
Puede establecer permisos en los archivos y carpetas de código fuente de TFVC desde el menú contextual de la definición de archivo o carpeta en TWA o Team Explorer mediante la herramienta de línea de comandos tf permission. Estos permisos solo se muestran para un proyecto de equipo que se haya configurado para usar TFVC como el sistema de control de código fuente.
Con los permisos de control de versiones, la denegación explícita tiene prioridad sobre los permisos del grupo de administradores.
Nombre del permiso |
Acción de TFSSecurity y tf perm |
Espacio de nombres TFSSecurity |
Descripción |
Contributors |
Administradores de compilación |
Cuentas de servicio de compilación de la colección de proyectos |
Administradores de proyectos (Nota 1) |
|---|---|---|---|---|---|---|---|
Administrar etiquetas |
tf: LabelOther |
VersionControlItems |
Pueden editar o eliminar etiquetas que haya creado otro usuario. |
|
|||
Proteger (Nota 2) |
tf: Checkin |
VersionControlItems |
Pueden proteger elementos y revisar los comentarios de los conjuntos de cambios confirmados. Los cambios pendientes se confirman en la protección. |
|
|
|
|
Proteger los cambios de otros usuarios |
tf: CheckinOther |
VersionControlItems |
Pueden proteger los cambios realizados por otros usuarios. Los cambios pendientes se confirman en la protección. |
|
|
||
Desproteger (Nota 2) |
tf: PendChange |
VersionControlItems |
Pueden desproteger y realizar un cambio pendiente en los elementos en una carpeta. Entre los ejemplos de cambios pendientes se incluyen agregar, editar, cambiar de nombre, eliminar, recuperar, bifurcar y combinar un archivo. Los cambios pendientes se deben proteger, por lo que los usuarios también necesitarán el permiso Proteger para compartir sus cambios con el equipo. |
|
|
|
|
Etiqueta |
tf: Label |
VersionControlItems |
Pueden etiquetar elementos. |
|
|
|
|
Bloquear |
tf: Lock |
VersionControlItems |
Pueden bloquear y desbloquear carpetas y archivos. |
|
|
|
|
Administrar bifurcación |
tf: ManageBranch |
VersionControlItems |
Pueden convertir cualquier carpeta bajo esa ruta de acceso en una bifurcación y realizar las acciones siguientes en una bifurcación: editar sus propiedades, cambiar su elemento primario y convertirla en una carpeta. Los usuarios que tienen este permiso solo pueden crear una bifurcación de esta bifurcación si también tienen el permiso Combinar para la ruta de acceso de destino. Los usuarios no pueden crear bifurcaciones a partir de una bifurcación para la que no tienen el permiso Administrar bifurcación. |
|
|
||
Administrar permisos (Nota 3) |
tf: AdminProjectRights |
VersionControlItems |
Pueden administrar los permisos de otros usuarios para las carpetas y archivos bajo control de versiones. |
|
|||
Combinar (Nota 4) |
tf: Merge |
VersionControlItems |
Pueden combinar cambios en esta ruta. |
|
|
|
|
Leer |
tf: Read |
VersionControlItems |
Pueden leer el contenido de un archivo o carpeta. Si un usuario tiene permisos Leer en una carpeta, puede ver el contenido de la carpeta y las propiedades de los archivos que contiene, aunque no tenga permiso para abrir esos archivos. |
|
|
|
|
Revisar los cambios de otros usuarios (Nota 5) |
tf: ReviseOther |
VersionControlItems |
Pueden editar los comentarios de los archivos protegidos, aunque otro usuario haya protegido el archivo. |
|
|||
Deshacer los cambios de otros usuarios (Nota 5) |
tf: UndoOther |
VersionControlItems |
Pueden deshacer un cambio pendiente realizado por otro usuario. |
|
|||
Desbloquear los cambios de otros usuarios (Nota 5) |
tf: UnlockOther |
VersionControlItems |
Pueden desbloquear los archivos bloqueados por otros usuarios. |
|
Notas:
Además, todos los permisos se establecen en Permitir herencia para los Administradores de la colección de proyectos y las Cuentas de servicio de la colección de proyectos.
Al grupo Lectores se le asignan permisos de solo vista: Lectura.
Considere agregar estos permisos a todos los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto; todos los usuarios que deberían poder proteger y desproteger cambios, realizar un cambio pendiente en los elementos de una carpeta y revisar los comentarios de los conjuntos de cambios confirmados.
Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto y que deban ser capaces de crear bifurcaciones privadas, a menos que las prácticas de desarrollo del proyecto sean más restrictivas.
Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto y que deban ser capaces de combinar archivos de código fuente, a menos que las prácticas de desarrollo del proyecto sean más restrictivas.
Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que sean responsables de supervisar o controlar el proyecto, y que pueden o deben editar comentarios de archivos protegidos, incluso si el archivo lo protegió otro usuario.
Permisos de repositorios Git
Puede establecer los permisos en un proyecto, repositorio o bifurcación Git desde el menú contextual o desde la página de administración de TWA, o mediante la herramienta de línea de comandos TFSSecurity. Estos permisos solo se muestran para un proyecto de equipo que se haya configurado para usar Git como el sistema de control de código fuente.
Puede establecer todos los permisos de un proyecto o repositorio. Puede establecer los permisos Administrar, Contribuir y Reescribir y destruir historial (forzar inserción) para una bifurcación. Los repositorios y las bifurcaciones heredan los permisos de las asignaciones realizadas en el nivel del proyecto.
De forma predeterminada, los grupos Lectores de nivel de proyecto y de nivel de colección solo tienen permisos de Lectura.
Nombre del permiso |
Acción de TFSSecurity |
Espacio de nombres TFSSecurity |
Descripción |
Contributors |
Administradores de compilación |
Administradores de proyectos (Nota 1) |
|---|---|---|---|---|---|---|
Administrar (Nota 2) |
Administrar |
GitRepositories |
Pueden cambiar el nombre del repositorio, agregar repositorios adicionales, comprobar la base de datos y establecer permisos para la bifurcación. Los usuarios que tienen este permiso pueden eliminar el repositorio si disponen también del permiso Forzar. En el nivel de bifurcación, es posible establecer permisos para la bifurcación y eliminar la bifurcación. |
|
||
Creación de bifurcaciones |
CreateBranch |
GitRepositories |
Pueden publicar bifurcaciones en el repositorio. La falta de este permiso no impide a los usuarios crear bifurcaciones en su repositorio local; simplemente impide que publiquen bifurcaciones locales en el servidor. Cuando un usuario crea una nueva bifurcación en el servidor, tiene de forma predeterminada los permisos Administrar, Contribuir y Forzar para esa bifurcación. |
|
|
|
Contribuir |
GenericContribute |
GitRepositories |
Pueden insertar sus cambios en el repositorio. En el nivel de la bifurcación, es posible insertar los cambios en la bifurcación. |
|
|
|
Administración de notas |
ManageNote |
GitRepositories |
Pueden insertar y editar notas de Git del repositorio. También pueden quitar notas de elementos si tienen el permiso Forzar. Vea este tema para obtener más detalles sobre las notas. |
|
|
|
Leer |
GenericRead |
GitRepositories |
Pueden clonar, buscar, extraer y explorar el contenido del repositorio, pero no pueden insertar ningún cambio que realicen en el repositorio. |
|
|
|
Reescribir y destruir historial (forzar inserción) |
ForcePush |
GitRepositories |
Pueden forzar una actualización, que puede sobrescribir o descartar confirmaciones de cualquier usuario. La eliminación confirma los cambios en el historial. Sin este permiso, los usuarios no pueden descartar sus propios cambios. También se necesita el permiso Reescribir y destruir historial para eliminar una bifurcación. Como Reescribir y destruir historial permite a los usuarios cambiar el historial o quitar una confirmación del historial, los usuarios que tienen este permiso pueden eliminar un cambio y su historial del servidor. También pueden modificar el historial de confirmaciones del repositorio del servidor. En el nivel de la bifurcación, es posible reescribir y destruir el historial de la bifurcación. |
|||
Creación de etiquetas |
CreateTag |
GitRepositories |
Pueden insertar etiquetas en el repositorio y editar o quitar etiquetas de elementos si tienen el permiso Forzar. |
|
|
|
Notas:
Para los Administradores de la colección de proyectos y las Cuentas de servicio de la colección de proyectos todos los permisos se establecen en Permitir herencia.
A los grupos Lectores y Cuentas de servicio de compilación de la colección de proyectos se les asignan permisos de solo vista: Lectura.
Considere agregar todos los permisos a todos los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto.
Permisos de Lab Management
Los permisos de Visual Studio Lab Management son específicos de las máquinas virtuales, los entornos y otros recursos. Además, al creador de un objeto en Lab Management se le conceden automáticamente todos los permisos para ese objeto. Puede establecer estos permisos mediante la herramienta de línea de comandos TFSLabConfig.
Los grupos Lectores de nivel de proyecto y de nivel de colección solo tienen permisos Ver recursos de laboratorio (Lectura).
Nombre del permiso |
TFSLabConfig perm |
Descripción |
Colaboradores (Nota 1) |
Project Administrators |
Servicio de compilación de la colección de proyectos |
Administradores de Team Foundation, Administradores de la colección de proyectos |
|---|---|---|---|---|---|---|
Eliminar entorno y máquinas virtuales |
Eliminar |
Pueden eliminar entornos y plantillas. El permiso se comprueba para el objeto que se elimina. |
|
|
||
Eliminar ubicaciones de laboratorio |
DeleteLocation |
Pueden eliminar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, recursos compartidos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos. Para eliminar una ubicación, debe tener el permiso Eliminar ubicación de laboratorio para esa ubicación. |
|
|
||
Editar entorno y máquinas virtuales |
Edición |
Pueden editar entornos y plantillas. El permiso se comprueba para el objeto que se edita. |
|
|
|
|
Operaciones de entorno |
EnvironmentOps |
Pueden iniciar, detener, pausar y administrar instantáneas, además de realizar otras operaciones en un entorno. |
|
|
||
Importar máquina virtual |
Create |
Pueden importar una máquina virtual desde un recurso compartido de biblioteca de VMM. Este permiso se diferencia del de escritura en que solo crea un objeto en Lab Management y no escribe nada en el grupo host o recurso compartido de biblioteca de Virtual Machine Manager. |
|
|
|
|
Administrar permisos secundarios |
ManageChildPermissions |
Pueden cambiar los permisos de todos los objetos secundarios de Lab Management. Por ejemplo, si un usuario tiene el permiso Administrar permisos secundarios para un grupo host de proyectos de equipo, el usuario puede cambiar los permisos para todos los entornos de ese grupo host de proyectos de equipo. |
|
|
||
Administrar ubicaciones de laboratorio |
ManageLocation |
Pueden editar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, recursos compartidos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos. Para editar una ubicación concreta, debe contar con el permiso Administrar ubicación de laboratorio para esa ubicación. Este permiso para las ubicaciones de nivel de colección (grupos host de colección y recursos compartidos de biblioteca de colección) también permite crear ubicaciones de nivel de proyecto (grupo de host de proyecto y recurso compartido de biblioteca de proyectos). |
|
|
||
Administrar permisos |
ManagePermissions |
Pueden modificar los permisos de un objeto de Lab Management. Este permiso se comprueba el objeto cuyos permisos se modifican. |
|
|||
Administrar instantáneas |
ManageSnapshots |
Pueden realizar todas las tareas de administración de instantáneas de un entorno, lo que incluye tomar una instantánea, revertir a una instantánea, cambiar de nombre una instantánea, eliminar una instantánea y leer una instantánea. |
|
|
|
|
Pausar entorno |
Pause |
Pueden pausar un entorno. |
|
|
|
|
Iniciar |
Iniciar |
Pueden iniciar un entorno. |
|
|
|
|
Detener |
Detener |
Pueden detener un entorno. |
|
|
|
|
Ver recursos de laboratorio |
Leer |
Pueden ver información para los distintos recursos de Lab Management, que incluyen grupos host de colección, grupos de host de proyecto y entorno. Para ver la información de un recurso de laboratorio específico, debe disponer del permiso Ver recursos de laboratorio para ese recurso. |
|
|
|
|
Escribir entorno y máquinas virtualesWrite |
Write |
Pueden crear entornos para un grupo de host de proyecto. Los usuarios que tienen este permiso para un recurso compartido de biblioteca de proyectos pueden almacenar entornos y plantillas. |
|
|
|
|
Notas:
- Al grupo Lectores se le asignan permisos de solo vista: Lectura.
Permisos de Release Management
En Release Management, puede asignar permisos en función del rol asignado a un usuario, los permisos funcionales explícitos asignados a grupos o los permisos asignados a instancias específicas de un objeto de versión. Además, puede asignar aprobadores y validadores a fases concretas dentro de una ruta de acceso de versión para garantizar que las aplicaciones que se van a implementar satisfagan los estándares de calidad.
Basada en roles: los dos roles son Administrador de versiones y Usuario del servicio. Los administradores de versiones pueden administrar todas las funciones, independientemente de los grupos a los que estén vinculados. El usuario del servicio corresponde a un rol de la cuenta de servicio. Para restringir el acceso de un usuario, no le asigne a ningún rol. En lugar de ello, permita que herede los permisos asignados al grupo al que está vinculado.
Grupo: para restringir el acceso a áreas funcionales específicas, asigne los permisos permitidos para ese grupo. Los miembros de ese grupo heredan los permisos asignados al grupo. La restricción del acceso requiere cambiar los permisos concedidos al grupo Todos, que de forma predeterminada tiene todos los permisos.
Objeto: además de roles y grupos, puede restringir el acceso para editar, ver y administrar la seguridad de las rutas de acceso de versión y las plantillas de versión. Esto se hace a través de la pestaña Seguridad para la ruta de acceso de versión y a través de la página Propiedades para una plantilla de versión.
Aprobadores y validadores: los aprobadores y validadores deben aprobar cada paso o fase de una versión. Los aprobadores y validadores se asignan cuando se configura una ruta de acceso de versión. Todos los aprobadores y validadores deben agregarse como usuarios o miembros de un grupo de Release Management.
Release Management define un único grupo predeterminado, Todos, al que pertenecen todas las cuentas que agrega a Release Management. Además, se asignan permisos concretos a los roles Administrador de versiones y Usuario del servicio.
Los permisos de Release Management se administran desde Release Management Client. Puede establecer estos permisos abriendo el submenú que se indica en la columna Dónde se establece. Para obtener más información sobre cómo establecer estos permisos, vea Agregar usuarios y grupos y controlar el acceso a Release Management. Para instalar Release Management, vaya aquí.
Nombre de permiso o rol del usuario |
Dónde se establece |
Descripción |
Todos |
Rol Administrador de versiones |
Rol Usuario del servicio |
|---|---|---|---|---|---|
Administrador de versiones |
Administración > Mi perfil y página Nuevo usuario |
Pueden administrar Release Management Server, administrar la conexión entre TFS y Release Management y administrar los siguientes objetos:
Considere agregarlo a: los usuarios que van a administrar Release Management Server. |
|
||
Usuario de servicio |
Administración > Mi perfil y página Nuevo usuario |
Pueden administrar implementaciones o conjuntos de aplicaciones web. Considere agregarlo a: identidades de la cuenta de servicio asignadas para ejecutar grupos de aplicaciones de servidor, el servicio de Windows del agente de implementación y la supervisión de los servicios de Windows mediante Release Management. |
|
||
View |
Configurar aplicaciones > Plantilla de versión > Propiedades Configurar rutas de acceso > Rutas de acceso de la versión |
Pueden ver las plantillas de versión o las rutas de acceso de la versión y asignar de forma selectiva acceso de consulta a plantillas de versión y rutas de acceso de versión específicas a usuarios específicos. Considere agregarlo a: los usuarios o grupos que necesiten ver plantillas de versión o rutas de acceso de versión específicas, pero no editarlas. |
|
|
|
Edición |
Configurar aplicaciones > Plantilla de versión > Propiedades Configurar rutas de acceso > Rutas de acceso de la versión |
Pueden editar las plantillas de versión o las rutas de acceso de versión y elegir qué usuarios pueden editar plantillas de versión y rutas de acceso de versión específicas. Considere agregarlo a: los usuarios o grupos que necesiten modificar plantillas de versión o rutas de acceso de versión específicas. |
|
|
|
Puede publicar |
Configurar aplicaciones > Plantilla de versión > Propiedades |
Pueden iniciar una versión y especificar qué usuarios pueden iniciar una versión a partir de las plantillas de versión que pueden ver. Considere agregarlo a: los usuarios o grupos que vayan a iniciar una versión. Con este permiso, puede especificar qué usuarios pueden iniciar una versión a partir de las plantillas de versión que pueden ver. |
|
|
|
Administrar seguridad |
Configurar aplicaciones > Plantilla de versión > Propiedades Configurar rutas de acceso > Rutas de acceso de la versión |
Pueden administrar qué grupos tienen permisos para ver, editar o administrar plantillas de versión o rutas de acceso de versión. Considere agregarlo a: los usuarios o grupos que vayan a administrar qué grupos tienen permisos para ver, editar o administrar plantillas de versión o rutas de acceso de versión. Con este permiso, los creadores de plantillas de versión y rutas de acceso de versión pueden controlar quién puede ver, editar o publicar plantillas o rutas específicas. |
|
|
|
Puede crear plantilla de versión |
Configurar aplicaciones > Plantilla de versión |
Pueden definir plantillas de versión. Sin este permiso, el botón Nuevo de la pestaña Configurar aplicaciones > Plantilla de versión está oculto.Puede crear ruta de acceso de versión Considere agregarlo a: los usuarios o grupos que necesiten crear, iniciar o aprobar una versión. |
|
|
|
Puede crear ruta de acceso de versión |
Configurar rutas de acceso > Rutas de acceso de la versión |
Pueden definir las fases, el proceso de aprobación y la seguridad de las rutas de acceso de versión. Sin este permiso, el botón Nuevo de la pestaña Configurar rutas de acceso > Rutas de acceso de la versión está oculto. Considere agregarlo a: los usuarios o grupos que necesiten administrar la configuración de versiones utilizada al implementar aplicaciones. |
|
|
|
Puede administrar el entorno |
Configurar rutas de acceso > Entornos |
Pueden definir las fases que componen una ruta de acceso de versión y los servidores y la seguridad de cada fase. Sin este permiso, la pestaña Configurar rutas de acceso > Entornos está oculta. Considere agregarlo a: los usuarios o grupos que necesiten administrar los servidores y entornos utilizados para definir las rutas de acceso de versión. |
|
|
|
Puede administrar el servidor |
Configurar rutas de acceso > Servidor |
Pueden definir las rutas de acceso de versión para implementar aplicaciones en el sistema. Este permiso permite definir los servidores que se usan para implementar aplicaciones para los servidores de pruebas, ensayo y producción. Sin este permiso, la pestaña Configurar rutas de acceso > Servidor está oculta. Considere agregarlo a: los usuarios o grupos que vayan a definir las rutas de acceso de versión para implementar aplicaciones en el sistema. Este permiso permite definir los servidores que se usan para implementar aplicaciones para los servidores de pruebas, ensayo y producción. |
|
|
|
Puede administrar el inventario |
Inventario > Acciones y herramientas |
Pueden definir herramientas o acciones personalizadas para implementar aplicaciones en el sistema. Con este permiso, pueden ver, editar y crear acciones y herramientas. Consulta Acciones de publicación para implementar una aplicación en Release Management. Sin este permiso, la pestaña Inventario está oculta. Considere agregarlo a: los usuarios o grupos que vayan a definir herramientas o acciones personalizadas para implementar aplicaciones en el sistema. Con este permiso, pueden ver, editar, y crear acciones y herramientas utilizadas al implementar aplicaciones. |
|
|
|
Puede usar la herramienta personalizada en acciones y componentes |
Configurar aplicaciones > Componente > Implementación Configurar aplicaciones > Plantilla de versión > Componente > Implementación |
Pueden editar los campos Comando y Argumentos cuando se selecciona Ninguna herramienta. Sin este permiso, los usuarios no pueden modificar estos campos. Considere agregarlo a: los usuarios o grupos que vayan a definir rutas de acceso de versión o plantillas de versión o que vayan a iniciar versiones. Esto les permite editar los campos Comando y Argumentos cuando se selecciona Ninguna herramienta. |
|
|
|
Editar valores y servidores de destino |
Configurar aplicaciones > Plantilla de versión |
Pueden editar las variables de configuración y secuencia de implementación para versiones o fases específicas. Sin este permiso, la información de fases es de solo lectura. Considere agregarlo a: los usuarios o grupos que vayan a definir rutas de acceso de versión o plantillas de versión o que vayan a iniciar versiones. Esto les permite editar las variables de configuración y secuencia de implementación para versiones o fases específicas. |
|
|
|
Editar aprobaciones y entorno |
Configurar rutas de acceso > Rutas de acceso de la versión > Fases |
Pueden editar aprobaciones y entornos para una fase específica. Sin este permiso, la información de fases es de solo lectura. Considere agregarlo a: los usuarios o grupos que vayan a definir rutas de acceso de versión o plantillas de versión. Esto les permite editar las aprobaciones y entornos para una fase determinada. Sin este permiso, la información de fase es de solo lectura. |
|
|
|
Preguntas y respuestas
P: ¿Cuál es la diferencia entre los permisos y los niveles de acceso?
R: Algunas características de TFS solo están disponibles para los usuarios que tienen el nivel de licencia adecuado para dichas características. El acceso a esas características no está controlado por los permisos, sino mediante la pertenencia a grupos de licencia para Team Web Access. Consulta Cambiar niveles de acceso.
P: ¿Qué permisos se asignan a los administradores de equipos?
R: los Administradores de equipos disponen de varios permisos basados en rol que se describen aquí.
P: ¿qué permisos se asocian a las Alertas?
R: no hay permisos de la interfaz de usuario asociados a las alertas a las que puede suscribirse mediante TWA.
De forma predeterminada todos los Colaboradores pueden suscribirse a las alertas por sí mismos. Los miembros de los grupos Administradores de la colección de proyectos y Administradores de proyectos, así como los usuarios o miembros de grupos que tengan el permiso Editar información de nivel de colección o Editar información de nivel de proyecto, pueden establecer alertas para otras personas o para un equipo.
Puede administrar los permisos de alertas mediante TFSSecurity en el nivel de colección. El Servicio de evento de Team Foundation está diseñado para ser flexible y extensible.
Acción de TFSSecurity |
Espacio de nombres de TFSSecurity |
Descripción |
Administradores de la colección de proyectos y Cuentas de servicio de la colección de proyectos |
|---|---|---|---|
CREATE_SOAP_SUBSCRIPTION |
EventSubscription |
Pueden crear una suscripción al servicio web basado en SOAP. |
|
GENERIC_READ |
EventSubscription |
Pueden ver eventos de suscripciones definidos para un proyecto de equipo. |
|
GENERIC_WRITE |
EventSubscription |
Pueden crear alertas para otros usuarios o para un equipo. |
|
UNSUBSCRIBE |
EventSubscription |
Pueden cancelar la suscripción de una suscripción de evento. |
|
P: ¿qué características o herramientas adicionales hacen referencia a los grupos?
A: Estas características hacen referencia a los grupos integrados y personalizados (los creados por usted) de TFS:
Consultas de elementos de trabajo: operador En grupo y No en grupo
Atributo de elemento XML secundario (definición) de campo: para y sin atributos
Atributo de elemento XML secundario (flujo de trabajo) de campo: para y sin atributos
P: ¿Qué es un usuario válido?¿Cómo se rellenan los grupos de usuarios válidos?
R: Al agregar cuentas de usuarios directamente a un grupo de TFS o mediante un grupo de Windows, se agregan automáticamente a uno de los grupos de usuarios válidos.
Server\Team Foundation Valid Users: todos los miembros agregados a grupos de nivel de usuario.
ProjectCollectionName\Usuarios válidos de Team Foundation: todos los miembros agregados a grupos de nivel de colección de proyectos.
TeamProjectName\Project Valid Users: todos los miembros agregados a grupos de nivel de proyecto.
Los permisos predeterminados asignados a estos grupos se limitan principalmente a un acceso de lectura, como Ver recursos de compilación, Ver información de nivel de proyecto y Ver información de nivel de colección.
Esto significa que todos los usuarios que agregue a un proyecto de equipo pueden ver los objetos del resto de proyectos de equipo de una misma colección. Si necesita limitar el acceso de lectura, puede establecer limitaciones mediante el nodo de la ruta de acceso del área. Para aprender otros métodos, vea Restringir el acceso a funciones y tareas.
Si elimina o establece el permiso Ver información de nivel de instancia en Denegar para uno de los grupos de Usuarios válidos, ninguno de los usuarios del grupo podrá acceder al proyecto del equipo, la colección o la implementación, dependiendo del grupo para el que lo establezca.
Además, el elemento VALIDUSER se puede usar para permitir o impedir el acceso al seguimiento de elementos de trabajo.
P:¿Cómo puedo administrar los permisos para acceder a los informes o al portal del proyecto?
R: para obtener más información sobre cómo establecer permisos en Reporting Services y Productos de SharePoint para los usuarios de TFS, vea Establecer permisos de administrador para colecciones de proyectos de equipo y Establecer permisos de administrador para Team Foundation Server.
Para obtener ejemplos paso a paso de creación de grupos personalizados, configurar permisos para controlar el acceso a recursos y otras opciones, vea Restringir el acceso a funciones y tareas.