设置工作跟踪权限

Azure DevOps Services |Azure DevOps Server 2022 - Azure DevOps Server 2019 |TFS 2018

通过向用户或组授予对象、项目或集合的特定权限,授予或限制对各种工作跟踪功能的访问权限。 或者,可以为应用于可能限制或要求用户执行选择操作的用户或组的进程或项目指定自定义规则。 一般情况下,你需要将用户添加到项目的“参与者”组,以便提供对大多数功能的访问权限,如 “权限”和“工作跟踪的访问权限”。

注意

对于公共项目,利益干系人访问权限使用户能够更好地访问工作跟踪功能和对 Azure Pipelines 的完全访问权限。 若要了解详细信息,请参阅 利益干系人访问快速参考

先决条件

  • 若要设置工作跟踪权限,你必须是 项目管理员的成员,或者具有显式权限来管理工作跟踪区域,如本文所述。
  • 若要设置进程权限,您必须是 Project Collection Administrators的成员,或者具有编辑收集过程的显式权限。

通过自定义规则支持业务工作流

自定义规则不设置权限,但确实会影响运行时用户的有效权限以修改工作项或设置工作项字段的值。 Azure Boards支持以下支持业务工作流的工作跟踪自定义。

  • 在工作项创建、状态更改、指定状态时应用选择规则。
  • 当字段值为空、设置为特定值或已更改或未更改为值时应用选择规则。
  • 在从指定状态移动时,将转换限制为特定状态。
  • 根据修改工作项的用户或组成员身份应用选择规则。

规则设置的常见操作包括:

  • 创建必填字段或只读字段
  • 清除或设置字段的值,或将字段值复制到另一个字段
  • 隐藏字段。

例如,可以指定有效限制一组用户执行以下任务的规则:

  • 创建工作项
  • 将工作项转换为已关闭或已完成状态
  • 更改字段的值。

或者,执行以下自动化:

  • 根据状态更改重新分配工作项
  • 基于对子工作项所做的状态更改对父工作项的状态转换。

某些限制用于将自定义规则应用于系统字段。 例如,不能指定设置或清除 区域路径迭代路径 的值的规则,因为这些规则是系统字段。 若要了解有关自定义规则的详细信息,可以定义自定义规则和系统字段限制,请参阅 规则和规则评估。 有关定义自定义规则的示例方案,请参阅 示例规则方案

工作跟踪角色和权限级别

下表汇总了可以在对象、项目或集合级别设置的不同权限。 团队管理员角色提供添加和修改团队资源的访问权限。


角色或权限级别

功能区域集


团队管理员角色
若要将用户添加到团队管理员角色,请参阅 “添加团队管理员”。


对象级别权限


项目级别的权限


项目集合级权限


注意

如果尚未定义要设置其权限的组,请先创建组,通常位于项目级别。 若要了解如何操作,请参阅 添加或删除用户或组,管理安全组

创建子节点,修改区域或迭代路径下的工作项

区域路径权限允许你授予或修改编辑或修改工作项、测试用例或分配给这些区域的测试计划的权限。 可以限制用户或组的访问权限。 还可以为可以添加或修改项目的区域或迭代的人员设置权限。

注意

授予创建或编辑 区域路径迭代路径 的权限的项目成员与控制配置团队 区域路径迭代路径的权限分开。 若要配置团队设置,必须将你添加到 团队管理员角色,或成为 项目管理员的成员。 *

项目设置>项目配置中为项目定义区域和迭代。

  1. 选择“ (1) 项目设置”,然后在“板”下选择 (2) 项目配置,然后选择“ (3 个) 区域迭代”以修改区域路径或迭代路径。

    显示打开“项目设置工作>项目配置”>的屏幕截图。

  2. 选择要管理的节点的 ... 上下文菜单,然后选择 “安全性”。

    区域路径的上下文菜单的屏幕截图,选择“安全性”。

  3. 选择组或项目成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。

    例如,此处添加了 “禁止访问组”,并禁止此组的成员能够在 帐户管理 区域路径中查看、修改或编辑工作项。

    区域路径节点安全性、所选组和设置“拒绝”权限的屏幕截图。

    可以为权限指定两个显式授权状态: 拒绝允许。 此外,权限可以存在于另外三种状态之一。 若要了解详细信息,请参阅 权限、访问权限和安全组入门

  4. (可选) 选择 “继承 ”滑块以禁用继承。 禁用继承将保留所有继承的权限作为显式访问控制项 (ACE) 。

  5. 完成后,只需关闭对话框即可。 更改会自动保存。

项目设置>项目配置中为项目定义区域和迭代。

  1. 选择“ (1) 项目设置”,然后在“板”下选择“ (2) 项目配置”,然后选择“ (3 个) 区域”。

    显示打开本地服务器的“项目设置>工作>项目配置”的屏幕截图。

  2. 选择要管理的节点的 ... 上下文菜单,然后选择 “安全性”。

    区域路径的上下文菜单的屏幕截图,选择“安全性”Azure DevOps Server 2020。

  3. 选择组或团队成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。

    例如,我们在此处添加了 “禁止访问组”,并禁止此组的成员能够在客户服务区域路径中查看、修改或编辑工作项。

    区域路径节点安全性、所选组和设置“拒绝权限”的屏幕截图,Azure DevOps Server 2020 及更低版本。

    可以为权限指定两个显式授权状态: 拒绝允许。 此外,权限可以存在于另外三种状态之一。 若要了解详细信息,请参阅 权限、访问权限和安全组入门

  4. (可选) 将 继承 切换为 关闭 以禁用继承。 禁用继承将保留所有继承的权限作为显式访问控制项, (ACE) 。

  5. 完成后,选择 “保存更改”。

  1. 从项目的 Web 门户中,选择 齿轮图标。

    显示打开 Web 门户、打开管理员上下文、TFS 2018 项目级别的屏幕截图。

    如果当前正在团队上下文中工作,请将鼠标悬停在 齿轮图标 上,然后选择 “项目设置”。

    打开 TFS 2018 的项目设置。

  2. 选择 “工作 ”,然后选择 “区域”。

  3. 选择 ...要管理的节点的上下文菜单,然后选择 “安全性”。

    在上下文菜单中,选择 TFS 2018 的安全性。

设置查询或查询文件夹的权限

可以指定谁可以在对象级别添加或编辑查询文件夹或查询。 若要管理查询或查询文件夹的权限,你必须是查询或文件夹的创建者、项目管理员或项目集合管理员组的成员,或者通过对象的“安全”对话框授予显式访问权限。

“查询文件夹权限”对话框

查询文件夹的权限对话框。

有关详细信息,请参阅 设置对共享查询或查询文件夹的权限。 若要了解有关查询的详细信息,请参阅 创建托管查询以列出、更新或图表工作项

设置工作项标记的权限

默认情况下,“参与者”组的所有用户都可以创建标记并将其添加到工作项。 若要为组或用户设置权限以限制此功能,可以在项目级别将 “创建”标记定义 设置为 “拒绝 ”。 若要了解如何操作,请参阅 更改项目级组的权限级别

编辑或管理传递计划的权限

传递计划是项目中的对象。 可以管理每个计划的计划权限,这与管理共享查询或查询文件夹的权限的方式类似。 交付计划的创建者和项目集合管理员和项目管理员组的所有成员都有权编辑、管理和删除计划。

“传递计划权限”对话框

传递计划的权限对话框。

若要了解详细信息,请参阅 “编辑或管理传递计划”权限。 若要了解有关交付计划的详细信息,请参阅 评审团队计划

移动或永久删除工作项

默认情况下,项目管理员和参与者可以通过将其移动到 回收站来更改工作项类型并删除工作项。 只有项目管理员才能永久删除工作项和测试项目。 项目管理员可以根据需要向其他团队成员授予权限。

例如,作为项目管理员,你可以授予已创建的用户、团队组或其他组以拥有这些权限。 打开项目的“安全”页,然后选择要授予权限的用户或组。 若要了解如何访问项目级 安全性,请参阅 更改项目级权限

注意

将工作项移出此项目权限要求项目使用继承的进程模型。

在此示例中,我们授予分配给团队管理员角色的成员,这些成员属于团队管理员组、将工作项移动到另一个项目以及永久删除工作项的权限。

显示为自定义安全组设置项目级权限的屏幕截图。

管理测试计划和测试套件

除了上一部分中设置的项目级权限外,团队成员还需要权限来管理为区域路径设置的测试项目。

打开区域路径 的安全 ,然后选择要授予权限的用户或组。

显示项目的打开区域路径权限的屏幕截图。

“管理测试计划”和“管理测试套件”的权限设置为“允许”。

屏幕截图:设置项目的“区域路径”权限。

若要完全访问测试功能集,必须将访问级别设置为“基本 + Test Plans”。 具有基本访问权限且有权永久删除工作项和管理测试项目的用户只能删除孤立的测试用例。

自定义继承的进程

默认情况下,只有项目集合管理员可以创建和编辑进程。 但是,这些管理员可以通过为特定用户显式设置 “创建进程”、“ 删除进程”或 “编辑进程 ”权限,向其他团队成员授予权限。

若要自定义进程,需要向特定进程的用户帐户授予 “编辑”进程 权限。

注意

如果为组织启用了“将用户可见性和协作限制为特定项目预览功能”,则添加到 Project-Scoped 用户组的用户将无法访问“进程”设置。 若要了解详细信息,请参阅 “管理组织”,限制项目的用户可见性等

  1. 打开 ... 继承进程的上下文菜单,然后选择 “安全性”。 若要打开此页面,请参阅 使用继承的进程自定义项目

    显示打开“进程”和“打开安全”对话框的屏幕截图。

  2. 添加要向其授予权限的人员的帐户名称,将权限设置为 “允许 ”,然后选择“ 保存更改”。

    在这里,我们添加克里斯蒂教堂,并允许她编辑该过程。

    进程对话的权限。

注意

每个进程都是一个安全单元,并且具有 (ACL) 控制创建、编辑和删除继承进程的单个访问控制列表。 在集合级别,项目集合管理员可以选择可从谁继承哪些进程。 创建新的继承进程时,进程创建者和项目集合管理员可以完全控制该过程,还可以为其他用户和组设置单独的 ACL 以编辑和删除该过程。

用于限制对工作项的访问的其他选项

有关自定义工作项类型以支持限制的其他选项 ,请参阅“限制访问”、“根据用户或组限制修改工作 项”。