Udostępnij za pośrednictwem


Konfigurowanie grup początkowych, zespołów, członków i uprawnień

Przy użyciu pliku dodatku plug-in dla grup i uprawnień, można skonfigurować ustawienia zabezpieczeń początkowego dla projektów zespołowych.Można to zrobić, definiując zadania tworzenia grup zabezpieczeń, zagnieżdżania grup, definiowanie grup jako zespoły, skonfiguruj ustawienia początkowego zespołu, przypisywać elementy członkowskie grup i udzielić lub odmówić uprawnień określonych dla każdej grupy.Oprócz wykonywania tych zadań, można określić ustawienia zabezpieczeń początkowego dla kolekcji na poziomie, na poziomie projektu i obszary klasyfikacji projektu.

Szablony procesów Microsoft przypisywać uprawnienia kilka grup domyślnych.Dostosowywanie pliku dodatku plug-in dla grup i uprawnień można modyfikować tych przydziałów.Aby uzyskać więcej informacji na ten temat dodatków plug-in, zobacz Definiowanie grup, zespołów i uprawnień przy użyciu wtyczki grup i uprawnień.

W tym temacie:

  • Zdefiniować i przypisywać uprawnienia do grup

  • Grupa makra i domyślne grupy

  • Zagnieżdżania grup i przypisać członków do grupy

  • Zdefiniuj zespołu

  • Przypisz kolekcji poziom uprawnień

  • Przypisz uprawnień na poziomie projektu

  • Przypisywać uprawnienia do kontrolowania obszaru ścieżki

  • Przypisywać uprawnienia do kontrolowania ścieżki iteracji

Aby uzyskać informacje o konfigurowaniu ustawień zabezpieczeń początkowego dla obszarów funkcjonalnych projektu zespołowego, takich jak Team Foundation Build, Kontrola wersji programu Team Foundation, i Visual Studio Lab Management, zobacz Kontrola dostępu do obszarów funkcjonalnych.

Aby uzyskać informacje o dostosowywaniu typy elementów roboczych, aby udzielić lub odmówić dostępu do grupy lub użytkowników, zobacz Zastosowanie reguły do pola elementu roboczego.

Aby uzyskać więcej informacji na temat sposobu administrowania użytkowników i grup i kontroli dostępu dla Visual Studio Application Lifecycle Management (ALM), zobacz Zarządzanie użytkownikami lub grupami na serwerze TFS.

Zdefiniować i przypisywać uprawnienia do grup

Można użyć group i member elementy, aby określić zabezpieczenia nowej grupy w Team Foundation Server i dodać członków do tej grupy.Można użyć grupy permission elementu do przypisywania uprawnień do grupy i do członków tej grupy.Należy Hermetyzowanie przy każdej z tych elementów w ramach ich odpowiednich elementów kontenera: groups, members, i permissions.Użyj następujących składni struktury dla każdego z tych elementów:

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>

W poniższej tabeli przedstawiono atrybuty dla group, member, a grupą permission elementów.Tylko wtedy, gdy grupy i uprawnienia pliku dodatku plug-in za pomocą tych elementów.

Element

Atrybut

Opis

group

name

Określa nazwę grupy, które tworzysz.

isTeam

Wskazuje, czy grupa jest zespołu (true) lub nie (false).

description

Opisuje cel dla grupy dla innych użytkowników.

member

name

Określa nazwę grupy, która jest dodawany jako należących do innej grupy.Można utworzyć grupy i wstępnie wypełnić je z jednym z następujących typów elementów członkowskich:

  • Domyślnymi grupami, które są zdefiniowane wTeam Foundation Server

  • Grup projektów, które zostały wcześniej utworzone w pliku groupsandpermissions.xml (na przykład \Contributors [$NAZWAPROJEKTU$ $])

  • Grup i użytkowników, którzy są zdefiniowane w usłudze Active Directory, która przy użyciu następującego formatu:

    • DOMENA

    • DOMAIN\GROUPNAME

Informacje dotyczące formatu do użycia podczas określania domyślnymi grupami, zobacz grupować makra i grupy domyślne poniżej w tym temacie.

permission

name

Umożliwia określenie, które uprawnienia są stosowane.Aby uzyskać listę obsługiwanych uprawnień zobacz następujące sekcje dalej w tym temacie:

  • Przypisz kolekcji poziom uprawnień

  • Przypisz uprawnień na poziomie projektu

  • Przypisywać uprawnienia do kontrolowania obszaru ścieżki

  • Przypisywać uprawnienia do kontrolowania ścieżki iteracji

class

Identyfikuje klasy lub obszaru, której przyznano uprawnienia grupy.Następujące wartości są prawidłowe:

  • NAMESPACE: Określa uprawnienia na poziomie kolekcji.

  • PROJECT: Określa uprawnienia na poziomie projektu.

  • CSS_NODE: Określa uprawnienia do wyświetlania i zarządzania nimi ścieżek obszaru dla projektów zespołowych.

  • ITERATION_NODE: Określa uprawnienia do wyświetlania i zarządzania nimi ścieżki iteracji dla projektów zespołowych.

allow

Używa true lub false wartości wskazującej, czy uprawnienia jest dozwolone lub nie.

path

Identyfikuje węzeł ścieżkę obszaru lub ścieżkę iteracji, gdzie są stosowane uprawnienia.Ten atrybut jest prawidłowy tylko wtedy, gdy class jest ustawiony na CSS_NODE lub ITERATION_NODE.

Grupa makra i domyślne grupy

W poniższej tabeli przedstawiono makra, które służy do określania domyślnej grupy zdefiniowany w Team Foundation Server.

[!UWAGA]

Można określić makra w poniższej tabeli tylko wtedy, gdy dodatek do grup i uprawnienia.Nie można określić te makra, przypisując uprawnienia za pomocą dodatków plug-in kompilacji, kontroli wersji i zarządzania laboratorium.

Domyślne grupy

Makra

Administratorzy kolekcji projektów

\$$PROJECTCOLLECTIONADMINGROUP$$ [SERWER]

\$$TEAMFOUNDATIONADMINGROUP$$ [SERWER]

$COLLECTIONADMINGROUP$

Konta usług kolekcji projektów

\$$PROJECTCOLLECTIONSERVICESGROUP$$ [SERWER]

Konta usług kompilacji kolekcji projektów

\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ [SERWER]

$COLLECTIONBUILDSERVICESGROUP$

Administratorzy kompilacji kolekcji projektów

\$$PROJECTCOLLECTIONBUILDADMINSGROUP$$ [SERWER]

$COLLECTIONBUILDADMINISTRATORSGROUP$

Administratorzy projektu

$PROJECTADMINGROUP$

\$$PROJECTADMINGROUP$$ [NAZWAPROJEKTU$ $]

\Builders [NAZWAPROJEKTU$ $]

Twórca projektu

$CREATOR_OWNER$

@creator

Zespół domyślny

@defaultTeam

Przykład: Zagnieżdżania grup i przypisać członków do grupy

Poniższy przykład przedstawia sposób konfigurowania grup, które są nazywane TestGroup1, TestGroup2 i TestGroup3.W tym przykładzie możesz dodać jako członek TestGroup2 TestGroup1.Dla tego kodu jest nieprawidłowe należy zdefiniować TestGroup1 przed zdefiniowaniem TestGroup2.

<task id="GroupCreation1"> 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

Zdefiniuj zespołu

Oprócz tworzenia grup, można przypisać grupy jako zespół.Tworzenie projektu zespołowego tworzy również zespół domyślny.Jeśli masz klika zespołów, które chcesz uporządkować ich pracy, niezależnie od innych zespołów, a następnie należy wykonać jedną z następujących zdefiniować zespoły w ramach grup i uprawnienia pliku dodatku plug-in, lub je skonfigurować po utworzeniu projektu zespołowego.Zobacz Dodawanie innego zespołu lub hierarchii zespołów.

Poniższy przykład przedstawia sposób konfigurowania grupy jako zespół.W tym przykładzie Określ grupę, zespół marzenie zespół i dodać Twórca projektu zespołowego jako członek zespołu.Niezależnie od ścieżki iteracji, które należy określić dla zespołu muszą być zdefiniowane w pliku dodatku plug-in klasyfikacji.Zobacz Definiowanie obszarów początkowych i iteracji we wtyczce klasyfikacji.

<group name="Dream Team" isTeam="true" description="Next generation work">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
   </permissions>
   <members>
      <member name="@creator"/>
   </members>
   <teamSettings areaPath="Area">
      <iterationPaths backlogPath="Iteration">
         <iterationPath path="Release 1\Sprint 1" />
         <iterationPath path="Release 1\Sprint 2" />
         <iterationPath path="Release 1\Sprint 3" />
         <iterationPath path="Release 1\Sprint 4" />
         <iterationPath path="Release 1\Sprint 5" />
         <iterationPath path="Release 1\Sprint 6" />
      </iterationPaths>
   </teamSettings>
</group>

Przypisz kolekcji poziom uprawnień

Przy użyciu grupy można przypisywać uprawnienia na poziomie kolekcji permission elementu i klasa przestrzeni nazw.Tych uprawnień kontroli dostępu do zasobów, które są dostępne dla projektów zespołowych.Można ustawić uprawnień na poziomie kolekcji dla następujących kategorii użytkowników:

  • Użytkownicy i grupy na poziomie kolekcji, tacy jak Administratorzy kolekcji projektów

  • Grupy na poziomie projektu, które dodano na poziomie kolekcji na serwerze z programem Team Foundation

  • Grupy niestandardowe, które tworzysz i dodajesz na poziomie kolekcji

Dla formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

[!UWAGA]

Uprawnienia można ustawić, klikając prawym przyciskiem myszy serwer w Team Explorer , a następnie klikając polecenie zabezpieczeń, otwierając okno i za pomocą konsoli administracyjnej dla Team Foundation, lub za pomocą TFSSecurity i tf narzędzia wiersza polecenia.Aby uzyskać więcej informacji, zobacz Collection-Level Groups, Zmiana grup i uprawnień przy użyciu narzędzia TFSSecurity i Permission Command.

Poniższy przykład przedstawia sposób udzielić uprawnień na poziomie kolekcji do administratorów projektów dla projektów zespołowych.

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
       <permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
    </permissions>
</group>

W poniższej tabeli opisano uprawnienia poziomie zbioru, które można przypisać.

[!UWAGA]

Domyślnie brak uprawnień na poziomie kolekcji są przypisywane w Opracowywanie szablony procesów.

Uprawnienie

Opis

DIAGNOSTIC_TRACE

Zmienia ustawienia śledzenia.Można zmienić ustawienia śledzenia do zbierania bardziej szczegółowe informacje diagnostyczne dotyczące usług sieci Web dla Team Foundation Server.

CREATE_PROJECTS

Tworzyć nowe projekty.Można tworzyć projektów w kolekcji projektów zespołowych.

GENERIC_WRITE

Edytuj informacje o poziomie zbioru.Można edytować kolekcji poziom uprawnień dla użytkowników i grup w kolekcji projektów zespołowych.Użytkownicy, którzy mają to uprawnienie można wykonać następujące zadania:

  • Dodawanie, usuwanie lub zmienianie nazwy grupy aplikacji na poziomie kolekcji z kolekcji w Team Foundation Server.

    [!UWAGA]

    Nie można usunąć grupy poziomie zbioru domyślne, takich jak administratorów kolekcji projektów.

  • Dodawanie lub usuwanie użytkownika lub grupy użytkowników systemu Windows lub inną grupę aplikacji w Team Foundation Server (na poziomie serwera).

  • Zmiana uprawnień na poziomie kolekcji dla użytkowników i grup.

Ponadto użytkownicy, którzy mają to uprawnienie można modyfikować uprawnienia do kontroli wersji i mają dostęp do zapisu do wszystkich plików w kontroli wersji, chyba że wyraźnie odmowa dostępu ich przez inne uprawnienia.

MANAGE_TEMPLATE

Szablony procesów zarządzania.Można pobrać, Utwórz, Edytuj i przekaż szablony procesów do kolekcji projektów zespołowych.

MANAGE_TEST_CONTROLLERS

Zarządzanie kontrolerami testu.Można zarejestrować i Cofnij zarejestrować kontrolerów testów dla kolekcji projektów zespołowych.

MANAGE_LINK_TYPES

Typy łączy elementu roboczego zarządzania.Można dodać, usunąć i zmienić typy łączy, aby pozycje robocze.

GENERIC_READ

Wyświetl informacje o poziomie zbioru.Mogą wyświetlać członkostwa na poziomie kolekcji grup i uprawnień tych użytkowników.

Przypisz uprawnień na poziomie projektu

Można przypisywać uprawnienia na poziomie projektu w pliku dodatku plug-in grup i uprawnień.Przypisz tych uprawnień przy użyciu grupy permission elementu i klasa projektu.Te uprawnienia kontroli dostępu do zasobów tego pojedynczego projektu.Można przyznać dostęp do użytkowników i grupy w systemie Windows, grup w Team Foundationi grup, które wcześniej zdefiniowane w pliku dodatku plug-in grup i uprawnień.Dla formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

Poniższy przykład przedstawia sposób nadaj uprawnienia kilka grupy współpracowników dla projektów zespołowych.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

W poniższej tabeli opisano uprawnienia na poziomie projektu, które można przypisać i wskazuje przydziały domyślne, które zostały wprowadzone w Opracowywanie szablony procesów.

Uprawnienie

Opis

Czytelnicy

Współautorzy

Administratorzy kompilacji

GENERIC_READ

Wyświetl informacje dotyczące projektu.Wyświetlić członkostwo grup na poziomie projektu i uprawnienia tych elementów.

Znacznik wyboru Znacznik wyboru Znacznik wyboru

VIEW_TEST_RESULTS

Wyświetl przebiegi testów.Można wyświetlić planów testów w tym węźle.

Znacznik wyboru Znacznik wyboru Znacznik wyboru

MANAGE_TEST_CONFIGURATIONS

Zarządzaj konfiguracji testów.Można tworzyć i usuwać konfiguracji testów dla projektu zespołowego.

Znacznik wyboru Znacznik wyboru

MANAGE_TEST_ENVIRONMENTS

Zarządzanie środowiskami testu.Można utworzyć i usunąć testowych środowisk dla projektu zespołowego.

Znacznik wyboru Znacznik wyboru

PUBLISH_TEST_RESULTS

Tworzenie testów.Można dodawać i Usuń wyniki testów i dodać lub zmodyfikować przebiegi testów dla projektu zespołowego.

Znacznik wyboru Znacznik wyboru

DELETE_TEST_RESULTS

Usuń przebiegi testów.Czy usunąć test zaplanowane dla projektu zespołowego.

Znacznik wyboru Znacznik wyboru

DELETE

Usuń projektu zespołowego.Czy usunąć z Team Foundation Server projektu, dla którego użytkownik ma uprawnienie to.

GENERIC_WRITE

Edytuj informacje o poziomie projektu.Można edytować uprawnień na poziomie projektu dla użytkowników i grup w Team Foundation Server.

Przypisywać uprawnienia do kontrolowania obszaru ścieżki

Można przypisywać uprawnienia, które kontrolują dostęp do definicji obszaru przy użyciu grupy permission elementu i klasy CSS_NODE.Te uprawnienia kontroli dostępu do tego pojedynczego projektu struktury klasyfikacji.Można przyznać dostęp do użytkowników i grupy w systemie Windows, grup w Team Foundationi grup, które wcześniej zdefiniowane w pliku dodatku plug-in grup i uprawnień.Informacje dotyczące formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

Poniższy przykład przedstawia sposób nadaj uprawnienia kilka grupy współpracowników dla projektów zespołowych.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

W poniższej tabeli opisano uprawnienia, które można przypisać do kontroli dostępu do struktury hierarchiczne do obszaru projektu i węzłów iteracji.Tabela wskazuje także przydziały domyślne, które zostały wprowadzone w Opracowywanie szablony procesów.

[!UWAGA]

Niektóre operacje do śledzenia elementów roboczych wymagają wiele uprawnień.Jest to na przykład konieczne w celu usunięcia węzła.

Uprawnienie

Opis

Czytelnicy

Współautorzy

Administratorzy kompilacji

GENERIC_READ

Wyświetl ten węzeł.Wyświetlić ustawienia zabezpieczeń dla węzła obszaru.

Znacznik wyboru Znacznik wyboru Znacznik wyboru

WORK_ITEM_READ

Wyświetl elementy robocze w tym węźle.Można wyświetlać, ale nie jest to zmienić, elementów pracy, które są przypisane do węzła obszaru.

Znacznik wyboru Znacznik wyboru Znacznik wyboru

WORK_ITEM_WRITE

Edytuj elementy robocze w tym węźle.Można edytować elementów pracy, które są przypisane do węzła obszaru.

Znacznik wyboru Znacznik wyboru

MANAGE_TEST_PLANS

Zarządzanie planami testów.Można tworzyć i edytować plany testów, przypisanych do węzła obszaru.Jeśli plany testów nie były nigdy egzekwowane, można je również usunąć.

Znacznik wyboru Znacznik wyboru

CREATE_CHILDREN

Tworzenie i zmianę kolejności węzłów podrzędnych.Można utworzyć obszar węzłów.Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie można przenieść lub zmienić kolejność dowolnego podrzędnego węzła obszaru.

DELETE

Usuń ten węzeł.Można usuwać węzłów obszaru.

Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie do innego węzła można usunąć węzły obszaru i Podziel istniejące elementy pracy z węzła usuniętych.Jeśli usunięty węzeł ma węzły podrzędne, one także zostaną usunięte.

GENERIC_WRITE

Edytuj ten węzeł.Można ustawić zabezpieczenia i zmienić węzłów obszaru.

Przypisywać uprawnienia do kontrolowania ścieżki iteracji

Przypisz uprawnienia, które kontrolują dostęp do ścieżki iteracji przy użyciu grupy permission elementu i ITERATION_NODE klasy.Te uprawnienia kontroli dostępu do punktu kontrolnego wersje lub iteracji dla pojedynczego projektu.Można przyznać dostęp do użytkowników i grupy w systemie Windows, grup w Team Foundationi grup, które wcześniej zdefiniowane w pliku dodatku plug-in grup i uprawnień.Informacje dotyczące formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

Poniższy przykład przedstawia sposób przyznania kilku uprawnień do grupy współpracowników dla projektów zespołowych:

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
      <permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
   </permissions>
</group>

W poniższej tabeli opisano uprawnienia, które można przypisać do kontroli dostępu do struktury hierarchiczne węzłów iteracji projektu.Ponieważ szablony procesów Opracowywanie nie określono żadnego ITERATION_NODE uprawnienia, zespołu wszystkich elementów członkowskich można tworzyć, wyświetlać i usuń węzły iteracji.

[!UWAGA]

Niektóre operacje do śledzenia elementów roboczych wymagają wiele uprawnień.Jest to na przykład konieczne w celu usunięcia węzła.

Uprawnienie

Opis

GENERIC_READ

Wyświetl ten węzeł.Wyświetlić ustawienia zabezpieczeń dla węzła.

CREATE_CHILDREN

Tworzenie i zmianę kolejności węzłów podrzędnych.Można utworzyć węzłów iteracji.Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie można przenieść lub zmienić kolejność dowolny węzeł iteracji.

DELETE

Usuń ten węzeł.Można usuwać węzłów iteracji.

Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie do innego węzła można usunąć węzły iteracji i Podziel istniejące elementy pracy z węzła usuniętych.Jeśli usunięty węzeł ma węzły podrzędne, one także zostaną usunięte.

GENERIC_WRITE

Edytuj ten węzeł.Można ustawić uprawnień dla węzłów iteracji i Zmień nazwę węzłów.

Zobacz też

Koncepcje

Definiowanie grup, zespołów i uprawnień przy użyciu wtyczki grup i uprawnień

Kontrola dostępu do obszarów funkcjonalnych

Zarządzanie użytkownikami lub grupami na serwerze TFS

Uprawnienia serwera programu Team Foundation Server