Controlar o acesso às áreas funcionais
Você pode definir as configurações de segurança iniciais para as seguintes áreas funcionais para um projeto de equipe: consultas, da equipe Controle de versão do Team Foundation, Team Foundation Build, e Visual Studio Lab Management. Os modelos de processo para o Microsoft Solutions Framework (MSF) atribuir várias permissões a grupos de segurança padrão. Você pode modificar essas atribuições Personalizando o arquivo de plug-in para a área funcional apropriado.
Para obter informações sobre como configurar grupos de segurança para Visual Studio Team Foundation Server, consulte Configurar grupos iniciais, equipes, membros e permissões.
Para obter mais informações sobre como administrar usuários e grupos e controlar o acesso a Visual Studio Application Lifecycle Management (ALM), consulte Gerenciar usuários ou grupos no TFS.
Atribuir permissões a áreas funcionais
Você pode usar a funcional permission elemento para permitir ou negar permissões para áreas funcionais a um grupo de segurança no Team Foundation Server, um grupo do Windows ou uma identidade do Windows. Use este elemento nos arquivos de plug-in de controle de item de trabalho, Controle de versão do Team Foundation, Team Foundation Build, e Lab Management. Você deve encapsular o elemento de permissão do respectivo contêiner correspondente: o permissions elemento. Use a seguinte estrutura de sintaxe para a funcional permission elemento:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
A tabela a seguir descreve os atributos para a funcional permission elemento:
Atributo |
Descrição |
|---|---|
allow |
Identifica as permissões são concedidas. Você pode especificar permissões como texto delimitado por vírgula. Para os nomes das permissões que foram definidas para cada área funcional, consulte as seções a seguir neste tópico:
|
deny |
Identifica as permissões que são revogadas. Você pode especificar permissões como texto delimitado por vírgula. Dica Permissões negadas têm precedência sobre as permissões permitidas. |
identity |
Especifica o grupo de segurança em Team Foundation Server, o grupo do Windows ou a identidade do Windows para o qual as permissões são aplicadas. Para o formato a ser usado quando você especificar grupos, consulte "padrão grupos definidos em Team Foundation Server" em Configurar grupos iniciais, equipes, membros e permissões. |
O exemplo a seguir mostra como conceder permissões para permitir que o colaboradores grupo exibir compilações e definições de compilação e a fila de compilações e editar qualidade da compilação.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
Dica
Durante a execução, se uma permissão não for encontrada uma identidade, a permissão é procurada em outros grupos ao qual pertence a identidade.Se a permissão não for encontrada, a permissão é negada por padrão.
Atribuir permissões para consultas de itens de trabalho
No arquivo de plug-in de itens de trabalho, você pode atribuir permissões que controlam o acesso a pastas de consulta de equipe. Permissões de pasta de consulta são específicas a pastas de consulta e consultas. Você pode conceder acesso a usuários e grupos do Windows ou a grupos padrão definidos para Team Foundation Server.
Atribuir essas permissões usando o funcional permission elemento, como mostra o exemplo a seguir:
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
Dica
Depois que o projeto de equipe é criado, você pode definir permissões clicando em uma pasta de consulta ou de consulta em Team Explorer e, em seguida, clicando em segurança.Para obter mais informações, consulte Definir permissões em consultas.
A tabela a seguir descreve as permissões que controlam o acesso a pastas de consulta e consultas. Ele também indica as atribuições padrão que são feitas nos modelos de processo do MSF. Por padrão, os criadores de proprietários de consultas e pastas de consulta têm controle total do gerenciamento de consultas que criaram ou possuem.
Permissão |
Descrição |
Construtores de leitores, colaboradores, |
Criador proprietários, grupo administrador do projeto, administradores de coleção de projetos |
|---|---|---|---|
Read |
Leitura. Exibir e executar uma consulta ou exibir uma pasta de consulta e seu conteúdo |
.png "marca de seleção"){kind=icon} |
|
Contribute |
Contribuir. Exibir e editar uma consulta ou pasta de consulta e seu conteúdo |
|
|
Delete |
Excluir. Pode exibir, editar e excluir uma consulta ou pasta de consulta e seu conteúdo |
|
|
ManagePermissions |
Gerenciar permissões. Pode gerenciar permissões para uma consulta ou pasta de consulta e seu conteúdo |
|
|
FullControl |
Controle total. Pode exibir, editar, excluir e gerenciar permissões para uma consulta ou pasta de consulta e seu conteúdo |
|
Atribuir permissões de controle de versão
Você pode atribuir permissões que controlam o acesso aos arquivos de código fonte e pastas, alterando o arquivo de plug-in para controle de versão. Permissões de controle de versão são específicas a pastas e arquivos de código fonte. Você pode conceder acesso a usuários e grupos do Windows ou grupos padrão definidos para Team Foundation Server.
Atribuir essas permissões usando o funcional permission elemento, como mostra o exemplo a seguir:
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Dica
Depois que o projeto de equipe é criado, você pode definir essas permissões clicando na pasta ou arquivo em Gerenciador de controle do código-fonte, em propriedadese clicando na segurança guia.Nessa guia, você pode clicar no usuário ou grupo para o qual você deseja alterar permissões e, em seguida, edite as permissões listadas na permissões.Você também pode definir essas permissões usando o tf ferramenta de linha de comando para controle de versão ou o TFSSecurity ferramenta de linha de comando.Para obter mais informações, consulte Referência de permissões para o Team Foundation Server.
A tabela a seguir descreve as permissões que controlam o acesso a pastas e arquivos de código fonte. Ele também indica as atribuições padrão que são feitas nos modelos de processo do MSF.
Permissão |
Descrição |
Leitores |
Colaboradores |
Construtores |
Grupo de administradores do projeto |
|---|---|---|---|---|---|
Read |
Leitura. Pode exibir o conteúdo de um arquivo ou pasta. Se um usuário tiver leitura permissões para uma pasta, mas não os arquivos que ele contém, o usuário pode exibir os nomes e as propriedades desses arquivos, mas o usuário não pode abri-los. |
|
|
|
|
PendChange |
Check-out. Pode check-out e fazer uma alteração pendente em um item. Os exemplos de alterações pendentes incluem adição, edição, renomeação, exclusão, cancelamento de exclusão, ramificação e mesclagem de um arquivo. |
|
|
|
|
Merge |
Mesclar. Pode mesclar alterações no caminho para os quais eles têm permissões. |
|
|
|
|
Checkin |
Fazer check-in. Pode fazer check-in de itens e revisar os comentários do conjunto de alterações confirmadas. Alterações pendentes são confirmadas quando o usuário faz check-in do item. |
|
|
|
|
Label |
Rótulo. Pode rotular itens. |
|
|
|
|
Lock |
Bloqueio. Pode bloquear um item para que outros usuários não é possível atualizá-la. |
|
|
|
|
ReviseOther |
Revisar as alterações de outro usuário. Pode alterar o conteúdo do conjunto de alterações comentários e observações de check-in de outra pessoa. |
|
|||
UnlockOther |
Desbloquear alterações do outro usuário. Pode remover o bloqueio de outra pessoa. |
|
|||
UndoOther |
Desfazer alterações de outro usuário. Desfazer outra pessoa alterações pendentes. |
|
|||
LabelOther |
Administrar rótulos. Pode modificar o rótulo de outra pessoa. |
|
|||
AdminProjectRights |
Gerenciar permissões. Pode definir configurações de segurança para controle de versão. |
|
|||
CheckinOther |
Verificar as alterações de outro usuário. Pode executar um check-in como outro usuário. Essa permissão é necessária para utilitários de conversão. |
|
|||
ManageBranch |
Gerenciar ramificação. Os usuários que têm essa permissão para um determinado caminho podem converter qualquer pasta nesse caminho em uma ramificação. Os usuários que têm permissão para uma ramificação também podem editar suas propriedades, especificar novamente o pai e convertê-lo em uma pasta. Os usuários que têm essa permissão poderão ramificar essa ramificação somente se também possuírem a permissão Mesclar para o caminho de destino. Os usuários não podem criar ramificações de uma ramificação para qual eles não têm a permissão Gerenciar ramificação. |
|
Atribuir permissões para compilação
Você pode atribuir permissões que controlam o acesso para criar atividades alterando o arquivo de plug-in de compilação. Você pode conceder acesso a usuários e grupos do Windows e grupos em Team Foundation Server. Para obter informações sobre o formato a ser usado quando você especificar grupos, consulte "padrão grupos definidos em Team Foundation Server" em Configurar grupos iniciais, equipes, membros e permissões.
Atribuir essas permissões usando o funcional permission elemento, como mostra o exemplo a seguir:
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Dica
Depois que o projeto de equipe é criado, você pode definir essas permissões, abrindo o projeto no Team Explorer, com o botão direito criae, em seguida, clicando em segurança.Você pode aplicar permissões a uma definição de compilação específico clicando com o botão a definição de compilação e, em seguida, clicando em segurança.Se você quiser aplicar permissões a uma pasta de compilação, clique sobre ela e, em seguida, clique em segurança.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity.Para obter mais informações, consulte Referência de permissões para o Team Foundation Server.
A tabela a seguir descreve as permissões que você pode atribuir que controlam o acesso a funções de compilação de um projeto de equipe. A tabela também indica as atribuições padrão que são feitas nos modelos de processo do MSF.
Dica
O substituir validação do check-in pela compilação permissão deve ser atribuída somente às contas de serviço para serviços de compilação e criar administradores responsáveis pela qualidade do código.Para obter mais informações, consulte Check-In alterações pendentes que são controlados por um Check-in Gated construir.
Permissão |
Descrição |
Leitores |
Colaboradores |
Administradores de Compilação |
Administradores do Projeto |
Administradores da Coleção de Projetos |
|---|---|---|---|---|---|---|
ViewBuildDefinition |
Exibição de definição de compilação. Pode exibir as definições de compilação que foram criadas para o projeto de equipe. |
|
|
|
|
|
ViewBuilds |
Exibir compilações. Pode exibir as compilações enfileiradas e concluídas para esse projeto de equipe. |
|
|
|
|
|
EditBuildQuality |
Editar qualidade de compilação. Pode adicionar informações sobre a qualidade da compilação por meio da interface de Team Foundation Build. |
|
|
|
|
|
QueueBuilds |
Fila de compilações. Pode adicionar uma compilação na fila por meio da interface de Team Foundation Build ou em um prompt de comando. |
|
|
|
|
|
DeleteBuildDefinition |
Excluir a definição de compilação. Pode excluir definições de compilação. |
|
|
|
||
DeleteBuilds |
Excluir compilações. Pode excluir uma compilação concluída. |
|
|
|
||
DestroyBuilds |
Destruir compilações. Pode excluir permanentemente uma compilação concluída. |
|
|
|
||
EditBuildDefinition |
Editar definição de compilação. Pode criar e modificar definições de compilação. |
|
|
|
||
ManageBuildQualities |
Gerenciar qualidades de compilação. Pode adicionar ou remover qualidades de compilação como pronto para implantação, rejeitado, ou sob investigação. Para obter mais informações, consulte Adicionar ou remover valores de qualidade de compilação. |
|
|
|
||
ManageBuildQueue |
Gerenciar a fila de compilação. Pode cancelar, priorizar novamente ou adiar compilações enfileiradas. |
|
|
|
||
RetainIndefinitely |
Reter indefinidamente. Pode marcar uma compilação para que ele não serão automaticamente excluído por qualquer política de retenção aplicável. |
|
|
|
||
StopBuilds |
Interromper compilações. Pode parar uma compilação em andamento. |
|
|
|
||
OverrideBuildCheckInValidation |
Substituir validação do check-in pela compilação. Um conjunto de alterações que afeta uma definição de compilação sem acionar o sistema para check-in particular e compilar as alterações pela primeira vez pode ser confirmada. Para obter mais informações, consulte Check-In alterações pendentes que são controlados por um Check-in Gated construir. |
|
||||
UpdateBuildInformation |
Atualizar informações de compilação. Pode adicionar informações sobre a qualidade de uma compilação. Essa permissão deve ser atribuída somente a contas de serviço. |
Atribuir permissões do Lab Management
Você pode controlar o acesso às atividades no Lab Management alterando o arquivo de plug-in do laboratório. Permissões para Lab Management são específicos para máquinas virtuais, ambientes e outros recursos. Você pode conceder acesso a usuários e grupos do Windows e grupos em Team Foundation Server. Atribuir essas permissões usando o funcional permission elemento, como mostra o exemplo a seguir:
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Dica
Você pode definir permissões para Lab Management usando o TFSLabConfig ferramenta de linha de comando.Para exibir informações sobre um recurso específico do laboratório, você deve ter o leitura permissão para esse recurso.Para excluir um local, você deve ter o excluir locais de laboratório permissão para esse local. Para obter mais informações, consulte Comando de permissões TFSLabConfig.
A tabela a seguir descreve as permissões que você pode atribuir a controlar o acesso a Visual Studio Lab Management. A tabela também indica as atribuições padrão que são feitas nos modelos de processo do MSF.
Permissão |
Descrição |
Leitores |
Colaboradores |
Grupo de contas de serviço de compilação de coleção de projetos |
Grupo de administradores do projeto de equipe |
Grupo de administradores de coleção de projeto |
|---|---|---|---|---|---|---|
Read |
Exibir recursos de laboratório. Pode exibir informações para os vários recursos para Lab Management, que incluem grupos de hosts de coleção, grupos de hosts do projeto e ambientes. |
|
|
|
|
|
Create |
Importe a máquina virtual. Pode importar uma máquina virtual de um compartilhamento de biblioteca do Virtual Machine Manager (VMM). Essa permissão é diferente de gravação porque os usuários podem criar um objeto no Lab Management , mas não gravar nada para o compartilhamento de biblioteca ou de grupo de host do VMM. |
|
|
|
||
Write |
Gravar as máquinas virtuais e ambiente. Pode criar ambientes. Os usuários que têm permissão para um compartilhamento de biblioteca do projeto podem armazenar ambientes e máquinas virtuais. |
|
|
|
|
|
Edit |
Editar as máquinas virtuais e ambiente. Podem editar ambientes e máquinas virtuais. A permissão é verificada para o objeto que está sendo editado. |
|
|
|
|
|
Start |
Iniciar. Pode iniciar um ambiente. |
|
|
|
|
|
Stop |
Parar. Pode parar um ambiente. |
|
|
|
|
|
Pause |
Pausar. Pode pausar um ambiente. |
|
|
|
||
ManageSnapshots |
Gerenciar instantâneos. Pode executar todas as tarefas de gerenciamento de snapshot, que incluem tirar um instantâneo, reverter para um instantâneo, renomear um instantâneo, excluir um instantâneo e um instantâneo de leitura. |
|
|
|
|
|
Delete |
Excluir ambientes e máquinas virtuais. Pode excluir ambientes e máquinas virtuais. A permissão é verificada para o objeto que está sendo excluído. |
|
|
|||
ManageLocation |
Gerenciar locais de laboratório. Pode editar os locais de recursos para Lab Management, que incluem grupos de hosts de coleção, projetos de biblioteca de coleção, grupos de hosts do projeto e compartilhamentos de biblioteca do projeto. Essa permissão para locais de nível de coleção (grupos de hosts de coleção e compartilhamentos de biblioteca de coleção) também permite que um usuário crie locais de nível de projeto (grupos de hosts do projeto e compartilhamentos de biblioteca do projeto). |
|
|
|||
DeleteLocation |
Excluir locais de laboratório. Pode excluir os locais de recursos para Lab Management, que incluem grupos de hosts de coleção, compartilhamentos de coletas de biblioteca, grupos de hosts do projeto e compartilhamentos de biblioteca do projeto. |
|
|
|||
ManageChildPermissions |
Gerenciar permissões filho. Pode alterar as permissões de todos os objetos filho de Lab Management. Por exemplo, se um usuário tiver permissão para um grupo de hosts de projeto de equipe, que o usuário pode alterar permissões para todos os ambientes em grupo. |
|
|
|||
ManagePermissions |
Gerenciar permissões. Pode modificar as permissões para um objeto de Lab Management. Essa permissão é verificada para o objeto cujas permissões estão sendo modificadas. |
|
||||
EnvironmentOps |
Operações de ambiente. Pode iniciar, parar, pausar e gerenciar instantâneos, além de realizar outras operações em um ambiente. |