计划 Project Server 中的组、类别和 RBS
摘要:在 Project Server 权限模式中,Project Web App 安全性基于用户、组和类别。
适用于:Project Server 订阅版、Project Server 2019、Project Server 2016、Project Server 2013
本文介绍如何在 Project Server 部署中规划组和类别。 如果使用 SharePoint 权限模式作为安全模型,请参阅在 Project Server 中规划 SharePoint 组。
本文内容:
Project Web App 中的权限
权限 是对在 Project Server 上下文中执行特定操作的授权。 您可以对 Project Server 中的每种权限进行允许、拒绝 或不进行配置。 例如,可以为任何给定用户或组允许或拒绝"更改密码"权限。
Project Server 中有两种类型的权限:
全局权限 授予用户和组在整个 Project Web App 实例中执行操作的能力。 全局权限在用户或组级别进行分配。
类别权限 授予用户和组对特定项目和资源执行操作的能力。 类别权限在类别级别进行分配。
可以在 Project Web App 中的多个不同位置设置权限。 您可以通过选中"允许"和"拒绝"列中的复选框来允许或拒绝权限。 如果既不选中"允许"复选框,也不选中"拒绝"复选框,则默认状态为"不允许"。 如果以其他某种方式向用户授予了权限,则"不允许"状态不会阻止用户访问与权限关联的功能。 例如,用户可能属于一个未对其配置权限("不允许")的组,但用户可以利用允许其权限的组中的成员身份来授予权限。 但是,如果该权限在任意位置被明确拒绝,则将在所有位置对特定用户或组拒绝权限。
通过从"Project Web App 设置"菜单中选择"Project Web App 设置"可以配置所有 Project Server 权限。 可通过以下方式配置权限:
允许 使用户或组成员能够执行与权限关联的操作。
拒绝 阻止用户或组执行与权限关联的操作。 拒绝权限时要特别小心。 请注意,如果拒绝了用户的特定权限,则拒绝设置将取代可能应用于该用户所属的其他组的任何"允许"设置。 默认情况下,没有任何权限设置为"拒绝"。
Not Allow If you select neither Allow nor Deny for a permission, the default state is Not Allow. If a user belongs to more than one group, and a permission is set to Not Allow for one group and is set to Allow (but not Deny) for another group, then the user is allowed to perform the actions associated with the permission.
一个重要考虑事项是:当您要将权限配置为"拒绝"时,"拒绝"设置将取代适用于利用其他组成员身份获得该权限的用户的任何"允许"设置。 限制您对"拒绝"设置的使用可简化大用户组的权限管理。
注意
"拒绝"设置使您能够拒绝对功能的访问,因为此设置将取代"允许"设置。 因此,在选择"拒绝"复选框时要特别小心。 选中"拒绝"复选框可以阻止组织外部的用户访问 Project Server 安全对象,也可以拒绝用户或组使用功能。
对于有大量用户的组织,针对每个用户分配和管理权限可能是一项艰巨的任务。 如果使用组,则仅需一个操作就可以向多个用户分配权限。 可在初始 Project Server 部署规划过程中,创建组并定义与这些组关联的权限集,然后再将用户分配到组,将组分配到类别。 定义组、与组关联的权限以及组成员身份后,用户、组和类别的日常管理包括将用户添加到安全组或从中移除用户。 这有助于减少所需的日常管理任务量,并可以简化权限问题的解决。
Project Web App 中的组
组包含具有相似功能需求的用户集。 例如,您组织中特定部门的每个项目经理可能需要相同的 Project Server 权限集,而主管人员或资源经理可能具有不同的需求。
根据组织中用户需要访问的 Project Web App 区域来确定共同需求,从而定义组。 定义组之后,您可以将用户添加到该组并向该组授予权限;分配给组的权限应用于该组包含的所有用户。 使用组来控制 Project Web App 权限可以简化 Project Web App 中的安全管理。 可以频繁地更改组成员身份,但只能偶尔更改对组的访问要求。
注意
组成员资格仅包含用户。 组不能包含其他组。
根据用户在组织中的角色及他们的访问要求,用户可以属于多个组。 以下默认组在处于 Project Server 权限模式的每个 Project Web App 实例中可用。 每个类别都分配有一组预定义的类别和权限。
| Group | 说明 |
|---|---|
| 管理员 |
用户通过"我的组织"类别拥有所有全局权限和所有类别权限。 这使他们可以完全访问 Project Web App 的给定实例上的所有内容。 |
| 项目组合查看者 |
用户具有查看项目和 Project Web App 数据的权限。 此组用于需要查看项目、但不向自己分配项目任务的高级用户。 |
| 项目组合经理 |
用户有组合的创建项目和组建团队的权限。 此组用于项目组的高级经理。 |
| 项目经理 |
用户具有大多数全局和类别级项目权限以及有限的资源权限。 此组用于维护每日项目日程的用户。 |
| 资源经理 |
用户具有大多数全局和类别级资源权限。 此组针对的是管理和分配资源并编辑资源数据的用户。 |
| 团队领导 |
用户具有与任务创建和状态报告有关的有限权限。 此组用于没有常规项目工作分配的领导层人员。 |
| 团队成员 |
用户具有使用 Project Web App 的常规权限,但是只有有限的项目级权限。 此组用于为每个人提供对 Project Web App 的基本访问。 所有新用户都自动添加到"工作组成员"组。 |
通常,管理员分配权限的方法是:将用户帐户添加到某个内置组,或创建一个新组并将特定权限分配给该组。
Project Web App 中的类别
类别是项目、资源和视图的集合。 类别定义给定用户可以访问的信息范围。 类别与组的相似之处在于它也为用户提供权限。 与全局权限不同,类别权限与特定项目和资源相关。 此外,类别包括项目和资源筛选器,这些筛选器可以用于确定指定权限应用于哪些项目和资源。
组和类别互相关联,从而为每个用户提供一组完整权限。 每个组都可以与一个或多个类别关联,而每个类别可以为该组的成员提供针对该类别中项目的不同项目级和资源级权限集。
每个 Project Web App 实例包括以下默认类别:
| 类别 | 说明 |
|---|---|
| 我的直接下属 |
允许为其 RBS 直接后代审批时间表的用户权限。 此类别用于需要时间表审批能力的经理。 |
| 我的组织 |
包含所有项目和资源,并根据关联的组管理允许各种级别的类别权限。 还提供对所有视图的完全访问。 此类别用于允许用户查看 Project Web App 实例的所有内容。 |
| 我的项目 |
经过筛选后为以下用户允许类别权限:拥有项目或作为项目状态经理的用户、作为资源分配给项目的用户、或是其 RBS 后代分配给项目的用户。 此类别用于允许用户查看其 RBS 后代所关联的所有项目。 |
| 我的资源 |
允许大多数资源级类别权限(对作为用户的 RBS 后代的资源进行筛选)。 此类别用于允许用户按照 RBS 结构中的表示来管理其资源。 |
| 我的任务 |
允许用户查看为其分配的项目。 此类别与"工作组成员"组关联,用于要查看为其分配的项目的每个人。 |
您可以创建自定义类别以提供用于访问项目、资源和视图数据的新方法。 大量类别可能十分复杂,难以管理。 我们建议您谨慎使用类别。
Project Web App 中的安全模板
安全模板是预定义的权限集。 使用安全模板可简化向需要访问同一数据的用户组授予权限的过程。 每个 Project Web App 实例包括以下默认安全模板:
管理员
项目组合查看者
项目组合经理
项目经理
建议审阅者
资源经理
工作组负责人
工作组成员
您可以通过安全模板将预定义权限配置文件快速应用于新的或现有用户、组和类别,还可以重置预定义权限配置文件。 通过应用安全模板,您可以轻松地标准化根据用户在组织中的角色分配的权限。 默认安全模板与 Project Web App 中的预定义组相对应。 您可以自定义这些安全模板并根据需要创建新的安全模板。
注意
当您更改安全模板的设置时,所做的更改不会自动应用于应用该模板的用户和组。
创建自定义安全模板需要进行规划。 必须首先确定 Project Web App 在您的组织中的通用使用模式,而默认安全模板中未反映这些使用模式。 这可以帮助您确定对自定义安全模板的要求。 然后确定共享 Project Web App 通用使用模式的用户所需的权限。 这将定义安全模板。 其次,确定用户和组需要访问的项目、资源和视图等的集合;这将定义安全类别。 创建自定义安全模板并将其应用于共享通用使用模式的用户组。
Project Web App 中的资源细分结构
资源细分结构 (RBS) 是通常基于组织的管理报告结构的分层安全结构,不过也可以采用其他方式进行构造。 当 RBS 用于定义组织中用户和项目间的报告关系时,该结构将成为 Project Web App 安全模型中的重要元素。 当您为每个 Project Web App 用户指定 RBS 值时,可以利用可为每个安全类别定义的动态安全选项。
RBS 结构的定义方法是将值添加到 Project Web App 中内置的 RBS 自定义查询表。 定义了结构之后,您便可以通过在用户的帐户设置页中设置 RBS 属性,将 RBS 值分配给各个用户。
配置了 RBS 之后,类别便可以使用 RBS 代码动态确定特定用户可以查看或访问的项目和资源。 下表列出了在每个类别中可用的、使用 RBS 的安全选项。
项目的安全选项
| 选项 | 说明 |
|---|---|
| 该用户是项目所有者,或者是该项目中工作分配状态的管理员 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其作为项目所有者或状态经理的项目。 |
| 用户属于该项目的项目工作组 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其作为资源的项目 |
| 项目所有者是用户的 RBS 后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看由其 RBS 后代所有的项目 |
| 项目的项目工作组资源是用户的 RBS 后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其 RBS 后代作为资源的项目 |
| 项目所有者与用户有相同的 RBS 值 |
如果用户拥有选中了此选项的类别中的权限,则可以查看由具有相同 RBS 值的其他用户所有的项目 |
注意
前两个选项("该用户是项目所有者,或者是该项目中工作分配状态的管理员"和"用户属于该项目的项目工作组")与 RBS 不相关,但确实可以提供相似的方法来筛选对用户可见的项目。
资源的安全选项
| 选项 | 说明 |
|---|---|
| 用户为资源 |
如果用户拥有选中了此选项的类别中的权限,则可以将自己作为资源进行查看 |
| 他们是用户拥有的项目的项目工作组成员 |
如果用户拥有选中了此选项的类别中的权限,则可以查看向其拥有的项目分配的资源 |
| 他们是用户的 RBS 后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其 RBS 后代 |
| 他们是用户的 RBS 直接后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其 RBS 直接后代 |
| 他们与用户有相同的 RBS 值 |
如果用户拥有选中了此选项的类别中的权限,则可以查看具有相同 RBS 值的其他用户 |
注意
前两个选项("用户为资源"和"他们是用户所拥有项目的项目工作组成员")与 RBS 不相关,但确实提供了相似的方法来筛选对用户可见的资源。
可以在创建或修改类别时配置上表中的选项。