Разрешения Team Foundation Server
Обновлен: Ноябрь 2007
Разрешения определяют авторизацию для таких пользовательских действий, как администрирование рабочей области и создание проекта. Во время создания проекта в Team Foundation Server для данного проекта создается четыре группы по умолчанию, независимо от выбранного шаблона процесса. По умолчанию каждая из этих групп имеет набор разрешений, определенных для них. Эти разрешения определяют то, что могут делать участники данных групп.
Администратор проекта
Участник
Читатель
Службы построения
Чтобы управлять группами по умолчанию и создавать настраиваемые группы, администраторы должны понимать смысл разрешений и их влияние на безопасность, прежде чем явно назначать разрешения.
.gif "Примечание") Примечание. |
|---|
В данном разделе не описываются разрешения для Windows SharePoint Services и служб отчетов SQL. Здесь обсуждаются только те разрешения, которые задаются в Team Foundation Server. |
Параметры разрешений
В Team Foundation Server разрешения могут иметь два явных параметра авторизации: Запретить и Разрешить. Также имеется неявная авторизация, которая не задает для разрешения значение Разрешить или значение Запретить. Данная авторизация является неявным параметром Запретить и имеет значение "Не определено".
Запретить
Параметр "Запретить" запрещает авторизацию пользователя или группы на выполнение действий, которые определяются в описании разрешения. "Запретить" — это наиболее влиятельный параметр разрешения в Team Foundation Server. Если пользователь входит в группу Team Foundation Server, для которой определенное разрешение имеет значение Запретить, этот пользователь не может выполнять данную функцию, даже если он входит в другую группу, для которой данное разрешение имеет значение Разрешить. Единственное исключение из этого правила применяется тогда, когда пользователь является участником группы Администраторы проекта для проекта или группы Администраторы Team Foundation. Если пользователь является участником группы "Администраторы проекта" для проекта, полномочия данной группы переопределяют явное значение "Запретить" для данного пользователя в проекте. Точно так же, если пользователь является участником группы "Администраторы Team Foundation", полномочия этой группы переопределяют явное значение "Запретить" для данного пользователя в Team Foundation Server.
Разрешить
Значение "Разрешить" дает разрешение пользователю или группе выполнять действия, определенные в описании разрешения. "Разрешить" — это второй по влиятельности параметр разрешения в Team Foundation Server. Именно этот параметр используется чаще всего. Если разрешение не имеет явного значения Разрешить, пользователь или группа не могут выполнять данное действие в Team Foundation Server.
Не определено
По умолчанию большинство разрешений в Team Foundation Server не имеют значения Запретить или Разрешить. Разрешения остаются неопределенными, что неявно запрещает пользователям и группам выполнять действия, которые определены в описании разрешения. Однако так как разрешение не имеет явного значения Запретить или Разрешить, авторизация для данного разрешения может наследоваться от других групп, чьим участником является пользователь или группа.
Наследование
Если разрешение не определено для пользователя или группы, на пользователя или группу могут оказывать влияние явные параметры разрешений для группы, куда они включены, так как разрешения в Team Foundation Server наследуются. Например, если пользователь является участником двух настраиваемых групп в проекте, и одна из этих групп имеет разрешение с явным значением Запретить, а другая группа имеет то же разрешение с неопределенным значением, пользователь не будет иметь разрешения на выполнение действий, которые управляются данным разрешением (пользователь наследует разрешения из обеих групп, и значение Запретить имеет приоритет над неопределенным разрешением).
| Примечание. |
|---|
Разрешения, которые настраиваются вне Team Foundation Server, например, в Windows SharePoint Services, не наследуются в Team Foundation Server. В данном разделе они не обсуждаются. |
Определенные параметры авторизации имеют приоритет над другими параметрами авторизации. В Team Foundation Server разрешение "Запретить" имеет приоритет над другими параметрами разрешений, включая "Разрешить". Например, пользователь может быть участником двух групп проекта. В одной группе разрешение Публиковать результаты теста имеет значение Запретить; в другой группе то же разрешение имеет значение Разрешить. Параметр Запретить имеет приоритет, и пользователь не может публиковать результаты теста. Единственное исключение из этого правила применяется тогда, когда пользователь является участником группы "Администраторы проекта" для проекта или группы "Администраторы Team Foundation". Если пользователь является участником группы "Администраторы проекта" для проекта, полномочия данной группы переопределяют явное значение "Запретить" для данного пользователя в проекте. Точно так же, если пользователь является участником группы "Администраторы Team Foundation", полномочия данной группы переопределяют явное значение "Запретить" для данного пользователя в Team Foundation Server.
Разрешения, заданные через пользовательский интерфейс Team Foundation Server и через командную строку
Большинство разрешений, которые можно настроить для Team Foundation Server, управляются через пользовательский интерфейс Team Foundation Server. Данные разрешения можно настраивать для сервера (разрешения уровня сервера) или для проекта (разрешения уровня проекта). Также можно настраивать разрешения уровня области, чтобы просматривать и взаимодействовать с рабочими элементами на уровне проекта. Дополнительную информацию о том, какие разрешения устанавливаются по умолчанию и для каких пользователей, а также о том, какие разрешения настраиваются для групп "MSF для гибкой разработки программного обеспечения" или "Улучшение процессов MSF CMMI", см. в разделе Группы по умолчанию, права и роли в Team Foundation Server. Дополнительные сведения о том, как настраивать разрешения для пользователей и групп, см. в разделах Управление пользователями и группами и Управление разрешениями. Дополнительные сведения об управлении рабочими элементами см. в разделе Работа с рабочими элементами Team Foundation.
Разрешения уровня сервера
Разрешения уровня сервера не настраиваются для отдельных проектов. Вместо этого они используются на всем сервере. Данные разрешения можно настроить только для трех категорий пользователей:
Пользователи и группы уровня сервера, например, "Администраторы Team Foundation"
Группы уровня проекта, добавленные к уровню сервера на сервере Team Foundation
Настраиваемые группы, созданные и добавленные к уровню сервера
Чтобы настроить данные разрешения в Team Foundation Server, щелкните правой кнопкой мыши по серверу в Сред. Командный обозреватель и выберите пункт Безопасность. Данные разрешения можно настроить с помощью служебной программы командной строки TFSSecurity, кроме служебных программ командной строки с обозначением tf:. Если служебная программа имеет обозначение tf:, для настройки разрешений следует использовать команду Permission служебной программы командной строки tf для системы управления версиями. Дополнительные сведения см. в разделах Команды программы командной строки TFSSecurity и Команда "permission".
Имя разрешения |
Имя в командной строке |
Описание |
|---|---|---|
Управление отложенными изменениями |
tf: AdminShelvesets |
Пользователи с данным разрешением могут удалять наборы отложенных изменений, созданные другими пользователями. |
Управление хранилищем |
ADMINISTER_WAREHOUSE |
Пользователи с данным разрешением могут изменить параметры хранилища с помощью веб-метода ChangeSetting веб-службы WarehouseController.asmx. Например, можно разрешить пользователям настраивать интервал обновления при расчете кубов OLAP. |
Управление рабочими областями |
tf: AdminWorkspaces |
Пользователи с данным разрешением могут создавать рабочие области для других пользователей и удалять рабочие области, созданные другими пользователями. |
Создать рабочую область |
tf: CreateWorkspace |
Пользователи с данным разрешением могут создавать рабочую область системы управления версиями. |
Создать новые проекты |
CREATE_PROJECTS |
Пользователи с данным разрешением могут создавать новые проекты в Team Foundation Server. Для успешного создания новых проектов данные пользователи должны быть участниками группы Центр администрирования SharePoint на сервере Windows SharePoint и иметь разрешения Диспетчер содержимого в службах отчетов SQL. |
Изменить сведения на уровне сервера |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Пользователи с данным разрешением могут изменять разрешения уровня сервера для пользователей и групп на Team Foundation Server. Они могут добавлять или удалять группы приложений Team Foundation Server уровня сервера в Team Foundation Server. При настройке через меню разрешение Изменить сведения на уровне сервера также неявно разрешает пользователю изменять разрешения для системы управления версиями. Чтобы присвоить все вышеуказанные разрешения из командной строки, следует использовать команду tf.exe Permission для присвоения разрешений AdminConfiguration и AdminConnections, а также команду GENERIC_WRITE. Примечание.
Группы сервера по умолчанию, например, "Администраторы Team Foundation", нельзя удалить.
|
Изменить параметры трассировки |
DIAGNOSTIC_TRACE |
Пользователи с данным разрешением могут изменять параметры трассировки, чтобы собирать более подробные диагностические сведения о веб-службах Team Foundation Server. Дополнительные сведения о трассировке см. в разделе Параметры трассировщика для Team Foundation Server. |
Активировать события |
TRIGGER_EVENT |
Пользователи с данным разрешением могут актировать события оповещения проекта в Team Foundation Server. Данное разрешение должно присваиваться только учетным записям служб. |
Управление шаблонами процессов |
MANAGE_TEMPLATE |
Пользователи с данным разрешением могут загружать, создавать, редактировать и отправлять шаблоны процессов в Team Foundation Server. |
Просмотр информации на уровне сервера |
GENERIC_READ |
Пользователи с данным разрешением могут просматривать участников групп на уровне сервера, а также их разрешения. |
Просмотр сведений о синхронизации системы |
SYNCHRONIZE_READ |
Пользователи с данным разрешением могут активировать события синхронизации. Данное разрешение должно присваиваться только учетным записям служб. |
Разрешения уровня проекта
Разрешения уровня проекта применяются к пользователям и группам отдельного проекта. Чтобы настроить данные разрешения в Team Foundation Server, щелкните правой кнопкой мыши проект в Сред. Командный обозреватель, выберите пункт Параметры командного проекта, а затем пункт Безопасность. Данные разрешения также можно настроить с помощью служебной программы командной строки TFSSecurity.
Имя разрешения |
Имя в командной строке |
Описание |
|---|---|---|
Удалить данный проекта |
DELETE |
Пользователи с данным разрешением могут удалять проект, для которого у них есть данное разрешение из Team Foundation Server. |
Редактировать информацию уровня проекта |
GENERIC_WRITE |
Пользователи с данным разрешением могут изменять разрешения на уровне проекта для пользователей и групп в Team Foundation Server. |
Публиковать результаты тестов |
PUBLISH_TEST_RESULTS |
Пользователи с данным разрешением могут добавлять и удалять результаты тестов на портале командного проекта, а также добавлять или удалять текстовые запуски. |
Просматривать информацию уровня проекта |
GENERIC_READ |
Пользователи с данным разрешением могут просматривать участников групп уровня проекта, а также разрешения данных пользователей проекта. |
Разрешения уровня построения
Разрешения уровня построения применяются к пользователям и группам отдельного проекта. Чтобы настроить данные разрешения, щелкните правой кнопкой мыши Сред. Командный обозреватель, выберите пункт Параметры командного проекта, а затем пункт Безопасность. Кроме того, данные разрешения можно настроить с помощью служебной программы командной строки TFSSecurity.
Имя разрешения |
Имя в командной строке |
Описание |
|---|---|---|
Управлять построением |
ADMINISTER_BUILD |
Пользователи с данным разрешением могут удалять готовые построения и останавливать текущие построения. |
Изменять качество построения |
EDIT_BUILD_STATUS |
Пользователи с данным разрешением могут добавлять сведения о качестве построения через пользовательский интерфейс для Team Foundation Build. Данные сведения хранятся в хранилище базы данных для Team Foundation Build. |
Начать построение |
START_BUILD |
Пользователи с данным разрешением могут начинать построение через интерфейс Team Foundation Build или из командной строки. Данное разрешение также требуется, чтобы настроить построение для хранения без ограничения по времени. |
Записать в операционное хранилище построения |
UPDATE_BUILD |
Данное разрешение должно присваиваться учетной записи, в которой запущена служба построения, чтобы можно было обновить хранилище базы данных для Team Foundation Build. Данное разрешение следует присваивать только учетным записям служб, а не отдельным пользователям. |
Разрешения уровня области для отслеживания рабочих элементов
Разрешения уровня области применяются к пользователям и группам отдельного проекта. Чтобы настроить данные разрешения, щелкните правой кнопкой мыши проект в Сред. Командный обозреватель, выберите пункт Области и итерации, затем на вкладке Область щелкните пункт Безопасность. Кроме того, данные разрешения можно настроить с помощью служебной программы командной строки TFSSecurity.
| Примечание. |
|---|
Для некоторых операций отслеживания рабочих элементов требуется несколько разрешений. Например, для удаления узла требуется несколько разрешений. |
Имя разрешения |
Имя в командной строке |
Описание |
|---|---|---|
Создавать и располагать дочерние узлы |
CREATE_CHILDREN |
Пользователи с данным разрешением могут создавать новые узлы областей. Пользователи, у которых есть данное разрешение и разрешение Изменить узел, могут перемещать и изменять порядок любых дочерних узлов областей. |
Удалить этот узел |
DELETE |
Пользователи, у которых есть данное разрешение и разрешение Изменить узел для другого узла, могут удалять узлы областей и изменять классификацию существующих рабочих элементов из удаленного узла. Любые дочерние узлы удаленного родительского узла также удаляются. |
Изменить этот узел |
GENERIC_WRITE |
Пользователи с данным разрешением могут переименовывать узлы областей. |
Изменить рабочие элементы этого узла |
WORK_ITEM_WRITE |
Пользователи с данным разрешением могут изменять рабочие элементы на этом узле области. |
Просмотреть данный узел |
GENERIC_READ |
Пользователи с данным разрешением могут просматривать параметры безопасности для данного узла. |
Просматривать рабочие элементы этого узла |
WORK_ITEM_READ |
Пользователи с данным разрешением могут просматривать, но не редактировать или изменять рабочие элементы в этом узле области. |
Разрешения уровня итерации для отслеживания рабочих элементов
Разрешения уровня итерации применяются к пользователям и группам отдельного проекта. Чтобы настроить данные разрешения, щелкните правой кнопкой мыши проект в Сред. Командный обозреватель, выберите пункт Области и итерации, и на вкладке Итерации щелкните Безопасность. Кроме того, данные разрешения можно настроить с помощью служебной программы командной строки TFSSecurity.
| Примечание. |
|---|
Для некоторых операций отслеживания рабочих элементов требуется несколько разрешений. Например, для удаления узла требуется несколько разрешений. |
Имя разрешения |
Имя в командной строке |
Описание |
|---|---|---|
Создавать и располагать дочерние узлы |
CREATE_CHILDREN |
Пользователи с данным разрешением могут создавать новые узлы итерации. Пользователи, у которых есть данное разрешение и разрешение Изменить узел, могут перемещать или менять порядок любых дочерних узлов итерации. |
Удалить этот узел |
DELETE |
Пользователи, у которых есть данное разрешение и разрешение Изменить узел для другого узла, могут удалять узлы итерации и изменять классификацию существующих рабочих элементов из удаленного узла. Любые дочерние узлы удаленного родительского узла также удаляются. |
Изменить этот узел |
GENERIC_WRITE |
Пользователи с данным разрешением могут переименовывать узлы итерации. |
Просмотреть данный узел |
GENERIC_READ |
Пользователи с данным разрешением могут просматривать параметры безопасности для данного узла. |
Разрешения системы управления версиями
Разрешения системы управления версиями применяются к файлам и папкам исходного кода. Чтобы настроить данные разрешения, щелкните правой кнопкой мыши папку или файл в обозревателе управления исходным кодом, выберите пункт Свойства, а затем на вкладке Безопасность выберите пользователя или группу, для которых необходимо изменить разрешения. После этого можно отредактировать разрешения, перечисленные в списке Разрешения. Данные разрешения также можно настроить с помощью служебной программы командной строки tf для системы управления версиями.
Имя разрешения |
Имя в командной строке |
Описание |
|---|---|---|
Чтение |
tf: Read |
Пользователи с данным разрешением могут читать содержимое файла или папки. Если пользователь имеет разрешения Чтение для папки, он может просматривать содержимое папки и свойства файлов в ней, даже если он не имеет разрешения на открытие файлов. |
Извлечь |
tf: PendChange |
Пользователи с данным разрешением могут извлекать и вносить ожидающие изменения в элементы, расположенные в папке. Примеры ожидающих изменений: добавление, переименование, отмена удаления, ветвление и слитие файла. |
Вернуть |
tf: Checkin |
Пользователи с данным разрешением могут возвращать элементы и просматривать любые внесенные комментарии к набору изменений. Ожидающие изменения вносятся во время возврата. |
Метка |
tf: Label |
Пользователи с данным разрешением могут помечать элементы. |
Блокировка |
tf: Lock |
Пользователи с данным разрешением могут блокировать и разблокировать папки и файлы. |
Пересмотр изменений других пользователей |
tf: ReviseOther |
Пользователи с данным разрешением могут редактировать комментарии в возвращенных файлах, даже если другой пользователь вернул этот файл. |
Разблокировать изменения других пользователей |
tf: UnlockOther |
Пользователи с данным разрешением могут разблокировать файлы, заблокированные другими пользователями. |
Отмена изменений других пользователей |
tf: UndoOther |
Пользователи с данным разрешением могут отменять ожидающие изменения, внесенные другими пользователями. |
Администрирование меток |
tf: LabelOther |
Пользователи с данным разрешением могут редактировать и удалять метки, созданные другими пользователями. |
Управление параметрами безопасности |
tf: AdminProjRights |
Пользователи с данным разрешением могут настраивать разрешения для данных файлов и папок. |
Возврат изменений других пользователей |
tf: CheckinOther |
Пользователи с данным разрешением могут возвращать изменения, внесенные другими пользователями. Ожидающие изменения будут вноситься во время возврата. |
См. также
Задачи
Практическое руководство. Задание разрешений администратора Team Foundation Server
Практическое руководство. Установка разрешений руководителя проекта Team Foundation Server
Настройка разрешений участника Team Foundation Server
Практическое руководство. Указание разрешений читателя для Team Foundation Server
Основные понятия
Группы по умолчанию, права и роли в Team Foundation Server
Работа с рабочими элементами Team Foundation
Другие ресурсы
Команды программы командной строки TFSSecurity
Справочные сведения о командной строке системы управления версиями Team Foundation