Referência de permissões para o Team Foundation Server
As permissões determinam quais tarefas os usuários podem ou não fazer. Para que os usuários acessem os recursos do Team Foundation Server (TFS) e projetos de equipe, você precisa adicioná-los a um projeto de equipe ou grupo do TFS. Para uma visão geral de como o TFS gerencia associação, permissões e acesso, consulte gerenciar usuários e grupos no TFS.
Este tópico descreve as permissões do TFS e suas atribuições padrão para cada um dos grupos internos do TFS. Ela também explica as ferramentas que você pode usar para definir permissões. Há três categorias de grupos internos, quatro níveis de permissões e cinco estados de permissão. Acesso de cada usuário a uma tarefa funcional depende do estado da permissão explícita ou herdada atribuído a eles ou a um grupo ao qual pertencem.
Neste tópico
|
.png "Níveis de permissão e grupos TFS padrão") |
Para atribuir permissões Produtos do SharePoint ou SQL Server Reporting Services, consulte Adicionar usuários a projetos da equipe e conceder permissões para exibir ou criar relatórios no TFS.
O que há de novo nas permissões?
Adições e alterações no modelo de permissão do TFS são indicadas na tabela a seguir. Elas são baseadas na versão que você instalou no seu servidor de camada de aplicativo.
Versão do TFS |
Permissões de novas ou alteradas |
|---|---|
TFS 2013,3 |
Gerenciar conjuntos de testes permissão adicionado, e permissão de planos de teste de gerenciar escopo redefinido para gerenciar apenas planos de teste. Essas permissões são definidas para um caminho de área. Ele abordadas anteriormente, o gerenciamento de permissões de planos de teste e conjuntos de testes. |
TFS 2013,2 |
Permissões de marcação adicionado. |
TFS 2013 |
Permissões do repositório Git adicionado. |
Ferramentas usadas para definir permissões
Você pode usar as ferramentas listadas na tabela a seguir para definir permissões. Ferramentas diferentes são usadas, dependendo se você estiver definindo permissões em nível de projeto, coleção ou servidor. Você usa o Team Web Access (TWA) para definir a maioria das permissões para usuários e grupos para acessar um projeto de equipe.
Nível de permissão |
Página administrativa TWA ou segurança em nível de objeto |
Team Explorer (nota 1) |
Console de administração do Team Foundation |
TFSSecurityferramenta de linha de comando |
Tfferramenta de linha de comando |
TFSLabConfigferramenta de linha de comando |
|---|---|---|---|---|---|---|
Nível do servidor |
|
|
||||
Nível da coleção |
|
|
|
|
||
Nível de teste e projeto |
|
|
|
|||
Nível de compilação |
|
|
||||
Consulta de item de trabalho |
|
|
|
|||
Marcação |
|
|||||
Nível de área para acompanhamento de item de trabalho |
|
|
|
|||
Nível de iteração para acompanhamento de item de trabalho |
|
|
|
|||
Controle de versão do Team Foundation |
|
|
||||
Repositório Git |
|
|
||||
Lab Management |
|
|||||
Gerenciamento de liberações (2) |
Notas
Algumas opções de permissão que você acessa do Team Explorer abra uma interface do usuário no Team Web Access.
Se adicionar o Gerenciamento de Versão da sua implantação, você poderá gerenciar permissões usando grupos definidos no Gerenciamento de Versão, no TFS ou no Ative Directory. Gerenciar permissões por meio do cliente de gerenciamento de liberação.
Outra ferramenta que você pode usar para gerenciar a associação do usuário dentro de grupos é o TFSAdmin ferramenta do CodePlex.
Ferramentas de linha de comando, namespaces e nomes de permissão
Quando você utilizar o TFSSecurity ferramenta de linha de comando para gerenciar permissões, você especifica um namespace, bem como o nome da permissão. Nas seções a seguir, o nome do namespace e o comando são indicadas. Há dois grupos de namespace: coleta e servidor do projeto. Use o TFSSecurity /a comando para listar os namespaces. Para obter o conjunto de permissões que podem ser definidas em um namespace, useTFSSecurity /a Namespace /collection:CollectionNameURL
Namespaces de coleção de projeto |
Namespace do servidor |
|---|---|
TFSSecurity /a /collection:CollectionNameURL |
TFSSecurity /a /server:ServerNameURL |
Grupos internos do TFS
Quando você instala o TFS, quatro grupos são definidos no nível do servidor. Quando você cria uma coleção de projetos, sete grupos são criados no nível da coleção e para cada projeto de equipe criado por você, são criados seis grupos que passam para o projeto de equipe. Cada um desses grupos é associada um conjunto de permissões padrão. Você não pode remover ou excluir um grupos de nível de servidor padrão, como o grupo de administradores do Team Foundation.
Nível do servidor |
Nível da coleção |
Nível de projeto |
|---|---|---|
|
|
|
Observações:
Para saber mais sobre grupos de usuários válidos, vá para esta o que é um usuário válido? Como os grupos de usuários válidos são preenchidos? seção.
Um grupo de equipe é criado com o nome do projeto de equipe. Por exemplo, se você criar um projeto de equipe chamado "Exemplo de código", um grupo de equipe será também criado com o nome "Equipe de exemplo de código". Você pode renomear essa equipe.
Além disso, quando você criar equipes adicionais, um grupo de equipe é criado para cada equipe.
Grupos de nível de servidor recebem permissões de nível de servidor. Grupos de nível de coleção recebem permissões definidas para a coleção, projeto e objetos. E, as permissões atribuídas a grupos de nível de projeto incluem o nível de projeto e no nível do objeto.
Por exemplo, a imagem a seguir mostra as permissões atribuídas ao grupo de Colaborador do nível do projeto.
.png "Permissões padrão de função Colaborador")
As permissões de grupo do administrador de projeto incluem aqueles atribuídos ao grupo de Colaborador e mais algumas.
.png "As permissões padrão de função de administrador do projeto")
Grupos de nível de servidor
Por padrão, os seguintes grupos existem no nível do servidor para a camada de aplicativo ao instalar o TFS.
Nome do grupo (prefixo: Team Foundation\ |
Permissões |
Contas de usuário padrão |
|---|---|---|
Team Foundation Administrators |
Pode executar todas as operações do TFS. Este grupo deve ser restrito ao menor número possível de usuários que precisam do controle administrativo total sobre o TFS. |
Os administradores locais grupo (BUILTIN\Administrators) para qualquer servidor que hospeda os serviços de aplicativo do Team Foundation. Servidor\Team Foundation Service Accounts grupo e os membros de \Project Server Integration Service Accounts grupo. |
Team Foundation Valid Users |
Ter acesso de leitura ao código-fonte, itens de trabalho e definições de compilação. Acesso aos recursos do TWA depende do grupo de nível acesso ou licença tenham sido atribuídos a eles. Importante Se você definir o exibir informações de nível de instância permissão para Deny ou não definido para esse grupo, nenhum usuário poderá acessar a implantação. |
Contém todos os usuários e grupos que foram adicionados em qualquer lugar no TFS. Você não pode modificar a associação desse grupo. |
Team Foundation Service Accounts |
Ter permissões de nível de serviço para o TFS. |
Contém a conta de serviço que foi fornecida durante a instalação. Este grupo deve conter somente contas e grupos de serviço e não contas de usuários ou grupos que contenham contas de usuários. Por padrão, este grupo é um membro dos Administradores do Team Foundation. |
Contas de serviço de integração do Project Server |
Ter permissões de nível de serviço para as implantações do Project Server que estão configuradas para interoperação com o TFS. Além disso, os membros desse grupo têm algumas permissões de nível de serviço do TFS. |
Este grupo deve conter somente contas e grupos de serviço e não contas de usuários ou grupos que contenham contas de usuários. Por padrão, este grupo é um membro dos Administradores do Team Foundation. |
SharePoint Web Application Services |
Ter permissões de nível de serviço para os aplicativos Web do SharePoint que estão configuradas para uso com o TFS, além de algumas permissões no nível de serviço do TFS. |
Este grupo deve conter somente contas e grupos de serviço e não contas de usuários ou grupos que contenham contas de usuários. Ao contrário do grupo de Contas de Serviço, esse grupo não é membro dos Administradores do Team Foundation. |
Team Foundation Proxy Service Accounts |
Os membros desse grupo têm permissões de nível de serviço para o Proxy do Team Foundation Server e têm algumas permissões de nível de serviço do TFS. |
Este grupo deve conter somente contas e grupos de serviço e não contas de usuários ou grupos que contenham contas de usuários. |
Grupos de nível de coleção
Por padrão, os seguintes grupos existem no nível de coleção quando você configura uma coleção.
Nome do grupo (prefixo: TeamProjectCollectionName\ |
Permissões de nível de grupo |
Atribuições de conta |
|---|---|---|
Project Collection Administrators |
Pode executar todas as operações para a coleção de projetos de equipe. |
Contém o administradores locais grupo (BUILTIN\Administrators) para o servidor onde os serviços de camada de aplicativo do TFS foram instalados. Além disso, contém os membros do TeamProjectCollectionName\Service Accounts grupo. Esse grupo deve ser restrito ao menor número possível de usuários que precisam do controle administrativo total sobre a coleção. |
Project Collection Valid Users |
Pode acessar projetos de equipe definidos para a coleção. Importante Se você definir o exibir informações de nível de conjunto permissão para Deny ou não definido para esse grupo, nenhum usuário poderá acessar a coleção. |
Contém todos os usuários e grupos que foram adicionados em qualquer lugar dentro da coleção de projeto de equipe. Você não pode alterar a associação desse grupo. |
Project Collection Service Accounts |
Ter permissões de nível de serviço para a coleção e para o TFS. |
Contém a conta de serviço que foi fornecida durante a instalação. Esse grupo deve conter somente contas e grupos de serviço que contenham apenas contas de serviço. Por padrão, esse grupo é um membro dos Administradores do Team Foundation e das Contas do Team Foundation Service. |
Project Collection Build Administrators |
Pode administrar recursos de compilação e permissões para a coleção. |
Limite esse grupo para o menor número possível de usuários que precisam de controle administrativo total sobre servidores de compilação e serviços para esta coleção. |
Project Collection Build Service Accounts |
Ter as permissões necessárias para executar serviços de compilação da coleção. |
Limite esse grupo de contas de serviço e grupos que contenham apenas contas de serviço. |
Project Collection Proxy Service Accounts |
Ter as permissões necessárias para executar o serviço de proxy para a coleção. |
Limite esse grupo de contas de serviço e grupos que contenham apenas contas de serviço. |
Project Collection Test Service Accounts |
Ter permissões de serviço de teste para a coleção. |
Limite esse grupo de contas de serviço e grupos que contenham apenas contas de serviço. |
Grupos de nível de projeto
Por padrão, os seguintes grupos existem quando você cria um projeto de equipe. Suas permissões de escopo serão o nível de projeto.
Grupo (prefixo: ProjectName\) |
Permissões de nível de grupo |
Observações adicionais |
|---|---|---|
Project Administrators |
Podem administrar todos os aspectos do projeto da equipe, embora não possam criar projetos. |
Atribuir aos usuários que irão gerenciar permissões de usuário, criar equipes, definir área um caminhos de iteração ou personalizar o acompanhamento do item de trabalho. |
Build Administrators |
Pode administrar recursos de compilação e criar permissões para o projeto. Os membros podem gerenciar ambientes de teste, criar execuções de teste e gerenciar compilações. |
|
Contributors |
Pode totalmente contribuem para a base de código do projeto e prende a item de trabalho. |
Por padrão, o grupo de equipe criado na criação de um projeto de equipe é adicionado a esse grupo, e qualquer usuário adicionado à equipe será um membro do grupo. Além disso, qualquer equipe criada por você para o projeto de equipe será adicionada a esse grupo por padrão, a menos que você escolha um grupo diferente na lista. |
Readers |
Podem exibir o projeto, mas não modificá-lo. |
Atribua aos participantes que desejam poder exibir trabalho em andamento. |
TeamName |
Herdam as mesmas permissões atribuídas ao grupo colaboradores. Pode totalmente contribuem para a base de código do projeto e prende a item de trabalho. |
O grupo da equipe padrão é criado quando você cria um projeto de equipe e é adicionado por padrão ao grupo de Colaboradores do projeto de equipe. Todas as novas equipes que você criar também terão um grupo criado para elas adicionado ao grupo de contribuintes. |
Além desses grupos no nível de projeto, dois grupos no nível de coleção também aparecem em cada projeto no TFS:
TeamProjectCollectionName**\Project Collection Administrators**
Você não pode modificar as permissões para esse grupo no nível de coleção.
TeamProjectCollectionName**\Project Collection Build Service Accounts**
Não remova nem defina a permissão Exibir informações em nível de projeto como Negar para este grupo.
Permitir, negar, permissão não definido e outro Estados
TFS usa um modelo menos permissiva permissões de segurança. Isso significa que, se um usuário pertencer a dois grupos e a mesma permissão recebe permissões para um grupo e Deny para outro grupo, Deny terá precedência sobre permitir. Há algumas exceções a essa regra para aqueles que pertencem aos grupos do administrador da coleção de projetos e administrador do Team Foundation Server.
Você pode especificar dois estados de autorização explícita de permissões: Deny e permitir. Além disso, há três outros estados: permitir herdado, herdado negar, e não definido. Não defina é um estado de negação implícito.
Permissão |
Autorização |
|---|---|
Permitir |
Explicitamente concede aos usuários para executar a tarefa associada a permissão específica. Permitir que geralmente é herdada da associação de grupo. Para que os usuários acessem uma tarefa, a permissão associada deve ser definida para permitir ou permitir herdado. |
Negar |
Explicitamente impede que os usuários executem a tarefa associada a permissão específica. Negar geralmente é herdada da associação de grupo. |
Negar herdado permitir/herdado |
Permite ou nega a um usuário a executar a tarefa associada a permissão com base na permissão definida para um grupo ao qual o usuário pertence. |
Não definido |
Implicitamente impede que os usuários executem a ação associada com a permissão. Como a permissão não é explicitamente definido como Deny nem como permitir, autorização para essa permissão pode ser herdada de outros grupos dos quais o usuário ou grupo é membro. Por padrão, a maioria das permissões não são definidas como Deny ou permitir. As permissões são deixadas não definido. |
Estados de permissão execute essas configurações de precedência:
O Deny permissão tem precedência sobre todas as outras configurações de permissão, incluindo permitir. Por exemplo, um usuário pode pertencer a dois grupos em um projeto. Para um grupo de permissão de resultados de teste de publicação é definida como Negar; o outro grupo tem essa permissão definida como permitir. A configuração Deny terá precedência e o usuário não está autorizado a publicar resultados de teste.
Exceções a essa regra são:
A permissão Deny tem precedência se ele for herdado de um pai hierárquico. Essas funções oferecem suporte a configuração de permissão hierárquica:
Pastas de controle de origem para o controle de versão do Team Foundation
Repositórios Git
Nós de iteração e área para acompanhamento de item de trabalho
Consultas e pastas de consulta do item de trabalho compartilhados
As permissões explícitas definidas em um determinado object─such como uma pasta de controle de origem, um repositório ou um node─override filho de área aquelas que são herdadas dos objetos pai. Por exemplo, o Deny definida para uma pasta de controle do código-fonte não substitui um permitir definido para uma de suas subpastas.
Quando um usuário pertencer a um grupo de administradores, como os grupos de administradores de coleção de projetos ou administradores do Team Foundation, salvo indicação em contrário na descrição da permissão.
Herdado permitem tem precedência sobre não definido.
Herança
Quando a permissão for Não definido para um usuário ou grupo, estes pode, ser afetados pelo estado explícito da permissão para grupos aos quais pertencem, pois as permissões no TFS são herdadas. Por exemplo, ao examinar as permissões para um usuário ou grupo, você pode ver Permitir e Permitir herdado definidos para permissões. A última permissão é herdada de qualquer outro grupo ao qual o usuário ou grupo pertença. Nesse exemplo, um usuário pode pertencer a um grupo no nível de projeto e a um grupo no nível de coleção em um projeto. Se um desses grupos tiver uma permissão que é explicitamente definida como Permitir e o outro grupo tiver a mesma permissão como Não definido, o usuário terá a permissão Permitir herdado para executar ações controladas por essa permissão. O usuário herda permissões de ambos os grupos e a permissão Permitir tem precedência sobre a permissão Não definido.
.png "Herança de permissões")
Para entender como uma permissão é herdada, você pode pausar o mouse sobre a configuração de permissão e, em seguida, escolher Por quê?. Uma nova janela será aberta. Exibe as informações de herança de permissão.
.png "Página de segurança, a função Colaborador, permissões")
Algumas caixas de diálogo de segurança no nível do objeto fornecem uma opção Ativar/desativar de herança. Use esta opção para desativar a herança para pastas, consultas compartilhadas e outros objetos.
.png "Caixa de diálogo de segurança com a opção de herança")
Regras e dicas ao atribuir permissões
Regras:
Use grupos do Windows ao gerenciar muitos usuários.
Conceda as permissões de colaboração para usuários ou grupos que exigem a capacidade de criar e compartilhar consultas de itens de trabalho para o projeto.
Ao adicionar muitas equipes, considere a criação de um grupo de administradores de equipe no TFS onde você alocar um subconjunto das permissões disponíveis para administradores do projeto.
Ao adicionar equipes, considere o que leva você deseja atribuir à equipe de permissões, scrum mestres e outros membros da equipe que talvez seja necessário criar e modificar caminhos de área, caminhos de iteração e consultas.
Dicas:
Não adicione contas ao grupo de leitores que você adicionou ao grupo de administradores do projeto. Isso faz com que um estado de negar a ser atribuído a várias permissões.
Não altere as atribuições padrão feitas a um grupo de usuários válidos. Se você remover ou definir a permissão de informações de nível de instância de modo de exibição como Negar para um dos grupos de usuários válidos, nenhum usuário no grupo poderão acessar o projeto de equipe, coleção ou implantação, dependendo do grupo que você definir.
Não atribua permissões que são registradas como 'Atribuir somente às contas de serviço' para contas de usuário.
Permissões no nível de servidor
Permissões de nível de servidor concedem permissões que podem afetar cada projeto e coleção na implantação. Você pode definir permissões em nível de servidor da Console de administração do Team Foundation ou usando o ferramenta de linha de comando TFSSecurity.
Você pode definir essas permissões para usuários de nível de servidor e grupos, como administradores do Team Foundation, e para grupos de nível de servidor personalizada que você adiciona.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Serviços de Aplicativo Web do SharePoint |
Administradores do Team Foundation |
Contas do Team Foundation Service |
|---|---|---|---|---|---|---|
Administrar o depósito (nota 1) |
Administrar |
Depósito |
Pode processar ou alterar as configurações para o data warehouse ou cubo do SQL Server Analysis usando o Web serviço de controle de depósito. |
.png "marca de seleção"){kind=icon} |
|
|
Criar coleção de projeto de equipe |
CreateCollection |
CollectionManagement |
Pode criar e administrar as coleções de projetos de equipe. |
|
|
|
Excluir coleção de projetos de equipe (nota 2) |
DeleteCollection |
CollectionManagement |
Pode excluir uma coleção de projetos de equipe de implantação. |
|
|
|
Editar informações de nível de instância (nota 3) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Servidor |
Pode editar as permissões de nível de servidor para usuários do TFS e grupos e adicionar ou remover grupos de nível de servidor da coleção. |
|
|
|
Fazer solicitações em nome de outros |
Impersonate |
Servidor |
Pode executar operações em nome de outros usuários ou serviços. Atribua somente a contas de serviço. |
|
|
|
Eventos do gatilho |
TRIGGER_EVENT |
Servidor |
Pode disparar eventos de alerta do TFS. Atribua somente para contas de serviço e membros do grupo Administradores do Team Foundation. |
|
|
|
Usar recursos completos do acesso via Web (nota 4) |
FullAccess |
Servidor |
Pode usar todos os recursos do TWA. |
|
|
|
Exibir informações de nível de instância (nota 5) |
GENERIC_READ |
Servidor |
Pode exibir membros do grupo de nível de servidor e as permissões desses usuários. |
|
|
|
Observações:
Permissões adicionais podem ser necessárias para processar completamente ou recompilar o data warehouse e o cubo do Analysis.
Excluir uma coleção de projetos de equipe não excluirá o banco de dados de coleção de SQL Server.
Editar informações de nível de instância incluem a capacidade de executar essas tarefas para todos os projetos de equipe definidos em todas as coleções de projeto definidas para a instância:
Adicionar e administrar as equipes e todos os recursos relacionados à equipe
Criar e modificar áreas e iterações
Editar políticas de check-in
Editar consultas de itens de trabalho compartilhadas
Editar permissões de nível de projeto e coleção ACLs
Criar e modificar listas globais
Editar inscrições de eventos (e-mail ou SOAP).
Quando configurada por meio dos menus, a permissão Editar informações no nível de instância também permite implicitamente que o usuário modifique as permissões de controle de versão. Para conceder todas essas permissões em um prompt de comando, você deve usar o comando tf.exe Permission para conceder as permissões AdminConfiguration e AdminConnections, além de GENERIC_WRITE.
Se a permissão de recursos do acesso via Web completa Use estiver definida como Negar, o usuário verá apenas os recursos permitidos para o limitada grupo (consulte Alterar níveis de acesso). Uma permissão Negar substituirá qualquer permissão implícita, mesmo para contas que sejam membros de grupos administrativos, como Administradores do Team Foundation.
A permissão de informações de nível de instância de modo de exibição também é atribuída ao grupo de usuários válidos do Team Foundation.
Permissões de nível de coleção
Permissões de nível de coleção concedem autorização a toda a coleção de tarefas, que pode ser definida para esses usuários e grupos:
Usuários e grupos no nível de coleção, como Administradores da Coleção de Projetos
Grupos de nível de projeto que você adiciona a uma coleção
Grupos personalizados que você adiciona a uma coleção
Você pode definir permissões em nível de coleção do página de administração do TWA para a coleção, do Console de administração do Team Foundation ou usando o ferramenta de linha de comando TFSSecurity ou ferramenta de linha de comando tf. Todas as permissões são como escopo o conjunto específico para o qual eles são definidos.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Contas de Serviço de Coleção de Projetos |
Contas do Build Service da Coleção do Projeto |
Administradores de Compilação da Coleção do Projeto |
Administradores de coleção de projetos (nota 1) |
|---|---|---|---|---|---|---|---|
Administrar as permissões de recurso de compilação |
AdministerBuildResourcePermissions |
BuildAdministration |
Pode modificar permissões para recursos de compilação. |
|
|
|
|
Administrar a integração com o Project Server |
AdministerProjectServer |
ProjectServerAdministration |
Pode configurar a integração do TFS e do Project Server para habilitar a sincronização de dados entre os dois produtos de servidor. |
|
|
||
Administrar alterações com check-in particular |
AdminShelvesets tf: AdminShelvesets |
VersionControlPrivileges |
Pode excluir check-ins particulares criados por outros usuários. |
|
|
|
|
Administrar espaços de trabalho |
AdminWorkspaces tf: AdminWorkspaces |
VersionControlPrivileges |
Pode criar espaços de trabalho para outros usuários e excluir espaços de trabalho criados por outros usuários. |
|
|
|
|
Alterar configurações de rastreamento |
DIAGNOSTIC_TRACE |
Coleção |
Pode alterar as configurações de rastreamento para coletar informações de diagnóstico mais detalhadas sobre os serviços Web do TFS. |
|
|||
Criar um espaço de trabalho (nota 2) |
tf: CreateWorkspace |
VersionControlPrivileges |
Pode criar um espaço de trabalho de controle de versão. |
|
|
|
|
Criar novos projetos (nota 3) |
CREATE_PROJECTS |
Coleção |
Pode criar projetos na coleção de projeto de equipe. |
|
|||
Excluir o projeto de equipe (nota 4) |
Excluir |
Projeto |
Pode excluir projetos de equipe. |
|
|||
Editar informações de nível de coleção (nota 5) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Coleção VersionControlPrivileges |
Pode adicionar usuários e grupos e editar permissões de nível do conjunto de usuários e grupos. |
|
|
||
Fazer solicitações em nome de outros |
Impersonate |
Servidor |
Pode executar operações em nome de outros usuários ou serviços. Atribua somente a contas de serviço. |
|
|||
Gerenciar recursos de compilação |
ManageBuildResources |
BuildAdministration |
Pode gerenciar computadores de compilação, agentes de compilação e controladores de compilação. |
|
|
|
|
Gerenciar modelo de processo |
MANAGE_TEMPLATE |
Coleção |
Pode baixar, criar, editar e carregar modelos de processo. |
|
|||
Gerenciar controladores de teste |
MANAGE_TEST_CONTROLLERS |
Coleção |
Pode registrar e cancelar o registro controladores de teste. |
|
|||
Disparar eventos (Observação 6) |
TRIGGER_EVENT |
Coleção |
Pode disparar eventos de alerta dentro da coleção. Atribua somente a contas de serviço. |
|
|
||
Use recursos de compilação |
UseBuildResources |
BuildAdministration |
Podem reservar e alocar agentes de compilação. Atribua somente a contas de serviço para serviços de compilação. |
|
|
|
|
Visualizar recursos de compilação |
ViewBuildResources |
BuildAdministration |
Pode exibir, mas não use, controladores de compilação e agentes de compilação que são configurados para a coleção. |
|
|
|
|
Exibir informações no nível de coleção |
GENERIC_READ |
Coleção |
Pode exibir membros do grupo de nível de coleção e permissões. |
|
|
|
|
Exibir informações de sincronização do sistema |
SYNCHRONIZE_READ |
Coleção |
Pode chamar a sincronização de interfaces de programação de aplicativo. Atribua somente a contas de serviço. |
|
|
Observações:
Além disso, as atribuições padrão a seguir são feitas a esses grupos TFS:
Grupo de usuários válidos coleção de projeto: Crie um espaço de trabalho, recursos de compilação de exibição e exibir informações em nível de coleção.
Contas de serviço de Proxy de coleção de projeto: Crie um espaço de trabalho, recursos de compilação de exibição e exibir informações em nível de coleção.
Contas de serviço de teste de coleção de projeto: Crie um espaço de trabalho, gerenciar controladores de teste, exibir recursos de compilação e exibir informações em nível de coleção.
O criar um espaço de trabalho permissão é concedida a todos os usuários como parte de sua participação no grupo de usuários válidos da coleção de projeto.
Permissões adicionais podem ser necessárias dependendo da implantação. Além disso, você deve executar o Visual Studio ou do Team Explorer como um administrador para concluir com êxito o criar um novo Assistente de projeto de equipe.
A exclusão de um projeto de equipe excluirá todos os dados associados ao projeto. Não é possível desfazer a exclusão de um projeto de equipe, a não ser que você restaure a coleção para um ponto antes de o projeto ser excluído.
Editar informações de nível de coleção incluem a capacidade de executar essas tarefas para todos os projetos de equipe definidos em uma coleção:
Adicionar e administrar as equipes e todos os recursos relacionados à equipe
Criar e modificar áreas e iterações
Editar políticas de check-in
Editar consultas de itens de trabalho compartilhadas
Editar permissões de nível de projeto e coleção ACLs
Criar e modificar listas globais
Editar inscrições de eventos (e-mail ou SOAP) no projeto ou eventos em nível de coleção.
Quando você define editar informações de nível de conjunto para permitir por meio do TWA, os usuários podem adicionar ou remover grupos de TFS de nível de coleção e implicitamente permite que esses usuários modificar permissões de controle de versão. Para conceder todas essas permissões em um prompt de comando, você deve usar o comando tf.exe Permission para conceder as permissões AdminConfiguration e AdminConnections, além de GENERIC_WRITE.
Os usuários com essa permissão não é possível remover grupos internos de nível de coleção, como administradores de coleção de projeto.
Adicionar essa permissão para outros usuários tem o potencial de permitir ataques de negação de serviço.
Permissões em nível de objeto, teste e projeto
As permissões no nível de projeto são específicas a usuários e grupos de um único projeto. Em um projeto, você pode definir permissões nos objetos criados para que o projeto, como áreas, iterações, pastas de controle do código-fonte, consultas e pastas de consulta e definições de compilação. Você pode definir permissões em nível de objeto e projeto para usuários e grupos que você adicionar a um projeto de equipe ou coleção.
Várias permissões padrão são atribuídas a esses grupos internos de nível de projeto e coleção:
Grupos de nível de projeto: construtores, colaboradores, administradores do projeto e leitores
Nível de conjunto de grupos: administradores da coleção de projetos, projeto Collection Build Service Accounts, contas de serviço de Proxy de coleção do projeto e contas de serviço de teste de coleção do projeto
Permissões de nível de teste e projeto
Você pode definir permissões em nível de projeto do página de administração do TWA para o projeto ou usando o ferramenta de linha de comando TFSSecurity. Todas as permissões de nível de projeto autorizam os usuários para o projeto de equipe específico para o qual eles são definidos.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Criar equipes, colaboradores e administradores |
Administradores do projeto (nota 1) |
|---|---|---|---|---|---|
Criar definição de marca |
Create |
Marcação |
Pode adicionar marcas a um formulário de item de trabalho. |
|
|
Criar execuções de teste |
PUBLISH_TEST_RESULTS |
Projeto |
Pode adicionar e remover resultados de teste e adicionar ou modificar as execuções de teste. |
|
|
Excluir projeto de equipe |
DELETE |
Projeto |
Pode excluir o projeto de equipe do TFS. |
|
|
Excluir execuções de teste |
DELETE_TEST_RESULTS |
Projeto |
Pode excluir um teste agendado. |
|
|
Editar informações de nível de projeto (nota 2) |
GENERIC_WRITE |
Projeto |
Pode editar permissões de nível de projeto para usuários e grupos. |
|
|
Gerenciar as configurações de teste |
MANAGE_TEST_CONFIGURATIONS |
Projeto |
Pode criar e excluir configurações de teste. |
|
|
Gerenciar ambientes de teste |
MANAGE_TEST_ENVIRONMENTS |
Projeto |
Os usuários que têm essa permissão podem criar e excluir ambientes de teste. |
|
|
Exibir informações no nível de projeto |
GENERIC_READ |
Projeto |
Pode exibir membros do grupo de nível de projeto e permissões. |
|
|
Exibir execuções de teste |
VIEW_TEST_RESULTS |
Projeto |
Pode exibir planos de teste no caminho de área de projeto de equipe. |
|
|
Observações:
Além disso, as atribuições padrão a seguir são feitas a esses grupos TFS:
Os leitores: Crie definição de marca, exibir informações em nível de projeto e exibir execuções de teste.
Administradores de coleção de projeto: Mesmas permissões que os administradores do projeto, exceto excluir execuções de teste.
Administradores de compilação da coleção do projeto: Mesmas permissões dos administradores do projeto, exceto excluir execuções de teste.
Contas de serviço de compilação de coleção de projeto: Crie execuções de teste, gerenciar as configurações de teste, gerenciar ambientes de teste, exibir informações em nível de projeto, exibir execuções de teste.
Contas de serviço de teste de coleção de projeto: Crie execuções de teste, gerenciar as configurações de teste, gerenciar ambientes de teste, exibir informações em nível de projeto.
Editar informações de nível de projeto incluem a capacidade de executar essas tarefas para o projeto de equipe:
Adicionar e administrar as equipes e todos os recursos relacionados à equipe
Criar e modificar áreas e iterações
Editar políticas de check-in
Editar consultas de itens de trabalho compartilhadas
Editar permissões de nível de projeto ACLs
Criar e modificar listas globais
Editar inscrições de eventos (e-mail ou SOAP) em eventos de nível de projeto.
Permissões no nível de compilação
Você pode definir permissões em nível de compilação para todas as compilações ou para uma definição de compilação no menu de contexto para a definição de compilação no TWA ou Team Explorer, ou usando o ferramenta de linha de comando TFSSecurity.
Nome da permissão (UI) |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Colaboradores |
Os autores de definição de compilação ou construtores |
Administradores de Compilação |
Administradores do projeto (nota 1) |
|---|---|---|---|---|---|---|---|
Administrar permissões de compilação |
AdministerBuildPermissions |
Compilação |
Pode administrar as permissões de compilação para outros usuários. |
|
|||
Excluir definição de compilação |
DeleteBuildDefinition |
Compilação |
Pode excluir definições de compilação para este projeto. |
|
|
|
|
Excluir compilações |
DeleteBuilds |
Compilação |
Pode excluir uma compilação concluída. |
|
|
|
|
Destruir compilações |
DestroyBuilds |
Compilação |
Pode excluir permanentemente uma compilação concluída. |
|
|
||
Editar definição de compilação (nota 2) |
EditBuildDefinition |
Compilação |
Pode criar e modificar definições de compilação para este projeto. |
|
|
|
|
Editar qualidade de compilação |
EditBuildQuality |
Compilação |
Pode adicionar informações sobre a qualidade da compilação por meio do Team Explorer ou o Team Web Access. |
|
|
|
|
Gerenciar qualidades de compilação |
ManageBuildQualities |
Compilação |
Adicionar ou remover qualidades da compilação. |
|
|
||
Gerenciar a fila de compilação |
ManageBuildQueue |
Compilação |
Pode cancelar, priorizar novamente ou adiar compilações enfileiradas. |
|
|
||
Substituir validação do check-in pela compilação (nota 3) |
OverrideBuildCheckInValidation |
Compilação |
Pode confirmar um conjunto de alterações que afeta uma definição de compilação sem acionar o sistema para check-in particular e compilar suas alterações primeiro. |
||||
Enfileirar compilações |
QueueBuilds |
Compilação |
Coloque uma compilação na fila por meio da interface de Team Foundation Build ou em um prompt de comando. Eles também podem parar as compilações que enfileiraram. |
|
|
|
|
Reter indefinidamente |
RetainIndefinitely |
Compilação |
Pode marcar uma compilação para que ele não serão automaticamente excluído por qualquer política de retenção aplicável. |
|
|
||
Interromper compilações |
StopBuilds |
Compilação |
Pode interromper qualquer compilação está em andamento, incluindo compilações enfileiradas e iniciadas por outro usuário. |
|
|
||
Atualizar informações de compilação |
UpdateBuildInformation |
Compilação |
Pode adicionar nós de informações de compilação no sistema e também pode adicionar informações sobre a qualidade de uma compilação. Atribua somente a contas de serviço. |
||||
Visualizar definição de compilação |
ViewBuildDefinition |
Compilação |
Pode exibir as definições de compilação que foram criadas para o projeto de equipe. |
|
|
|
|
Visualizar compilações |
ViewBuilds |
Compilação |
Pode exibir as compilações enfileiradas e concluídas para esse projeto de equipe. |
|
|
|
|
Observações:
Além disso, as atribuições padrão a seguir são feitas a esses grupos internos:
Os leitores: Exibição de definição de compilação e visualizar compilações.
Administradores de coleção de projeto: Todas as permissões, exceto para atualizar informações de compilação.
Administradores de compilação da coleção do projeto: Todas as permissões, exceto a substituição de check-in validação pela criação e atualização de informações de compilação.
Contas de serviço de compilação de coleção de projeto: Editar qualidade da compilação, gerenciar fila de compilações, informações de atualização de compilação, substituir validação do check-in pela compilação, compilações de fila, exibir definições de compilação e compilações de exibição.
Contas de serviço de teste de coleção de projeto: Informações de compilação de atualização, exibir definições de compilação e visualizar compilações.
Você desativar herança de uma definição de compilação para controlar as permissões para definições de compilação específico.
Quando a herança é em, a definição de compilação respeita as permissões de compilação definidas no nível do projeto para um grupo ou usuário. Por exemplo, um grupo de gerentes de compilação personalizado tem permissões definido para enfileirar manualmente uma compilação de projeto Fabrikam. Qualquer definição de compilação com herança no projeto Fabrikam permitiria que um membro do grupo de gerentes de compilar a capacidade de enfileirar manualmente uma compilação.
No entanto, desativando a herança para projeto Fabrikam, você pode definir permissões que permitem somente administradores do projeto à fila manualmente uma compilação de uma definição de compilação específica. Isso, em seguida, me permitisse definir permissões para essa definição de compilação especificamente.
A validação de check-in de substituição para atribuir permissão de compilação apenas para contas de serviço para serviços de compilação e criar administradores responsáveis pela qualidade do código. Para obter mais informações, consulte Check-In alterações pendentes que são controlados por um Check-in Gated construir.
Permissões de consulta de item de trabalho
Você pode definir permissões de consulta de item de trabalho a menu de atalho de consultas compartilhadas do TWA ou Team Explorer ou usando o ferramenta de linha de comando TFSSecurity. Todas as permissões passam para a consulta específica ou a pasta de consulta para as quais elas são definidas.
Conceda as permissões de colaboração para usuários ou grupos que exigem a capacidade de criar e compartilhar consultas de itens de trabalho para o projeto. Para criar gráficos de consulta precisar de acesso avançado.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Leitores, colaboradores, administradores de compilação |
Administradores da coleção de projeto criador proprietários, administradores do projeto |
|---|---|---|---|---|---|
Contribuir |
CONTRIBUTE |
WorkItemQueryFolders |
Pode exibir e modificar essa consulta ou pasta de consulta. |
|
|
Excluir |
DELETE |
WorkItemQueryFolders |
Pode excluir uma consulta ou pasta de consulta e seu conteúdo. |
|
|
Gerenciar Permissões |
MANAGEPERMISSIONS |
Pode gerenciar as permissões para essa consulta ou pasta de consulta. |
|
||
Ler |
READ |
WorkItemQueryFolders |
Pode exibir e usar a consulta ou as consultas em uma pasta, mas não pode modificar a consulta ou consultar o conteúdo da pasta. |
|
|
ControleTotal |
WorkItemQueryFolders |
Pode exibir, editar, excluir e gerenciar permissões para uma consulta ou pasta de consulta e seu conteúdo. |
|
Marcando permissões
As marcas fornecem uma maneira rápida de agrupar ou categorizar itens de trabalho. As permissões de marcação estão disponíveis com implantações locais do TFS com o TFS 2013.2 ou posterior instalado. Você pode definir a definição de marca de criação da página de segurança de administração do TWA. Para definir todas as permissões restantes, use o ferramenta de linha de comando TFSSecurity.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Leitores |
Colaboradores |
Administradores do projeto (nota 1) |
|---|---|---|---|---|---|---|
Criar definição de marca (nota 2) |
CREATE |
Marcação |
Crie novas marcas e aplicá-las aos itens de trabalho. Os usuários sem essa permissão podem fazer seleções apenas no conjunto de marcas existente do projeto de equipe. |
|
|
|
Excluir a definição de marca (Observação 3, 4) |
DELETE |
Marcação |
Pode remover uma marca da lista de marcas disponíveis para o projeto. |
|
||
Enumerar a definição da marca (nota 4, 5) |
ENUMERATE |
Marcação |
Pode exibir uma lista de marcas disponíveis para o item de trabalho no projeto de equipe. Os usuários sem essa permissão não terão uma lista de marcas disponíveis na qual fazer escolhas no formulário de item de trabalho ou no editor de consulta. |
|
|
|
Atualizar definição de marca (nota 4) |
UPDATE |
Marcação |
Pode renomear uma marca usando a API REST. |
|
|
Observações:
Além disso, o grupo de contas de serviço de coleção do projeto tem todas as permissões de marcação atribuídas explicitamente.
Os leitores e colaboradores herdam o criar definição de marca permissão como ela é definida explicitamente como permitir para o grupo de usuários válidos do projeto.
Embora a permissão Criar definição de marca seja exibida nas configurações de segurança no nível de projeto de equipe, as permissões de marcação são, de fato, permissões no nível de coleção com escopo no nível de projeto quando são exibidas na interface de usuário. Escopo marcação permissões para um projeto de equipe único ao usar o TFSSecurity de comando, você deve fornecer o GUID do projeto como parte da sintaxe do comando. Caso contrário, a alteração se aplicará a toda a coleção de projeto de equipe. Lembre-se disso ao alterar ou definir essas permissões.
Não há nenhum suporte de interface do usuário para excluir uma marca. Para excluir uma marca, remova as atribuições que estão associadas à marca. O TFS exclui automaticamente marcas não atribuídas após 3 dias sem uso.
Não aparecer na interface do usuário; só pode ser definida usando o TFSSecurity comando.
As informações de nível de projeto de exibição definidas para permitir implicitamente para leitores e colaboradores permite que os usuários nesses grupos para exibir as marcas existentes (enumerar a definição da marca permissão).
Permissões no nível de área para o acompanhamento do item de trabalho
Permissões de nível de área conceder ou restringem o acesso aos itens definidos para um projeto com base em seu local com sua hierarquia de árvore de área de trabalho.
Você pode definir e definir permissões em nível de área do página de administração do TWA para áreas ou usando o ferramenta de linha de comando TFSSecurity. Todas as permissões de escopo serão o área-caminho específico para o qual eles são definidos.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Colaboradores |
Administradores de Compilação |
Contas do serviço de compilação da coleção de projeto (nota 1) |
|---|---|---|---|---|---|---|
Criar filho nós (nota 2) |
CREATE_CHILDREN |
CSS |
Pode criar nós de área. Os usuários que têm essa permissão e a permissão Editar este nó podem mover ou reordenar todos os nós de área filho. |
|||
Excluir este nó (nota 2) |
DELETE |
CSS |
Os usuários que têm essa permissão e a permissão Editar este nó para outro nó podem excluir os nós da área e reclassificar os itens de trabalho existentes do nó excluído. Se o nó excluído possuir nós filho, esses nós também serão excluídos. |
|||
Editar este nó (nota 2) |
GENERIC_WRITE |
CSS |
Defina permissões para esse nó e renomear nós de área. |
|||
Editar itens de trabalho neste nó (nota 3) |
WORK_ITEM_WRITE |
CSS |
Pode editar itens nesse nó de área de trabalho. |
|
|
|
Gerenciar planos de teste (nota 4) |
MANAGE_TEST_PLANS |
CSS |
Pode modificar propriedades como compilar e testar configurações de plano de teste. |
|
|
|
Gerenciar conjuntos de testes (nota 4) |
MANAGE_TEST_SUITES |
CSS |
Pode criar e excluir conjuntos de testes, adicionar e remover casos de teste de conjuntos de testes, alterar as configurações de teste associadas a conjuntos de testes e modificar a hierarquia do conjunto (mover um conjunto de testes). |
|
|
|
Exibir permissões para este nó |
GENERIC_READ |
CSS |
Pode exibir as configurações de segurança para este nó. |
|
|
|
Exibir itens de trabalho neste nó (nota 5) |
WORK_ITEM_READ |
CSS |
Pode exibir, mas não alterar, itens de trabalho nesse nó de área. |
|
|
|
Observações:
Além disso, as atribuições padrão a seguir são feitas a esses grupos internos:
Os leitores: Exibir permissões para esse nó e somente para exibição.
Contas de serviço de teste de coleção do projeto: Exibir apenas as permissões.
Team Foundation Administrators, administradores de coleção de projetos e administradores do projeto: permissões de todas as CSS. Qualquer usuário ou grupo que tenha permissões para editar as informações de nível de projeto, editar informações de nível de coleção ou editar informações de nível de instância pode criar e gerenciar nós de área.
Membros de usuários válidos da coleção de projetos, usuários válidos do projeto, ou qualquer usuário ou grupo que tenha a exibir informações em nível de coleção ou exibir informações em nível de projeto podem exibir permissões de qualquer nó de área.
Considere adicionar essa permissão para qualquer adicionados manualmente os usuários ou grupos que talvez seja necessário excluir, adicionar ou renomear nós de área.
Considere adicionar essa permissão para os usuários adicionados manualmente ou grupos que talvez seja necessário editar itens no nó de área de trabalho.
Gerenciar conjuntos de testes permissão foi adicionado com a atualização do TFS 2013.3. Considere adicionar essas permissões para os usuários adicionados manualmente ou grupos que talvez precise gerenciar planos de teste ou pacotes nesse nó de área de teste.
Se você definir os exibir itens de trabalho neste nó como Negar, o usuário não poderá ver os itens de trabalho nesse nó de área. Uma permissão Negar substituirá qualquer permissão implícita, mesmo para contas que sejam membros de grupos administrativos, como Administradores do Team Foundation.
Permissões no nível de iteração para o acompanhamento do item de trabalho
Permissões do nível de iteração conceder ou restringem o acesso para criar e gerenciar caminhos de iteração.
Você pode definir permissões em nível de iteração para usuários e grupos que você adicionar a um projeto de equipe ou coleção usando o página de administração do TWA iterações ou ferramenta de linha de comando TFSSecurity. Todas as permissões de escopo serão o iteração-caminho específico para o qual eles são definidos.
Algumas operações de acompanhamento do item de trabalho exigem várias permissões. Por exemplo, você precisa de várias permissões para excluir um nó.
Conceda aos administradores de equipe, mestre de scrum, ou equipe leva permissões para criar, editar ou excluir nós.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Administradores do projeto (nota 1) |
|---|---|---|---|---|
Criar filho nós (nota 2) |
CREATE_CHILDREN |
Iteração |
Pode criar nós de iteração. Os usuários que têm essa permissão e a permissão Editar este nó podem mover ou reordenar todos os nós de iteração filho. |
|
Excluir este nó (nota 2) |
DELETE |
Iteração |
Os usuários que têm essa permissão e a permissão Editar este nó para outro nó podem excluir os nós de iteração e reclassificar os itens de trabalho existentes do nó excluído. Se o nó excluído possuir nós filho, esses nós também serão excluídos. |
|
Editar este nó (nota 2) |
GENERIC_WRITE |
Iteração |
Defina permissões para esse nó e renomear nós de iteração. |
|
Exibir permissões para este nó (nota 3) |
GENERIC_READ |
Iteração |
Pode exibir as configurações de segurança para este nó. |
|
Observações:
Administradores do Team Foundation e administradores de coleção de projeto recebem todas as permissões de iteração. Qualquer usuário ou grupo que tenha permissões para editar as informações de nível de projeto, editar informações de nível de coleção ou editar informações de nível de instância pode criar e gerenciar nós de iteração.
Considere adicionar essa permissão para qualquer adicionados manualmente os usuários ou grupos que talvez seja necessário excluir, adicionar ou renomear nós de iteração.
Membros de usuários válidos da coleção de projetos, usuários válidos do projeto, ou qualquer usuário ou grupo que tenha a exibir informações em nível de coleção ou exibir informações em nível de projeto podem exibir permissões de qualquer nó de iteração.
Permissões do Team Foundation Version Control (TFVC)
Você pode definir permissões em TFVC de pastas e arquivos de código fonte no menu de contexto para a definição de arquivo ou pasta no TWA ou Team Explorer, ou usando o ferramenta de linha de comando tf permissão. Essas permissões são exibidos somente para um projeto de equipe configurado para usar TFVC como o sistema de controle de origem.
Nas permissões de controle de versão, uma negação explícita tem precedência sobre as permissões do grupo de administradores.
Nome da permissão |
TFSSecurity Action and tf perm |
TFSSecurityNamespace |
Descrição |
Colaboradores |
Administradores de Compilação |
Contas do Build Service da Coleção do Projeto |
Administradores do projeto (nota 1) |
|---|---|---|---|---|---|---|---|
Administrar rótulos |
tf: LabelOther |
VersionControlItems |
Editar ou excluir rótulos criados por outro usuário. |
|
|||
Fazer check-in (nota 2) |
tf: Checkin |
VersionControlItems |
Pode fazer check-in de itens e revisar os comentários do conjunto de alterações confirmadas. As alterações pendentes são confirmadas no check-in. |
|
|
|
|
Fazer check-in de alterações de outros usuários |
tf: CheckinOther |
VersionControlItems |
Pode verificar as alterações feitas por outros usuários. As alterações pendentes são confirmadas no check-in. |
|
|
||
Check-out (nota 2) |
tf: PendChange |
VersionControlItems |
Pode check-out e fazer uma alteração pendente itens em uma pasta. Os exemplos de alterações pendentes incluem adição, edição, renomeação, exclusão, cancelamento de exclusão, ramificação e mesclagem de um arquivo. É preciso fazer check-in de alterações pendentes, de forma que os usuários também precisarão da permissão Fazer Check-in para compartilharem suas alterações com a equipe. |
|
|
|
|
Rotular |
tf: Label |
VersionControlItems |
Pode rotular itens. |
|
|
|
|
Bloquear |
tf: Lock |
VersionControlItems |
Pode bloquear e desbloquear pastas ou arquivos. |
|
|
|
|
Gerenciar ramificação |
tf: ManageBranch |
VersionControlItems |
Pode converter qualquer pasta nesse caminho em uma ramificação e também executar as seguintes ações em uma ramificação: editar suas propriedades, especificar novamente o pai e convertê-lo em uma pasta.Os usuários que têm essa permissão podem ramificar essa ramificação somente se tiverem também o mesclar permissão para o caminho de destino. Os usuários não podem criar ramificações de uma ramificação para qual eles não têm a permissão Gerenciar ramificação. |
|
|
||
Gerenciar permissões (nota 3) |
tf: AdminProjectRights |
VersionControlItems |
Pode gerenciar permissões de outros usuários de pastas e arquivos no controle de versão. |
|
|||
Merge (nota 4) |
tf: Merge |
VersionControlItems |
Pode mesclar alterações no caminho. |
|
|
|
|
Ler |
tf: Read |
VersionControlItems |
Pode ler o conteúdo de um arquivo ou pasta. Se um usuário tiver permissões Ler para uma pasta, o usuário poderá ver o conteúdo da pasta e as propriedades dos arquivos nele, mesmo que o usuário não tenha permissão para abrir os arquivos. |
|
|
|
|
Revisar as alterações de outros usuários (nota 5) |
tf: ReviseOther |
VersionControlItems |
Pode editar os comentários em arquivos com check-in, mesmo que outro usuário check-in do arquivo. |
|
|||
Desfazer alterações de outros usuários direta (nota 5) |
tf: UndoOther |
VersionControlItems |
Pode desfazer uma alteração pendente feita por outro usuário. |
|
|||
Desbloquear alterações de outros usuários (nota 5) |
tf: UnlockOther |
VersionControlItems |
Pode desbloquear arquivos bloqueados por outros usuários. |
|
Observações:
Além disso, todas as permissões são definidas para herdado permitem a administradores de coleção de projetos e contas de serviço de coleção do projeto.
Grupo leitores recebe permissões somente exibição: leitura.
Considere adicionar essas permissões para os usuários adicionados manualmente ou grupos que contribui para o desenvolvimento do projeto; qualquer usuário que deve ser capaz de fazer check-in e check-out de alterações, fazer uma alteração pendente itens em uma pasta ou revisar os comentários do conjunto de alterações confirmadas.
Considere adicionar essa permissão para os usuários adicionados manualmente ou grupos que contribui para o desenvolvimento do projeto e que deve ser capaz de criar ramificações particulares, a menos que o projeto esteja sob práticas mais restritivas de desenvolvimento.
Considere adicionar essa permissão para os usuários adicionados manualmente ou grupos que contribuem para o desenvolvimento do projeto e que deve ser capaz de mesclar arquivos de origem, a menos que o projeto esteja sob práticas mais restritivas de desenvolvimento.
Considere adicionar essa permissão para os usuários adicionados manualmente ou grupos que são responsáveis por supervisionar ou monitorar o projeto e que podem ou devem alterar os comentários em arquivos com check-in, mesmo que outro usuário check-in do arquivo.
Permissões do repositório Git
Você pode definir permissões em um gito projeto, repositório ou ramificação no menu de contexto ou a página de administração no TWA, ou usando o ferramenta de linha de comando TFSSecurity. Essas permissões são exibidos somente para um projeto de equipe configurado para usar Git como o sistema de controle de origem.
Você pode definir todas as permissões para um projeto ou um repositório. Você pode definir Administer, colaboração e regravar e destruir permissões de histórico (força push) para uma ramificação. Repositórios e ramificações herdam permissões as atribuições feitas no nível do projeto.
Por padrão, os grupos de leitores níveis coleta e nível de projeto têm apenas as permissões de leitura.
Nome da permissão |
TFSSecurityAção |
TFSSecurityNamespace |
Descrição |
Colaboradores |
Administradores de Compilação |
Administradores do projeto (nota 1) |
|---|---|---|---|---|---|---|
Administrar (nota 2) |
Administrar |
GitRepositories |
Pode renomear o repositório, adicionar repositórios adicionais, verifique se o banco de dados e definir permissões para a ramificação. Os usuários que têm essa permissão poderão excluir o repositório se também tiverem a permissão Forçar. No nível de ramificação, pode definir permissões para a ramificação e excluir a ramificação. |
|
||
Criação de Ramificação |
CreateBranch |
GitRepositories |
Pode publicar ramificações no repositório. Falta dessa permissão não impede os usuários de criar ramificações no respectivo repositório local; apenas os impede de publicar ramificações locais no servidor. Quando um usuário cria uma nova ramificação no servidor, eles têm permissões administrar, contribuir e forçar para essa ramificação por padrão. |
|
|
|
Contribuir |
GenericContribute |
GitRepositories |
Pode enviar suas alterações para o repositório. No nível de ramificação, pode enviar suas alterações para a ramificação. |
|
|
|
Novo Gerenciamento |
ManageNote |
GitRepositories |
Pode enviar por push e editar notas de Git no repositório. Eles também poderão remover notas de itens se tiverem a permissão de força. Consulte neste tópico para obter mais detalhes sobre notas. |
|
|
|
Ler |
GenericRead |
GitRepositories |
Pode clonar, buscar, efetuar pull e explorar o conteúdo do repositório, mas não pode enviar qualquer alteração feita no repositório. |
|
|
|
Regravar e destruir histórico (forçar envio por push) |
ForcePush |
GitRepositories |
Pode forçar uma atualização, que pode substituir ou descartar confirmações de qualquer usuário. A exclusão de confirmações altera o histórico. Sem essa permissão, os usuários não podem descartar suas próprias alterações. Regravar e destruir histórico também é necessária para excluir uma ramificação. Como Regravar e destruir histórico permite que os usuários alterem o histórico ou removam uma confirmação do histórico, usuários que têm essa permissão podem excluir uma alteração e seu histórico do servidor. Eles também podem modificar o histórico de confirmação do repositório do servidor. No nível de ramificação, pode regravar e destruir o histórico da ramificação. |
|||
Criação de Marca |
CreateTag |
GitRepositories |
Pode enviar por push marcas ao repositório e pode também editar ou remover marcas de itens se tiverem a permissão de força. |
|
|
|
Observações:
Para administradores de coleção de projetos e contas de serviço de coleção de projetos, todas as permissões são definidas como herdado permitir.
Grupos de leitores e projeto Collection Build Service Accounts recebem permissões apenas para exibição: leitura.
Considere a adição de todas as permissões para um usuário adicionado manualmente ou grupos que contribui para o desenvolvimento do projeto.
Permissões de Lab Management
As permissões do Visual Studio Lab Management são específicas a máquinas virtuais, ambientes e outros recursos. Além disso, o criador de um objeto no Lab Management obtém automaticamente todas as permissões nesse objeto. Você pode definir essas permissões usando o ferramenta de linha de comando de permissões TFSLabConfig.
Por padrão, os grupos de leitores níveis coleta e nível de projeto têm apenas exibir permissões de recursos (leitura) de laboratório.
Nome da permissão |
TFSLabConfig Perm |
Descrição |
Colaboradores (nota 1) |
Administradores do Projeto |
Serviço de compilação de coleção do projeto |
Administradores do Team Foundation, Administradores da Coleção de Projetos |
|---|---|---|---|---|---|---|
Excluir o ambiente e máquinas virtuais |
Excluir |
Pode excluir ambientes e modelos. A permissão é verificada para o objeto que está sendo excluído. |
|
|
||
Excluir Locais de Laboratório |
DeleteLocation |
Pode excluir os locais de Lab Management recursos, que incluem a coleção hospede grupos, compartilhamentos de coletas de biblioteca, grupos de hosts do projeto e compartilhamentos de biblioteca do projeto. Para excluir um local, você deve ter a permissão Excluir Local de Laboratório para esse local. |
|
|
||
Editar Máquinas Virtuais e Ambiente |
Editar |
Podem editar ambientes e modelos. A permissão é verificada para o objeto que está sendo editado. |
|
|
|
|
Operações de ambiente |
EnvironmentOps |
Pode iniciar, parar, pausar e gerenciar instantâneos, além de executar outras operações em um ambiente. |
|
|
||
Importar Máquina Virtual |
Create |
Pode importar uma máquina virtual de um compartilhamento de biblioteca do VMM.Essa permissão é diferente de gravação porque ele apenas cria um objeto no Lab Management e não grava nada para o compartilhamento de biblioteca ou de grupo de host do Virtual Machine Manager. |
|
|
|
|
Gerenciar Permissões de Filhos |
ManageChildPermissions |
Pode alterar as permissões de todos os filhos Lab Management objetos. Por exemplo, se um usuário tiver uma permissão Gerenciador de Permissões de Filhos para um grupo de hosts do projeto de equipe, ele poderá alterar permissões para todos os ambientes nesse grupo de hosts do projeto de equipe. |
|
|
||
Gerenciar Locais de Laboratório |
ManageLocation |
Pode editar os locais dos Lab Management recursos, que incluem a coleção hospede grupos, compartilhamentos de coletas de biblioteca, grupos de hosts do projeto e compartilhamentos de biblioteca do projeto. Para editar um local específico, você deve ter a permissão Gerenciar Local de Laboratório para esse local. Essa permissão para locais no nível de coleção (grupos de hosts e compartilhamentos de biblioteca da coleção) também permite que você crie locais no nível de projeto (grupo de hosts e compartilhamento de biblioteca do projeto). |
|
|
||
Gerenciar Permissões |
ManagePermissions |
Pode modificar as permissões de um Lab Management objeto. Essa permissão é verificada para o objeto cujas permissões estão sendo modificadas. |
|
|||
Gerenciar Instantâneos |
ManageSnapshots |
Pode executar todas as tarefas de gerenciamento de instantâneo para um ambiente, o que incluir tirar um instantâneo, revertendo para um instantâneo, renomear um instantâneo, excluir um instantâneo e um instantâneo de leitura. |
|
|
|
|
Pausar Ambiente |
Pause |
Pode pausar um ambiente. |
|
|
|
|
Iniciar |
Iniciar |
Pode iniciar um ambiente. |
|
|
|
|
Parar |
Parar |
Pode parar um ambiente. |
|
|
|
|
Exibir Recursos de Laboratório |
Ler |
Pode exibir informações para os diversos Lab Management recursos, que incluem grupos de hosts de coleção, grupos de hosts do projeto e ambiente. Para exibir informações sobre um recurso específico de laboratório, você deve ter a permissão Exibir Recursos de Laboratório para esse recurso. |
|
|
|
|
Gravar Máquinas Virtuais e Ambiente |
Write |
Pode criar ambientes para um grupo de hosts do projeto. Os usuários que têm essa permissão para um compartilhamento de biblioteca do projeto podem armazenar ambientes e modelos. |
|
|
|
|
Observações:
- O grupo leitores recebeu permissões somente exibição: leitura.
Permissões de Release Management
No Gerenciamento de Versão, você pode atribuir permissões baseadas em função atribuída a um usuário, permissões funcionais explícitas atribuídas a grupos ou permissões atribuídas a instâncias específicas de uma versão de objeto. Além disso, você pode atribuir aprovadores e validadores a etapas específicas em um caminho de versão para garantir que os aplicativos implantados atendam à qualidade padrão.
Função base: as duas funções são Gerenciador de Versão e Usuário de Serviço. Os Gerenciadores de Versão podem gerenciar todas as funções, independentemente dos grupos aos quais estão vinculados. O Usuário de Serviço corresponde a uma função da conta de serviço. Para limitar o acesso dos usuários, não atribua a eles nenhuma função. Em vez disso, faça com que eles herdem as permissões atribuídas ao grupo ao qual estão vinculados.
Grupo: para restringir o acesso a outras áreas funcionais específicas, você atribui permissões aceitas pelo grupo. Os membros desse grupo herdam as permissões atribuídas ao grupo. Restringir o acesso requer alteração nas permissões concedidas ao grupo Todos, que tem todas as permissões por padrão.
Objeto: além das funções e grupos, você pode restringir o acesso a edição, exibição e gerenciamento de segurança dos caminhos de versão e dos modelos de versão. Você faz isso por meio da guia Segurança no caminho da versão e na página Propriedades de um modelo de versão.
Aprovadores e Validadores: aprovadores e validadores devem encerrar todas as etapas ou fases de uma versão. Você atribui aprovadores e validadores quando configura um caminho de versão. Todos os aprovadores e validadores devem ser adicionados como usuários ou membros de um grupo no Gerenciamento de Versão.
O Gerenciamento de Versão define um único grupo padrão, Todos, ao qual pertencem todas as contas que você adiciona ao Gerenciamento de Versão. Além disso, as permissões específicas são atribuídas às funções Gerente de Versão e Usuário de Serviço.
Você gerencia permissões Release Management no Release Management Client. Você pode definir essas permissões abrindo o submenu listado na coluna Onde definir. Para saber mais sobre como definir essas permissões, veja Adicionar usuários e grupos e controlar o acesso ao Release Management. Para instalar o Release Management, clique aqui.
Nome da permissão ou função de usuário |
Onde definir |
Descrição |
Todos |
Função de gerente de liberação |
Função do usuário de serviço |
|---|---|---|---|---|---|
Gerenciador de Versão |
Administração > Meu Perfil e página Novo Usuário |
Pode administrar o servidor de gerenciamento de liberação, gerenciar a conexão entre o TFS e Release Management e gerenciar os seguintes objetos:
Considere adicionar: os usuários que administrarão o servidor de gerenciamento de versão. |
|
||
Usuário de Serviço |
Administração > Meu Perfil e página Novo Usuário |
Pode gerenciar implantações ou pools de aplicativos web. Considere adicionar: identidades atribuídas para executar pools de aplicativos do servidor do agente de implantação Windows Service e monitoramento do gerenciamento de versão dos serviços do Windows da conta de serviço. |
|
||
View |
Configurar Aplicativos > Modelo de Versão > Propriedades Configurar Caminhos > Caminhos de Versão |
Pode exibir modelos de versão ou caminhos de versão e atribuir seletivamente exibir acesso a modelos de liberação específico e caminhos de versão para usuários específicos. Considere adicionar: usuários ou grupos que precisam exibir modelos de liberação específico ou caminhos de versão, mas não editá-los. |
|
|
|
Editar |
Configurar Aplicativos > Modelo de Versão > Propriedades Configurar Caminhos > Caminhos de Versão |
Pode editar modelos de versão ou caminhos de versão e escolha quais usuários podem editar modelos de liberação específico e caminhos para usuários específicos. Considere adicionar: usuários ou grupos que precisam editar modelos de liberação específico ou caminhos de versão. |
|
|
|
Pode Iniciar Versão |
Configurar Aplicativos > Modelo de Versão > Propriedades |
Pode iniciar uma versão e especificar quais usuários podem iniciar uma versão dos modelos de versão que podem exibir. Considere adicionar: usuários ou grupos que iniciarão uma versão. Com essa permissão, você pode especificar quais usuários podem iniciar uma versão dos modelos de versão que podem exibir. |
|
|
|
Gerenciar Segurança |
Configurar Aplicativos > Modelo de Versão > Propriedades Configurar Caminhos > Caminhos de Versão |
Pode gerenciar os grupos com permissões para exibir, editar, ou gerenciar modelos de versão ou caminhos de versão. Considere adicionar: usuários ou grupos que irão gerenciar quais grupos têm permissão para exibir, editar ou gerenciar modelos de versão ou caminhos de versão. Com essa permissão, os autores de modelos de versão e de caminhos de versão podem controlar quem pode exibir, editar ou liberar modelos ou caminhos específicos. |
|
|
|
Pode Criar Modelo de Liberação |
Configurar Aplicativos > Modelo de Versão |
Pode definir modelos de versão. Sem essa permissão, o botão Novo na guia Configurar Aplicativos > Modelo de Versão é ocultado. Considere adicionar: usuários ou grupos que precisam criar, iniciar ou aprovar uma versão. |
|
|
|
Pode Criar Caminho de Liberação |
Configurar Caminhos > Caminhos de Versão |
Pode definir os estágios, o processo de aprovação e a segurança dos caminhos de versão. Sem essa permissão, o botão Novo na guia Configurar Caminhos > Caminhos de Versão é ocultado. Considere adicionar: usuários ou grupos que precisam gerenciar a configuração da versão usada na implantação de aplicativos. |
|
|
|
Pode Gerenciar Ambiente |
Configurar Caminhos > Ambientes |
Pode definir os estágios que compõem um caminho de liberação e os servidores e segurança para cada fase. Sem essa permissão, a guia Configurar Caminhos > Ambientes é ocultada. Considere adicionar: usuários ou grupos que precisam gerenciar os servidores e os ambientes usados para definir os caminhos da versão. |
|
|
|
Pode Gerenciar Servidor |
Configurar Caminhos > Servidor |
Pode definir os caminhos da versão para implantar aplicativos no seu sistema. Essa permissão oferece suporte ao acesso para definir os servidores usados para implantação de aplicativos para servidores de teste, preparação e produção. Sem essa permissão, a guia Configurar Caminhos > Servidor é ocultada. Considere adicionar: usuários ou grupos que definirão os caminhos da versão para implantar aplicativos no seu sistema. Essa permissão oferece suporte ao acesso para definir os servidores usados para implantar aplicativos para teste, preparação e servidores de produção. |
|
|
|
Pode Gerenciar Inventário |
Inventário > Ações e Ferramentas |
Pode definir ações para implantar aplicativos no seu sistema ou ferramentas personalizadas. Com essa permissão, eles podem exibir, editar e criar ações e ferramentas. Consulte Ações de liberação para implantar um aplicativo para o Release Management. Sem essa permissão, a guia Inventário é ocultada. Considere adicionar: usuários ou grupos que definirão ferramentas personalizadas ou ações para implantar aplicativos no seu sistema. Com essa permissão podem exibir, editar e criar ações e ferramentas usadas na implantação de aplicativos. |
|
|
|
Pode Usar Ferramenta Personalizada em Ações e Componentes |
Configurar Aplicativos > Componente > Implantação Configurar Aplicativos > Modelo de Versão > Componente > Implantação |
Pode editar o comando e argumentos campos quando sem ferramenta está selecionado. Sem essa permissão, os usuários não podem editar esses campos. Considere adicionar: usuários ou grupos que irá definir caminhos ou modelos de versão ou que iniciarão versões. Isso permite que eles editem os campos Comando e Argumentos quando a opção Sem Ferramenta estiver selecionada. |
|
|
|
Editar Valores e Servidores de Destino |
Configurar Aplicativos > Modelo de Versão |
Pode editar variáveis de seqüência e a configuração de implantação para versões ou fases específicas. Sem essa permissão, as informações de estágio são somente leitura. Considere adicionar: usuários ou grupos que irá definir caminhos ou modelos de versão ou que iniciarão versões. Isso permite editar variáveis de sequência e configuração de implantação para versões ou fases específicas. |
|
|
|
Editar Aprovações e Ambiente |
Configurar Caminhos > Caminho de Versão > Estágios |
Pode editar aprovações e ambientes para um estágio específico. Sem essa permissão, as informações de estágio são somente leitura. Considere adicionar: usuários ou grupos que definirão caminhos ou modelos de versão. Isso permite editar aprovações e ambientes para uma fase específica. Sem essa permissão, as informações de preparo serão somente leitura. |
|
|
|
Perguntas e respostas
P: qual é a diferença entre os níveis de acesso e permissões?
R: determinados recursos no TFS só estão disponíveis para usuários que tenham o nível apropriado de licenciamento para esses recursos. O acesso a esses recursos não é controlado por permissões, mas pela associação em grupos de licenciamento para o Team Web Access. Consulte Alterar níveis de acesso.
P: quais permissões são atribuídas aos administradores de equipe?
R: administradores da equipe recebem várias permissões com base em função descritos aqui.
P: quais são as permissões associadas com alertas?
R: nenhuma permissão de interface do usuário associada alertas que você pode se inscrever por meio do TWA.
Por padrão, todos os colaboradores podem assinar alertas para si mesmo. Administradores de coleção de projetos e administradores do projeto ou usuários ou membros de grupos que têm as informações de nível de coleção de edição ou editar informações de nível de projeto podem definir alertas para outros usuários ou para uma equipe.
Você pode gerenciar permissões de alerta usando TFSSecurity no nível da coleção. O serviço do Team Foundation Event foi projetado para ser flexível e extensível.
Ação TFSSecurity |
TFSSecurity Namespace |
Descrição |
Administradores de coleção de projetos e contas de serviço de coleção do projeto |
|---|---|---|---|
CREATE_SOAP_SUBSCRIPTION |
EventSubscription |
Criar uma assinatura de serviço web baseado em SOAP. |
|
GENERIC_READ |
EventSubscription |
Pode exibir eventos de assinatura definidos para um projeto de equipe. |
|
GENERIC_WRITE |
EventSubscription |
Pode criar alertas para outros usuários ou para uma equipe. |
|
CANCELAR INSCRIÇÃO |
EventSubscription |
Pode cancelar uma inscrição de evento. |
|
P: quais recursos adicionais ou ferramentas de grupos de referência?
R: referenciam a esses recursos internos e personalizados (aqueles que você cria) grupos de TFS:
Consultas de itens de trabalho: agrupar, operador Not in Group
Atributo de elemento Field (definição) filho XML: para e não atributos
Atributo de elemento Field (fluxo de trabalho) filho XML: para e não atributos
P: o que é um usuário válido?Como os grupos de usuários válidos são preenchidos?
R: quando você adiciona contas de usuários diretamente a um grupo do TFS ou por meio de um grupo do Windows, eles são automaticamente adicionados a um dos grupos de usuários válidos.
Servidor\Team Foundation Valid Users: todos os membros adicionados aos grupos de nível de servidor.
ProjectCollectionName\Project usuários válidos da coleção: todos os membros adicionados aos grupos de nível de coleção de projetos.
TeamProjectName\Project usuários válidos: todos os membros adicionados aos grupos de nível de projeto.
As permissões padrão atribuídas a esses grupos são limitadas principalmente para acesso de leitura, como visualizar recursos de compilação, exibir informações em nível de projeto, e exibir informações de nível de conjunto.
Isso significa que todos os usuários que você adicionar a um projeto de equipe poderão exibir os objetos em outros projetos de equipe dentro de uma coleção. Se for necessário restringir o acesso de exibição, você poderá definir restrições através do nó de caminho de área. Para métodos adicionais, consulte Restringir acesso a funções e a tarefas.
Se você remover ou definir a permissão de informações de nível de instância de modo de exibição como Negar para um dos grupos de usuários válidos, nenhum usuário no grupo poderão acessar o projeto de equipe, coleção ou implantação, dependendo do grupo que você definir.
Além disso, o VALIDUSER elemento pode ser usado para permitir ou restringir o acesso para acompanhamento de item de trabalho.
P: como posso gerenciar permissões para acessar relatórios ou o portal do projeto?
R: para obter informações sobre como definir permissões no Reporting Services e Produtos do SharePoint para usuários no TFS, consulte Definir permissões de administrador de coleções de projeto da equipe, e Definir permissões de administrador para o Team Foundation Server.
Para obter exemplos passo a passo de como criar grupos personalizados, configurar permissões para controlar o acesso a recursos e outras opções, veja Restringir acesso a funções e a tarefas.