Autorisations de Team Foundation Server
Mise à jour : novembre 2007
L'autorisation d'effectuer les actions de l'utilisateur, telles que l'administration de l'espace de travail et la création de projet, sont déterminées par les autorisations. Lorsque vous créez un projet dans Team Foundation Server, quatre groupes par défaut sont créés pour ce projet indépendamment de votre choix de modèle de processus. Par défaut, chacun de ces groupes possède un jeu d'autorisations défini qui détermine les actions autorisées pour leurs membres.
Project Administrator
Contributor
Reader
Build Services
Pour gérer des groupes par défaut et créer des groupes personnalisés, les administrateurs doivent connaître la signification des autorisations et les implications en matière de sécurité afin de définir explicitement des autorisations.
.gif "Remarque") Remarque : |
|---|
Cette rubrique ne décrit pas les autorisations pour Windows SharePoint Services ou SQL Reporting Services. Elle aborde uniquement les autorisations que vous définissez dans Team Foundation Server. |
Paramètres des autorisations
Deux paramètres d'autorisation explicites sont disponibles dans Team Foundation Server pour les autorisations : Refuser et Autoriser. Une autorisation implicite est également disponible et permet de ne pas affecter la valeur Autoriser ou Refuser à l'autorisation. Cette autorisation est un paramètre Refuser implicite connu sous le nom d'Unset.
Deny
Deny n'autorise pas l'utilisateur ou le groupe à exécuter les actions indiquées dans la description d'autorisation. Il s'agit du paramètre d'autorisation le plus puissant de Team Foundation Server. Si un utilisateur appartient à un groupe de Team Foundation Server qui possède un jeu d'autorisations spécifique avec la valeur Refuser, cet utilisateur ne peut pas exécuter cette fonction, même s'il appartient à un autre groupe dans lequel ce jeu d'autorisations possède la valeur Autoriser. La seule exception à cette règle se produit lorsque l'utilisateur est membre du groupe Project Administrators pour un projet ou du groupe Team Foundation Administrators. Si un utilisateur est membre du groupe Project Administrators pour un projet, les privilèges de ce groupe substituent une autorisation Deny explicite pour cet utilisateur dans un projet. De même, si un utilisateur est membre du groupe Team Foundation Administrators, les privilèges de ce groupe substituent une autorisation Refuser explicite pour cet utilisateur dans Team Foundation Server.
Allow
Allow autorise l'utilisateur ou le groupe à exécuter les actions indiquées dans la description d'autorisation. Autoriser est le second paramètre d'autorisation le plus puissant de Team Foundation Server. C'est celui qui est défini le plus fréquemment. Si vous n'affectez pas explicitement la valeur Autoriser à une autorisation, un utilisateur ou un groupe ne peut pas exécuter cette action dans Team Foundation Server.
Unset
Par défaut, la plupart des autorisations dans Team Foundation Server ne possèdent pas la valeur Refuser ou Autoriser. Les autorisations ne sont pas définies, ce qui, implicitement, n'autorise pas les utilisateurs et les groupes à exécuter les actions spécifiées dans la description d'autorisation. Toutefois, étant donné que l'autorisation n'a pas explicitement la valeur Refuser ou Autoriser, l'autorisation pour cette autorisation peut être héritée d'autres groupes auxquels l'utilisateur appartient.
Héritage
Si aucune autorisation n'est affectée à un utilisateur ou un groupe, l'utilisateur ou le groupe peut être affecté par le paramètre d'autorisation explicite défini pour les groupes auxquels il appartient étant donné que les autorisations dans Team Foundation Server sont héritées. Par exemple, si un utilisateur appartient à deux groupes personnalisés dans un projet et que l'un de ces groupes a une autorisation pour laquelle la valeur Refuser est explicitement affectée tandis qu'aucune autorisation n'est affectée à l'autre groupe, l'utilisateur n'aura pas l'autorisation d'exécuter les actions contrôlées par cette autorisation (l'utilisateur hérite des autorisations des deux groupes, et Refuser a la priorité sur l'autorisation non définie).
| Remarque : |
|---|
Les autorisations définies à l'extérieur de Team Foundation Server, comme Windows SharePoint Services, ne sont pas héritées dans Team Foundation Server. Elles ne sont pas abordées dans cette rubrique. |
Certains paramètres d'autorisation sont prioritaires sur les autres. Dans Team Foundation Server, l'autorisation Refuser a la priorité sur tous les autres paramètres d'autorisation, y compris Autoriser. Par exemple, un utilisateur peut appartenir à deux groupes dans un projet. Dans un groupe, l'autorisation Publier les résultats des tests a la valeur Refuser ; l'autre groupe a la valeur Autoriser. Le paramètre Refuser a la priorité et l'utilisateur n'est pas autorisé à publier les résultats des tests. La seule exception à cette règle se produit lorsque l'utilisateur est membre du groupe Project Administrators pour un projet ou du groupe Team Foundation Administrators. Si un utilisateur est membre du groupe Project Administrators pour un projet, les privilèges de ce groupe substituent une autorisation Deny explicite pour cet utilisateur dans un projet. De même, si un utilisateur est membre du groupe Team Foundation Administrators, les privilèges de ce groupe substituent une autorisation Refuser explicite pour cet utilisateur dans Team Foundation Server.
Autorisations définies dans l'interface utilisateur de Team Foundation Server et dans la ligne de commande
La plupart des autorisations que vous pouvez souhaiter définir pour Team Foundation Server sont contrôlées dans l'interface utilisateur de Team Foundation Server. Vous pouvez définir ces autorisations pour un serveur (autorisations de niveau serveur) ou un projet (autorisations de niveau projet). Vous pouvez également définir des autorisations au niveau de la zone pour afficher et interagir avec les éléments de travail pour un projet. Pour plus d'informations sur les autorisations définies par défaut pour les utilisateurs et les autorisations définies pour MSF for Agile Software Development ou les groupes MSF CMMI Process Improvement, consultez Groupes, autorisations et rôles par défaut de Team Foundation Server. Pour plus d'informations sur le mode de définition des autorisations pour les utilisateurs et les groupes, consultez Gestion des utilisateurs et groupes et Gestion des autorisations. Pour plus d'informations sur la gestion des éléments de travail, consultez Utilisation d'éléments de travail Team Foundation.
Autorisations de niveau serveur
Les autorisations de niveau serveur ne sont pas spécifiques à un projet unique. À la place, elles sont définies au niveau du serveur. Vous pouvez définir ces autorisations uniquement pour trois catégories d'utilisateurs :
Utilisateurs et groupes au niveau du serveur, comme Team Foundation Administrators
Groupes de niveau projet ajoutés au niveau du serveur sur votre serveur de Team Foundation
Groupes personnalisés que vous créez et ajoutez au niveau serveur
Vous pouvez définir ces autorisations dans Team Foundation Server en cliquant avec le bouton droit sur le serveur dans Team Explorer, puis en cliquant sur Sécurité. Vous pouvez définir ces autorisations en utilisant l'utilitaire en ligne de commande TFSSecurity, à l'exception des utilitaires portant la mention tf:. Pour ceux qui portent la mention tf:, utilisez la commande Permission de l'utilitaire en ligne de commande tf pour le contrôle de code source pour définir les autorisations. Pour plus d'informations, consultez Commandes de l'utilitaire en ligne de commande TFSSecurity et Permission, commande.
Nom de l'autorisation |
Nom au niveau de la ligne de commande |
Description |
||
|---|---|---|---|---|
Administrer les modifications réservées |
tf: AdminShelvesets |
Les utilisateurs qui ont cette autorisation peuvent supprimer des jeux de réservations stockés créés par d'autres utilisateurs. |
||
Administrer l'entrepôt |
ADMINISTER_WAREHOUSE |
Les utilisateurs qui ont cette autorisation peuvent modifier les paramètres d'entrepôt en utilisant la méthode Web ChangeSetting du service Web WarehouseController.asmx. Par exemple, vous pourriez permettre aux utilisateurs de définir l'intervalle de mise à jour pour calculer les cubes OLAP. |
||
Administrer les espaces de travail |
tf: AdminWorkspaces |
Les utilisateurs qui ont cette autorisation peuvent créer des espaces de travail pour les autres utilisateurs et supprimer les espaces de travail créés par d'autres utilisateurs. |
||
Créer un espace de travail |
tf: CreateWorkspace |
Les utilisateurs qui ont cette autorisation peuvent créer un espace de travail de contrôle de code source. |
||
Créer de nouveaux projets |
CREATE_PROJECTS |
Les utilisateurs qui ont cette autorisation peuvent créer des projets dans Team Foundation Server. Pour créer avec succès des projets, ces utilisateurs doivent être membres du groupe Administration centrale de SharePoint dans Windows SharePoint Server et disposer des autorisations Gestionnaire de contenu dans SQL Reporting Services. |
||
Modifier les informations au niveau du serveur |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Les utilisateurs qui ont cette autorisation peuvent modifier des autorisations de niveau serveur pour les utilisateurs et les groupes de Team Foundation Server. Ils peuvent ajouter ou supprimer des groupes d'applications de Team Foundation Server de niveau serveur de Team Foundation Server. Lorsqu'elle est définie par le biais des menus, l'autorisation Modifier les informations au niveau du serveur permet également d'autoriser implicitement l'utilisateur à modifier des autorisations de contrôle de code source. Pour accorder toutes les autorisations précitées à partir de la ligne de commande, vous devez utiliser la commande tf.exe Permission pour accorder les autorisations AdminConfiguration et AdminConnections, ainsi que GENERIC_WRITE.
|
||
Modifier les paramètres de la trace |
DIAGNOSTIC_TRACE |
Les utilisateurs qui ont cette autorisation peuvent modifier les paramètres de la trace pour rassembler des informations de diagnostic plus détaillées à propos des services Web de Team Foundation Server. Pour plus d'informations sur le traçage, consultez Paramètres de traçage de Team Foundation Server. |
||
Déclencher des événements |
TRIGGER_EVENT |
Les utilisateurs qui ont cette autorisation peuvent déclencher des événements d'alertes de projet dans Team Foundation Server. Cette autorisation doit uniquement être assignée aux comptes de service. |
||
Gérer le modèle de processus |
MANAGE_TEMPLATE |
Les utilisateurs qui ont cette autorisation peuvent télécharger, créer, modifier et télécharger des modèles de processus dans Team Foundation Server. |
||
Afficher les informations au niveau du serveur |
GENERIC_READ |
Les utilisateurs qui ont cette autorisation peuvent consulter l'appartenance de groupe de niveau serveur et les autorisations de ces utilisateurs. |
||
Afficher les informations de synchronisation système |
SYNCHRONIZE_READ |
Les utilisateurs qui ont cette autorisation peuvent déclencher des événements de synchronisation. Cette autorisation doit uniquement être assignée aux comptes de service. |
Autorisations de niveau projet
Les autorisations de niveau projet sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations dans Team Foundation Server en cliquant avec le bouton droit sur le projet dans Team Explorer, sur Paramètres du projet d'équipe, puis sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.
Nom de l'autorisation |
Nom au niveau de la ligne de commande |
Description |
|---|---|---|
Supprimer ce projet |
DELETE |
Les utilisateurs qui ont cette autorisation peuvent supprimer le projet pour lequel ils ont cette autorisation dans Team Foundation Server. |
Modifier les informations au niveau du projet |
GENERIC_WRITE |
Les utilisateurs qui ont cette autorisation peuvent modifier des autorisations de niveau projet pour les utilisateurs et les groupes de Team Foundation Server. |
Publier les résultats des tests |
PUBLISH_TEST_RESULTS |
Les utilisateurs qui ont cette autorisation peuvent ajouter et supprimer des résultats de tests sur le portail de projet d'équipe et ajouter ou supprimer des séries de tests. |
Afficher les informations au niveau du projet |
GENERIC_READ |
Les utilisateurs qui ont cette autorisation peuvent consulter l'appartenance de groupe de niveau projet et les autorisations de ces utilisateurs de projet. |
Autorisations au niveau de la génération
Les autorisations au niveau de la build sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations dans Team Explorer en cliquant sur Paramètres du projet d'équipe, puis sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.
Nom de l'autorisation |
Nom au niveau de la ligne de commande |
Description |
|---|---|---|
Administrer une build |
ADMINISTER_BUILD |
Les utilisateurs qui ont cette autorisation peuvent supprimer des builds terminées et arrêter les générations actuelles en cours. |
Modifier la qualité de build |
EDIT_BUILD_STATUS |
Les utilisateurs qui ont cette autorisation peuvent ajouter des informations relatives à la qualité du build dans l'interface utilisateur de Team Foundation Build. Ces informations sont stockées dans le magasin de la base de données de Team Foundation Build. |
Commencer une build |
START_BUILD |
Les utilisateurs qui ont cette autorisation peuvent démarrer une génération via l'interface utilisateur de Team Foundation Build ou à partir de la ligne de commande. Cette autorisation est également requise pour configurer une build afin qu'elle soit conservée indéfiniment. |
Écrire dans le magasin opérationnel de la build |
UPDATE_BUILD |
Cette autorisation doit être accordée au compte sous lequel le service de build s'exécute de sorte que le magasin de la base de données de Team Foundation Build puisse être mis à jour. Cette autorisation ne doit être assignée qu'à des comptes de service et non à des utilisateurs individuels. |
Autorisations au niveau de la zone de suivi des éléments de travail
Les autorisations au niveau de la zone sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le projet dans Team Explorer, en cliquant sur Zones et itérations, puis sur l'onglet Zone, en cliquant sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.
| Remarque : |
|---|
Certaines opérations de suivi des éléments de travail requièrent plusieurs autorisations. Par exemple, vous avez besoin de plusieurs autorisations pour supprimer un nœud. |
Nom de l'autorisation |
Nom au niveau de la ligne de commande |
Description |
|---|---|---|
Créer et classer les nœuds enfants |
CREATE_CHILDREN |
Les utilisateurs qui ont cette autorisation peuvent créer des nœuds de zone. Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds de zone enfants. |
Supprimer ce nœud |
DELETE |
Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds de zone et reclasser des éléments de travail existants à partir du nœud supprimé. Les nœuds enfants situés sous le nœud parent supprimé sont également supprimés. |
Modifier ce nœud |
GENERIC_WRITE |
Les utilisateurs qui ont cette autorisation peuvent renommer des nœuds de zone. |
Modifier les éléments de travail dans ce nœud |
WORK_ITEM_WRITE |
Les utilisateurs qui ont cette autorisation peuvent modifier des éléments de travail dans ce nœud de zone. |
Afficher ce nœud |
GENERIC_READ |
Les utilisateurs qui ont cette autorisation peuvent consulter les paramètres de sécurité de ce nœud. |
Afficher les éléments de travail dans ce nœud |
WORK_ITEM_READ |
Les utilisateurs qui ont cette autorisation peuvent afficher les éléments de travail dans ce nœud de zone, mais pas les modifier ou les changer. |
Autorisations au niveau de l'itération de suivi des éléments de travail
Les autorisations de niveau itération sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le projet dans Team Explorer, en cliquant sur Zones et itérations, puis sur l'onglet Itérations, en cliquant sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.
| Remarque : |
|---|
Certaines opérations de suivi des éléments de travail requièrent plusieurs autorisations. Par exemple, vous avez besoin de plusieurs autorisations pour supprimer un nœud. |
Nom de l'autorisation |
Nom au niveau de la ligne de commande |
Description |
|---|---|---|
Créer et classer les nœuds enfants |
CREATE_CHILDREN |
Les utilisateurs qui ont cette autorisation peuvent créer des nœuds d'itération. Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds d'itération enfants. |
Supprimer ce nœud |
DELETE |
Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds d'itération et reclasser des éléments de travail existants à partir du nœud supprimé. Les nœuds enfants situés sous le nœud parent supprimé sont également supprimés. |
Modifier ce nœud |
GENERIC_WRITE |
Les utilisateurs qui ont cette autorisation peuvent renommer des nœuds d'itération. |
Afficher ce nœud |
GENERIC_READ |
Les utilisateurs qui ont cette autorisation peuvent consulter les paramètres de sécurité de ce nœud. |
Autorisations du contrôle de code source
Les autorisations du contrôle de code source sont spécifiques aux fichiers et aux dossiers de code source. Vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le dossier ou le fichier dans l'Explorateur du contrôle de code source, en cliquant sur Propriétés , puis sur l'onglet Sécurité, en sélectionnant l'utilisateur ou le groupe pour lequel vous souhaitez modifier les autorisations et en modifiant les autorisations répertoriées dans Autorisations. Vous pouvez définir ces autorisations à l'aide de l'utilitaire en ligne de commande tf pour le contrôle de code source.
Nom de l'autorisation |
Nom au niveau de la ligne de commande |
Description |
|---|---|---|
Lire |
tf: Read |
Les utilisateurs qui ont cette autorisation peuvent lire le contenu d'un fichier ou d'un dossier. Si un utilisateur dispose d'autorisations Lire sur un dossier, il peut consulter le contenu du dossier et les propriétés des fichiers qu'il contient, même si l'utilisateur ne dispose pas des autorisations permettant d'ouvrir ces fichiers. |
Extraire |
tf: PendChange |
Les utilisateurs qui ont cette autorisation peuvent extraire et apporter une modification en attente aux éléments d'un dossier. Les exemples de modifications en attente incluent l'ajout, l'attribution d'un nouveau nom, la suppression, la restauration, la création de branches et la fusion d'un fichier. |
Archiver |
tf: Checkin |
Les utilisateurs qui ont cette autorisation peuvent archiver des éléments et modifier tout commentaire sur un ensemble de modifications validées. Les modifications en attente sont validées lors de l'archivage. |
Étiqueter |
tf: Label |
Les utilisateurs qui ont cette autorisation peuvent étiqueter des éléments. |
Verrouiller |
tf: Lock |
Les utilisateurs qui ont cette autorisation peuvent verrouiller et déverrouiller des dossiers ou des fichiers. |
Modifier les modifications des autres utilisateurs |
tf: ReviseOther |
Les utilisateurs qui ont cette autorisation peuvent modifier les commentaires des fichiers archivés, même si un autre utilisateur a archivé le fichier. |
Déverrouiller les modifications des autres utilisateurs |
tf: UnlockOther |
Les utilisateurs qui ont cette autorisation peuvent déverrouiller les fichiers verrouillés par d'autres utilisateurs. |
Annuler les modifications des autres utilisateurs |
tf: UndoOther |
Les utilisateurs qui ont cette autorisation peuvent annuler une modification en attente faite par un autre utilisateur. |
Administrer les étiquettes |
tf: LabelOther |
Les utilisateurs qui ont cette autorisation peuvent modifier ou supprimer des étiquettes créées par un autre utilisateur. |
Manipuler les paramètres de sécurité |
tf: AdminProjRights |
Les utilisateurs qui ont cette autorisation peuvent définir des autorisations sur ces fichiers et dossiers. |
Archiver les modifications des autres utilisateurs |
tf: CheckinOther |
Les utilisateurs qui ont cette autorisation peuvent archiver les modifications qui ont été apportées par d'autres utilisateurs. Les modifications en attente seront validées lors de l'archivage. |
Voir aussi
Tâches
Comment : définir les autorisations Administrateur Team Foundation Server
Comment : définir des autorisations de coordinateur de projet Team Foundation Server
Comment : définir des autorisations Contributor Team Foundation Server
Comment : définir des autorisations Reader Team Foundation Server
Concepts
Groupes, autorisations et rôles par défaut de Team Foundation Server
Utilisation d'éléments de travail Team Foundation
Autres ressources
Commandes de l'utilitaire en ligne de commande TFSSecurity
Référence de la ligne de commande du contrôle de version Team Foundation