Configurar grupos iniciais, equipes, membros e permissões

Artigo
06/09/2015

Usando o arquivo de plug-in de grupos e permissões, você pode configurar as configurações de segurança inicial para um projeto de equipe. Você pode fazer isso definindo as tarefas que criar grupos de segurança, aninham grupos, definem grupos como equipes, definir configurações de equipe inicial, atribuir membros a grupos e permitem ou negar permissões específicas para cada grupo. Além de realizar essas tarefas, você pode especificar as configurações iniciais de segurança de nível de conjunto, nível de projeto e áreas de classificação de projeto.

Modelos de processo do Microsoft atribuir várias permissões a grupos padrão. Você pode modificar essas atribuições Personalizando o arquivo de plug-in de grupos e permissões. Para obter mais informações sobre esse plug-in, consulte Definir grupos, equipes e permissões usando o plug-in Grupos e Permissões.

Neste tópico

Definir e atribuir permissões a grupos
Macros de grupo e grupos padrão
Aninhar grupos e atribuir membros a grupos
Definir uma equipe
Atribuir permissões de nível de coleção
Atribuir permissões de nível de projeto
Atribuir permissões para controlar os caminhos de área
Atribuir permissões para controlar os caminhos de iteração

Para obter informações sobre como definir as configurações de segurança iniciais para áreas funcionais do projeto de equipe, tais como Team Foundation Build, Controle de versão do Team Foundation, e Visual Studio Lab Management, consulte Controlar o acesso às áreas funcionais.

Para obter informações sobre como personalizar os tipos de itens de trabalho para permitir ou negar acesso a usuários ou grupos, consulte Aplicar uma regra a um campo do item de trabalho.

Para obter mais informações sobre como administrar usuários e grupos e controlar o acesso para Visual Studio Application Lifecycle Management (ALM), consulte Gerenciar usuários ou grupos no TFS.

Definir e atribuir permissões a grupos

Você pode usar o group e member elementos para especificar um novo título de grupo em Team Foundation Server e adicionar membros a esse grupo. Você pode usar o grupo permission elemento para atribuir permissões a um grupo e a membros desse grupo. Você deve encapsular cada um desses elementos dentro de seus elementos de contêiner correspondente: groups, members, e permissions. Use o seguinte para cada um desses elementos, a estrutura de sintaxe:

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>

A tabela a seguir descreve os atributos para o group, membere o grupo permission elementos. Você pode usar esses elementos somente no arquivo de plug-in grupos e permissões.

Elemento	Atributo	Descrição
group	name	Especifica o nome do grupo que você está criando.
	isTeam	Indica se o grupo é uma equipe (true) ou não (false).
	description	Descreve a finalidade do grupo para outros usuários.
member	name	Especifica o nome de um grupo que você está adicionando como um membro de outro grupo. Você pode criar grupos e preencher previamente-las com qualquer um dos seguintes tipos de membros: Grupos padrão que são definidos emTeam Foundation Server Grupos de projetos que foram criados anteriormente no arquivo GroupsandPermissions (por exemplo, [$$ PROJECTNAME$ $] \Contributors) Grupos e usuários que são definidos no Active Directory, que você especifica usando o seguinte formato: DOMÍNIO \ NOMEDEUSUÁRIO DOMÍNIO \ NOME_DO_GRUPO Para obter informações sobre o formato a ser usado quando você especificar grupos padrão, consulte agrupar macros e grupos padrão mais adiante neste tópico.
permission	name	Identifica qual permissão está sendo aplicada. Para obter uma lista das permissões com suporte, consulte as seções a seguir neste tópico: Atribuir permissões de nível de coleção Atribuir permissões de nível de projeto Atribuir permissões para controlar os caminhos de área Atribuir permissões para controlar os caminhos de iteração
	class	Identifica a classe ou área, onde é concedida a permissão de grupo. Os seguintes valores são válidos: NAMESPACE: Especifica o nível de conjunto de permissões. PROJECT: Especifica permissões de nível de projeto. CSS_NODE: Especifica permissões para exibir e gerenciar caminhos de área para um projeto de equipe. ITERATION_NODE: Especifica permissões para exibir e gerenciar caminhos de iteração para um projeto de equipe.
	allow	Usa um true ou false valor para indicar se a permissão é permitida ou negada.
	path	Identifica o nó do caminho de área ou caminho de iteração, qual a permissão está sendo aplicada. Esse atributo é válido somente quando class está definido como CSS_NODE ou ITERATION_NODE.

Macros de grupo e grupos padrão

A tabela a seguir lista as macros que você pode usar para especificar um grupo padrão que é definido em Team Foundation Server.

Dica

Você pode especificar as macros na tabela a seguir no plug-in de grupos e permissões.Quando você atribui permissões usando os plug-ins para compilação, controle de versão ou gerenciamento de laboratório, você não pode especificar essas macros.

Grupos padrão	Macro
Administradores da Coleção de Projetos	\$$PROJECTCOLLECTIONADMINGROUP$$ [SERVIDOR] \$$TEAMFOUNDATIONADMINGROUP$$ [SERVIDOR] $$ COLLECTIONADMINGROUP$ $
Contas de Serviço de Coleção de Projetos	\$$PROJECTCOLLECTIONSERVICESGROUP$$ [SERVIDOR]
Contas do Build Service da Coleção do Projeto	\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ [SERVIDOR] $$ COLLECTIONBUILDSERVICESGROUP$ $
Administradores de Compilação da Coleção do Projeto	\$$PROJECTCOLLECTIONBUILDADMINSGROUP$$ [SERVIDOR] $$ COLLECTIONBUILDADMINISTRATORSGROUP$ $
Administradores do Projeto	$$ PROJECTADMINGROUP$ $ \$$PROJECTADMINGROUP$$ [$$ PROJECTNAME$ $] \Builders [$$ PROJECTNAME$ $]
Criador do projeto	$$ CREATOR_OWNER$ $ @creator
Equipe padrão	@defaultTeam

Exemplo: Aninhar grupos e atribuir membros a grupos

O exemplo a seguir mostra como configurar grupos nomeados TestGroup1, TestGroup2 e TestGroup3. Neste exemplo, você pode adicionar TestGroup1 como membro do TestGroup2. Para este código é válida, você deve definir TestGroup1 antes de definir TestGroup2.

<task id="GroupCreation1"> 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

Definir uma equipe

Além de criar grupos, você pode atribuir um grupo como uma equipe. Criar um projeto de equipe também cria uma equipe padrão. Se você tiver várias equipes que desejam organizar seu trabalho separadamente de outras equipes, em seguida, você pode definir essas equipes dentro dos grupos e permissões plug-in, ou você pode configurá-los depois de criar o projeto de equipe. Consulte Adicionar outra equipe ou uma hierarquia de equipes.

O exemplo a seguir mostra como configurar um grupo como uma equipe. Neste exemplo, especifique o grupo, sonho de equipe, como uma equipe e adicione o criador do projeto de equipe como um membro da equipe. Qualquer caminhos de iteração que você especificar para a equipe devem ser definidos no arquivo de plug-in de classificações. Consulte Definir as áreas iniciais e as iterações no plug-in de classificação.

<group name="Dream Team" isTeam="true" description="Next generation work">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
   </permissions>
   <members>
      <member name="@creator"/>
   </members>
   <teamSettings areaPath="Area">
      <iterationPaths backlogPath="Iteration">
         <iterationPath path="Release 1\Sprint 1" />
         <iterationPath path="Release 1\Sprint 2" />
         <iterationPath path="Release 1\Sprint 3" />
         <iterationPath path="Release 1\Sprint 4" />
         <iterationPath path="Release 1\Sprint 5" />
         <iterationPath path="Release 1\Sprint 6" />
      </iterationPaths>
   </teamSettings>
</group>

Atribuir permissões de nível de coleção

Você pode atribuir permissões de nível de coleção usando o grupo permission elemento e a classe NAMESPACE. Essas permissões controlam o acesso a recursos que estão disponíveis em projetos de equipe. Você pode definir permissões em nível de coleção para as seguintes categorias de usuários:

Usuários e grupos no nível de coleção, como Administradores da Coleção de Projetos
Grupos no nível de projeto que foram adicionados ao nível de coleção em seu servidor que está executando o Team Foundation
Grupos personalizados que você cria e adiciona ao nível de coleção

Para o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

Dica

Você pode definir essas permissões clicando com o servidor em Team Explorer e, em seguida, clicando em segurança, abrindo e usando o console de administração do Team Foundation, ou usando o TFSSecurity e tf ferramentas de linha de comando.Para obter mais informações, consulte Collection-Level Groups, Altere grupos e permissões com o TFSSecurity e Permission Command.

O exemplo a seguir mostra como conceder permissões em nível de coleção para os administradores de projeto para um projeto de equipe.

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
       <permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
    </permissions>
</group>

A tabela a seguir descreve as permissões de nível de coleção que você pode atribuir.

Dica

Por padrão, nenhuma permissão de nível de coleção é atribuído nos modelos de processo do MSF.

Permissão	Descrição
DIAGNOSTIC_TRACE	Alterar as configurações de rastreamento. Pode alterar as configurações de rastreamento para coletar informações de diagnóstico mais detalhadas sobre os serviços da Web para Team Foundation Server.
CREATE_PROJECTS	Criar novos projetos. Pode criar projetos na coleção de projeto de equipe.
GENERIC_WRITE	Editar informações de nível de conjunto. Pode editar permissões de nível de coleção para usuários e grupos na coleção de projeto de equipe. Os usuários que têm essa permissão podem executar as seguintes tarefas: Adicionar, remover ou renomear um grupo de aplicativos de nível de coleção da coleção em Team Foundation Server. Dica Você não pode remover grupos de nível de coleção padrão, como administradores de coleção de projetos. Adicionar ou remover um usuário ou grupo de usuário do Windows ou outro grupo de aplicativos em Team Foundation Server (no nível de servidor). Alterar as permissões de nível de coleção para usuários e grupos. Além disso, os usuários que têm essa permissão podem modificar as permissões de controle de versão, e eles têm acesso de gravação a todos os arquivos no controle de versão, a menos que o acesso é negado explicitamente por outras permissões.
MANAGE_TEMPLATE	Gerenciar modelos de processo. Pode baixar, criar, editar e carregar modelos de processo para a coleção de projetos de equipe.
MANAGE_TEST_CONTROLLERS	Gerenciar controladores de teste. Pode registrar e cancelar o registro controladores de teste para a coleção de projetos de equipe.
MANAGE_LINK_TYPES	Gerenciar tipos de link de item de trabalho. Pode adicionar, remover e alterar os tipos de links para itens de trabalho.
GENERIC_READ	Exibir informações de nível de conjunto. Pode exibir a associação de grupos de nível de coleção e as permissões desses usuários.

Atribuir permissões de nível de projeto

Você pode atribuir permissões em nível de projeto no arquivo de plug-in grupos e permissões. Atribuir essas permissões usando o grupo permission elemento e a classe do projeto. Essas permissões controlam o acesso aos recursos de um único projeto. Você pode conceder acesso a usuários e grupos do Windows, grupos de Team Foundatione os grupos que você definiu anteriormente no arquivo de plug-in grupos e permissões. Para o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

O exemplo a seguir mostra como conceder várias permissões para o grupo colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões de nível de projeto que você pode atribuir e indica as atribuições padrão que são feitas nos modelos de processo do MSF.

Permissão	Descrição	Leitores	Colaboradores	Administradores de Compilação
GENERIC_READ	Exibir informações de nível de projeto. Pode exibir a associação de grupos de nível de projeto e as permissões dos membros.
VIEW_TEST_RESULTS	Exibir execuções de teste. Pode exibir planos de teste nesse nó.
MANAGE_TEST_CONFIGURATIONS	Gerenciar configurações de teste. Pode criar e excluir configurações de teste para o projeto de equipe.
MANAGE_TEST_ENVIRONMENTS	Gerenciar ambientes de teste. Pode criar e excluir ambientes de teste para o projeto de equipe.
PUBLISH_TEST_RESULTS	Criar execuções de teste. Adicionar e remover resultados de teste e adicionar ou modificar execuções de teste para o projeto de equipe.
DELETE_TEST_RESULTS	Excluir execuções de teste. Pode excluir um teste agendado para o projeto de equipe.
DELETE	Excluir projeto de equipe. Pode excluir da Team Foundation Server o projeto para o qual o usuário tem essa permissão.
GENERIC_WRITE	Editar informações de nível de projeto. Pode editar permissões de nível de projeto para usuários e grupos no Team Foundation Server.

Atribuir permissões para controlar os caminhos de área

Você pode atribuir permissões que controlam o acesso às definições de área usando o grupo permission elemento e a classe CSS_NODE. Essas permissões controlam o acesso à estrutura de classificação de um único projeto. Você pode conceder acesso a usuários e grupos do Windows, grupos de Team Foundatione os grupos que você definiu anteriormente no arquivo de plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

O exemplo a seguir mostra como conceder várias permissões para o grupo colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso à estrutura hierárquica para nós de iteração e área do projeto. A tabela também indica as atribuições padrão que são feitas nos modelos de processo do MSF.

Dica

Algumas operações para acompanhar itens de trabalho exigem várias permissões.Por exemplo, você precisa de várias permissões para excluir um nó.

Permissão	Descrição	Leitores	Colaboradores	Administradores de Compilação
GENERIC_READ	Exibir esse nó. Pode exibir as configurações de segurança para um nó de área.
WORK_ITEM_READ	Exibir itens de trabalho neste nó. Pode exibir, mas não alterar, itens de trabalho atribuídos a um nó de área.
WORK_ITEM_WRITE	Editar itens de trabalho neste nó. Pode editar itens de trabalho atribuídos a um nó de área.
MANAGE_TEST_PLANS	Gerenciar planos de teste. Pode criar e editar planos de teste que são atribuídos a um nó de área. Se os planos de teste não foram executados, você também poderá excluí-los.
CREATE_CHILDREN	Criar e ordenar nós filho. Pode criar nós de área. Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar qualquer filho nó de área.
DELETE	Excluir este nó. Pode excluir nós de área. Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de área e reclassificar os itens de trabalho existentes do nó excluído. Se o nó excluído possuir nós filho, esses nós também serão excluídos.
GENERIC_WRITE	Editar este nó. Pode definir permissões e renomear nós de área.

Atribuir permissões para controlar os caminhos de iteração

Atribuir permissões que controlam o acesso aos caminhos de iteração usando o grupo permission elemento e o ITERATION_NODE classe. Essas permissões controlam o acesso a versões de etapas ou iterações para um único projeto. Você pode conceder acesso a usuários e grupos do Windows, grupos de Team Foundatione os grupos que você definiu anteriormente no arquivo de plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especificar grupos, consulte agrupar macros e grupos padrão anteriormente neste tópico.

O exemplo a seguir mostra como conceder várias permissões para o grupo colaboradores para um projeto de equipe:

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
      <permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso à estrutura hierárquica para nós de iteração do projeto. Como os modelos de processo do MSF não especificar nenhuma ITERATION_NODE permissões, equipe de todos os membros podem criar, exibir e excluir nós de iteração.

Dica

Algumas operações para acompanhar itens de trabalho exigem várias permissões.Por exemplo, você precisa de várias permissões para excluir um nó.

Permissão	Descrição
GENERIC_READ	Exibir esse nó. Pode exibir as configurações de segurança para um nó.
CREATE_CHILDREN	Criar e ordenar nós filho. Pode criar nós de iteração. Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar em qualquer nó de iteração.
DELETE	Excluir este nó. Pode excluir nós de iteração. Os usuários que têm essa permissão e a permissão GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de iteração e reclassificar os itens de trabalho existentes do nó excluído. Se o nó excluído possuir nós filho, esses nós também serão excluídos.
GENERIC_WRITE	Editar este nó. Defina permissões para nós de iteração e renomeie os nós.