Compartilhar via


Configurar grupos iniciais, equipes, membros e permissões

Usando o arquivo de plug-in de grupos e permissões, você pode configurar as configurações de segurança inicial para um projeto de equipe. Você pode fazer isso definindo as tarefas que criar grupos de segurança, aninham grupos, definem grupos como equipes, definir configurações de equipe inicial, atribuir membros a grupos e permitem ou negar permissões específicas para cada grupo. Além de realizar essas tarefas, você pode especificar as configurações iniciais de segurança de nível de conjunto, nível de projeto e áreas de classificação de projeto.

Modelos de processo do Microsoft atribuir várias permissões a grupos padrão. Você pode modificar essas atribuições Personalizando o arquivo de plug-in de grupos e permissões. Para obter mais informações sobre esse plug-in, consulte Definir grupos, equipes e permissões usando o plug-in Grupos e Permissões.

Neste tópico

  • Definir e atribuir permissões a grupos

  • Macros de grupo e grupos padrão

  • Aninhar grupos e atribuir membros a grupos

  • Definir uma equipe

  • Atribuir permissões de nível de coleção

  • Atribuir permissões de nível de projeto

  • Atribuir permissões para controlar os caminhos de área

  • Atribuir permissões para controlar os caminhos de iteração

Para obter informações sobre como definir as configurações de segurança iniciais para áreas funcionais do projeto de equipe, tais como Team Foundation Build, Controle de versão do Team Foundation, e Visual Studio Lab Management, consulte Controlar o acesso às áreas funcionais.

Para obter informações sobre como personalizar os tipos de itens de trabalho para permitir ou negar acesso a usuários ou grupos, consulte Aplicar uma regra a um campo do item de trabalho.

Para obter mais informações sobre como administrar usuários e grupos e controlar o acesso para Visual Studio Application Lifecycle Management (ALM), consulte Gerenciar usuários ou grupos no TFS.

Definir e atribuir permissões a grupos

Você pode usar o group e member elementos para especificar um novo título de grupo em Team Foundation Server e adicionar membros a esse grupo. Você pode usar o grupo permission elemento para atribuir permissões a um grupo e a membros desse grupo. Você deve encapsular cada um desses elementos dentro de seus elementos de contêiner correspondente: groups, members, e permissions. Use o seguinte para cada um desses elementos, a estrutura de sintaxe:

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>

A tabela a seguir descreve os atributos para o group, membere o grupo permission elementos. Você pode usar esses elementos somente no arquivo de plug-in grupos e permissões.

Elemento

Atributo

Descrição

group

name

Especifica o nome do grupo que você está criando.

isTeam

Indica se o grupo é uma equipe (true) ou não (false).

description

Descreve a finalidade do grupo para outros usuários.

member

name

Especifica o nome de um grupo que você está adicionando como um membro de outro grupo. Você pode criar grupos e preencher previamente-las com qualquer um dos seguintes tipos de membros:

  • Grupos padrão que são definidos emTeam Foundation Server

  • Grupos de projetos que foram criados anteriormente no arquivo GroupsandPermissions (por exemplo, [$$ PROJECTNAME$ $] \Contributors)

  • Grupos e usuários que são definidos no Active Directory, que você especifica usando o seguinte formato:

    • DOMÍNIO \ NOMEDEUSUÁRIO

    • DOMÍNIO \ NOME_DO_GRUPO

Para obter informações sobre o formato a ser usado quando você especificar grupos padrão, consulte agrupar macros e grupos padrão mais adiante neste tópico.

permission

name

Identifica qual permissão está sendo aplicada. Para obter uma lista das permissões com suporte, consulte as seções a seguir neste tópico:

  • Atribuir permissões de nível de coleção

  • Atribuir permissões de nível de projeto

  • Atribuir permissões para controlar os caminhos de área

  • Atribuir permissões para controlar os caminhos de iteração

class

Identifica a classe ou área, onde é concedida a permissão de grupo. Os seguintes valores são válidos:

  • NAMESPACE: Especifica o nível de conjunto de permissões.

  • PROJECT: Especifica permissões de nível de projeto.

  • CSS_NODE: Especifica permissões para exibir e gerenciar caminhos de área para um projeto de equipe.

  • ITERATION_NODE: Especifica permissões para exibir e gerenciar caminhos de iteração para um projeto de equipe.

allow

Usa um true ou false valor para indicar se a permissão é permitida ou negada.

path

Identifica o nó do caminho de área ou caminho de iteração, qual a permissão está sendo aplicada. Esse atributo é válido somente quando class está definido como CSS_NODE ou ITERATION_NODE.

Macros de grupo e grupos padrão

A tabela a seguir lista as macros que você pode usar para especificar um grupo padrão que é definido em Team Foundation Server.

Dica

Você pode especificar as macros na tabela a seguir no plug-in de grupos e permissões.Quando você atribui permissões usando os plug-ins para compilação, controle de versão ou gerenciamento de laboratório, você não pode especificar essas macros.

Grupos padrão

Macro

Administradores da Coleção de Projetos

\$$PROJECTCOLLECTIONADMINGROUP$$ [SERVIDOR]

\$$TEAMFOUNDATIONADMINGROUP$$ [SERVIDOR]

$$ COLLECTIONADMINGROUP$ $

Contas de Serviço de Coleção de Projetos

\$$PROJECTCOLLECTIONSERVICESGROUP$$ [SERVIDOR]

Contas do Build Service da Coleção do Projeto

\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ [SERVIDOR]

$$ COLLECTIONBUILDSERVICESGROUP$ $

Administradores de Compilação da Coleção do Projeto

\$$PROJECTCOLLECTIONBUILDADMINSGROUP$$ [SERVIDOR]

$$ COLLECTIONBUILDADMINISTRATORSGROUP$ $

Administradores do Projeto

$$ PROJECTADMINGROUP$ $

\$$PROJECTADMINGROUP$$ [$$ PROJECTNAME$ $]

\Builders [$$ PROJECTNAME$ $]

Criador do projeto

$$ CREATOR_OWNER$ $

@creator

Equipe padrão

@defaultTeam

Exemplo: Aninhar grupos e atribuir membros a grupos

O exemplo a seguir mostra como configurar grupos nomeados TestGroup1, TestGroup2 e TestGroup3. Neste exemplo, você pode adicionar TestGroup1 como membro do TestGroup2. Para este código é válida, você deve definir TestGroup1 antes de definir TestGroup2.

<task id="GroupCreation1"> 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

Definir uma equipe

Além de criar grupos, você pode atribuir um grupo como uma equipe. Criar um projeto de equipe também cria uma equipe padrão. Se você tiver várias equipes que desejam organizar seu trabalho separadamente de outras equipes, em seguida, você pode definir essas equipes dentro dos grupos e permissões plug-in, ou você pode configurá-los depois de criar o projeto de equipe. Consulte Adicionar outra equipe ou uma hierarquia de equipes.

O exemplo a seguir mostra como configurar um grupo como uma equipe. Neste exemplo, especifique o grupo, sonho de equipe, como uma equipe e adicione o criador do projeto de equipe como um membro da equipe. Qualquer caminhos de iteração que você especificar para a equipe devem ser definidos no arquivo de plug-in de classificações. Consulte Definir as áreas iniciais e as iterações no plug-in de classificação.

<group name="Dream Team" isTeam="true" description="Next generation work">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
   </permissions>
   <members>
      <member name="@creator"/>
   </members>
   <teamSettings areaPath="Area">
      <iterationPaths backlogPath="Iteration">
         <iterationPath path="Release 1\Sprint 1" />
         <iterationPath path="Release 1\Sprint 2" />
         <iterationPath path="Release 1\Sprint 3" />
         <iterationPath path="Release 1\Sprint 4" />
         <iterationPath path="Release 1\Sprint 5" />
         <iterationPath path="Release 1\Sprint 6" />
      </iterationPaths>
   </teamSettings>
</group>

Atribuir permissões de nível de coleção

Você pode atribuir permissões de nível de coleção usando o grupo permission elemento e a classe NAMESPACE. Essas permissões controlam o acesso a recursos que estão disponíveis em projetos de equipe. Você pode definir permissões em nível de coleção para as seguintes categorias de usuários:

  • Usuários e grupos no nível de coleção, como Administradores da Coleção de Projetos

  • Grupos no nível de projeto que foram adicionados ao nível de coleção em seu servidor que está executando o Team Foundation

  • Grupos personalizados que você cria e adiciona ao nível de coleção

Para o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

Dica

Você pode definir essas permissões clicando com o servidor em Team Explorer e, em seguida, clicando em segurança, abrindo e usando o console de administração do Team Foundation, ou usando o TFSSecurity e tf ferramentas de linha de comando.Para obter mais informações, consulte Collection-Level Groups, Altere grupos e permissões com o TFSSecurity e Permission Command.

O exemplo a seguir mostra como conceder permissões em nível de coleção para os administradores de projeto para um projeto de equipe.

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
       <permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
    </permissions>
</group>

A tabela a seguir descreve as permissões de nível de coleção que você pode atribuir.

Dica

Por padrão, nenhuma permissão de nível de coleção é atribuído nos modelos de processo do MSF.

Permissão

Descrição

DIAGNOSTIC_TRACE

Alterar as configurações de rastreamento. Pode alterar as configurações de rastreamento para coletar informações de diagnóstico mais detalhadas sobre os serviços da Web para Team Foundation Server.

CREATE_PROJECTS

Criar novos projetos. Pode criar projetos na coleção de projeto de equipe.

GENERIC_WRITE

Editar informações de nível de conjunto. Pode editar permissões de nível de coleção para usuários e grupos na coleção de projeto de equipe. Os usuários que têm essa permissão podem executar as seguintes tarefas:

  • Adicionar, remover ou renomear um grupo de aplicativos de nível de coleção da coleção em Team Foundation Server.

    Dica

    Você não pode remover grupos de nível de coleção padrão, como administradores de coleção de projetos.

  • Adicionar ou remover um usuário ou grupo de usuário do Windows ou outro grupo de aplicativos em Team Foundation Server (no nível de servidor).

  • Alterar as permissões de nível de coleção para usuários e grupos.

Além disso, os usuários que têm essa permissão podem modificar as permissões de controle de versão, e eles têm acesso de gravação a todos os arquivos no controle de versão, a menos que o acesso é negado explicitamente por outras permissões.

MANAGE_TEMPLATE

Gerenciar modelos de processo. Pode baixar, criar, editar e carregar modelos de processo para a coleção de projetos de equipe.

MANAGE_TEST_CONTROLLERS

Gerenciar controladores de teste. Pode registrar e cancelar o registro controladores de teste para a coleção de projetos de equipe.

MANAGE_LINK_TYPES

Gerenciar tipos de link de item de trabalho. Pode adicionar, remover e alterar os tipos de links para itens de trabalho.

GENERIC_READ

Exibir informações de nível de conjunto. Pode exibir a associação de grupos de nível de coleção e as permissões desses usuários.

Atribuir permissões de nível de projeto

Você pode atribuir permissões em nível de projeto no arquivo de plug-in grupos e permissões. Atribuir essas permissões usando o grupo permission elemento e a classe do projeto. Essas permissões controlam o acesso aos recursos de um único projeto. Você pode conceder acesso a usuários e grupos do Windows, grupos de Team Foundatione os grupos que você definiu anteriormente no arquivo de plug-in grupos e permissões. Para o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

O exemplo a seguir mostra como conceder várias permissões para o grupo colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões de nível de projeto que você pode atribuir e indica as atribuições padrão que são feitas nos modelos de processo do MSF.

Permissão

Descrição

Leitores

Colaboradores

Administradores de Compilação

GENERIC_READ

Exibir informações de nível de projeto. Pode exibir a associação de grupos de nível de projeto e as permissões dos membros.

marca de seleção marca de seleção marca de seleção

VIEW_TEST_RESULTS

Exibir execuções de teste. Pode exibir planos de teste nesse nó.

marca de seleção marca de seleção marca de seleção

MANAGE_TEST_CONFIGURATIONS

Gerenciar configurações de teste. Pode criar e excluir configurações de teste para o projeto de equipe.

marca de seleção marca de seleção

MANAGE_TEST_ENVIRONMENTS

Gerenciar ambientes de teste. Pode criar e excluir ambientes de teste para o projeto de equipe.

marca de seleção marca de seleção

PUBLISH_TEST_RESULTS

Criar execuções de teste. Adicionar e remover resultados de teste e adicionar ou modificar execuções de teste para o projeto de equipe.

marca de seleção marca de seleção

DELETE_TEST_RESULTS

Excluir execuções de teste. Pode excluir um teste agendado para o projeto de equipe.

marca de seleção marca de seleção

DELETE

Excluir projeto de equipe. Pode excluir da Team Foundation Server o projeto para o qual o usuário tem essa permissão.

GENERIC_WRITE

Editar informações de nível de projeto. Pode editar permissões de nível de projeto para usuários e grupos no Team Foundation Server.

Atribuir permissões para controlar os caminhos de área

Você pode atribuir permissões que controlam o acesso às definições de área usando o grupo permission elemento e a classe CSS_NODE. Essas permissões controlam o acesso à estrutura de classificação de um único projeto. Você pode conceder acesso a usuários e grupos do Windows, grupos de Team Foundatione os grupos que você definiu anteriormente no arquivo de plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

O exemplo a seguir mostra como conceder várias permissões para o grupo colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso à estrutura hierárquica para nós de iteração e área do projeto. A tabela também indica as atribuições padrão que são feitas nos modelos de processo do MSF.

Dica

Algumas operações para acompanhar itens de trabalho exigem várias permissões.Por exemplo, você precisa de várias permissões para excluir um nó.

Permissão

Descrição

Leitores

Colaboradores

Administradores de Compilação

GENERIC_READ

Exibir esse nó. Pode exibir as configurações de segurança para um nó de área.

marca de seleção marca de seleção marca de seleção

WORK_ITEM_READ

Exibir itens de trabalho neste nó. Pode exibir, mas não alterar, itens de trabalho atribuídos a um nó de área.

marca de seleção marca de seleção marca de seleção

WORK_ITEM_WRITE

Editar itens de trabalho neste nó. Pode editar itens de trabalho atribuídos a um nó de área.

marca de seleção marca de seleção

MANAGE_TEST_PLANS

Gerenciar planos de teste. Pode criar e editar planos de teste que são atribuídos a um nó de área. Se os planos de teste não foram executados, você também poderá excluí-los.

marca de seleção marca de seleção

CREATE_CHILDREN

Criar e ordenar nós filho. Pode criar nós de área. Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar qualquer filho nó de área.

DELETE

Excluir este nó. Pode excluir nós de área.

Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de área e reclassificar os itens de trabalho existentes do nó excluído. Se o nó excluído possuir nós filho, esses nós também serão excluídos.

GENERIC_WRITE

Editar este nó. Pode definir permissões e renomear nós de área.

Atribuir permissões para controlar os caminhos de iteração

Atribuir permissões que controlam o acesso aos caminhos de iteração usando o grupo permission elemento e o ITERATION_NODE classe. Essas permissões controlam o acesso a versões de etapas ou iterações para um único projeto. Você pode conceder acesso a usuários e grupos do Windows, grupos de Team Foundatione os grupos que você definiu anteriormente no arquivo de plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

O exemplo a seguir mostra como conceder várias permissões para o grupo colaboradores para um projeto de equipe:

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
      <permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso à estrutura hierárquica para nós de iteração do projeto. Como os modelos de processo do MSF não especificar nenhuma ITERATION_NODE permissões, equipe de todos os membros podem criar, exibir e excluir nós de iteração.

Dica

Algumas operações para acompanhar itens de trabalho exigem várias permissões.Por exemplo, você precisa de várias permissões para excluir um nó.

Permissão

Descrição

GENERIC_READ

Exibir esse nó. Pode exibir as configurações de segurança para um nó.

CREATE_CHILDREN

Criar e ordenar nós filho. Pode criar nós de iteração. Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar em qualquer nó de iteração.

DELETE

Excluir este nó. Pode excluir nós de iteração.

Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de iteração e reclassificar os itens de trabalho existentes do nó excluído. Se o nó excluído possuir nós filho, esses nós também serão excluídos.

GENERIC_WRITE

Editar este nó. Defina permissões para nós de iteração e renomeie os nós.

Consulte também

Conceitos

Definir grupos, equipes e permissões usando o plug-in Grupos e Permissões

Controlar o acesso às áreas funcionais

Gerenciar usuários ou grupos no TFS

Referência de permissões para o Team Foundation Server