管理 TFS 中用户或组
对于有权访问 Team Foundation Server (TFS) 中的团队项目的用户,你需要向他们授予访问权限。 如果你是小团队的管理员,限制访问权限并不难,只需将团队成员添加到 TFS 即可。
但是,如果需要向大量在团队中执行不同角色的用户授予访问权限,建议创建 Windows 或 Active Directory 组、将这些组添加到 TFS 组,添加相同组以将访问权限授予其他资源。
.png "在 TFS 中管理用户和组的步骤")
最后三个步骤为可选步骤。 如果你的团队项目已配置有 SQL Server Reporting Services 或 SharePoint 网站,则只需授予报表或项目门户权限即可。 此外,如果需要启用整个组以访问高级功能或者要启用利益干系人或未授权用户有限的访问权限,只需更改访问级别即可。
.png "管用户对部署的访问权限") |
授予用户和组对团队项目和资源的访问权限: 限制一些用户或组对功能的访问权限: 提供管理访问权限: |
TFS 如何管理访问权限
如果你需要确保权限用户拥有对特性和功能适当的访问或权限,了解 TFS 可通过三个相互连接的功能区域控制访问权限是很有帮助的:
访问级别管理只能控制通过 TWA、TFS Web 应用程序提供的功能的访问权限。 基于其用户许可证,管理员可以授予基本、高级或利益相关者(之前称为标准、完整或有限)功能集的访问权限。 若要了解更多信息,请参见 更改访问级别。
成员资格管理支持将独立 Windows 用户帐户和组添加到默认的 TFS 组。 此外,你还可以创建 TFS 组。 每个默认的 TFS 组都具与一组默认权限关联。 所有添加到任何 TFS 组的用户都将添加到“有效用户”组。 有效用户是指可以连接到团队项目的任何人。
权限管理可控制处于系统不同级别的特定功能任务的访问权限。 对象级权限可设置文件、文件夹、生成定义或共享的查询的访问权限。 权限设置对应于“允许”、“拒绝”、“允许继承”、“拒绝继承”和“未设置”。
每个功能区域都使用组来简化整个部署的管理。 你可以通过 TFS Web 服务管理页面添加用户和组。 权限基于你向其添加用户的 TFS 组或基于你向其添加组的对象、项目、几何或服务级别自动进行设置。 另一方面,访问级管理可控制服务器级别的所有用户和组的访问权限。
.png "TFS 访问、成员资格和权限管理")
说明:
- AD:Active Directory。 你可以创建本地组或 Active Directory 组来管理你的用户。 如果您决定使用组,请确保这些组中的成员资格限制为 TFS 用户。 由于组成员资格可由其所有者随时进行修改,因此,如果这些所有者在创建组时不考虑 TFS,则他们对成员资格所做的更改会在 TFS 中产生不需要的副作用。
以下是你需要了解的有关权限设置的信息:
“允许”或“拒绝”显式授予许或限制用户执行特定任务,并且通常从组成员资格继承。
“未设置”隐式拒绝用户执行需要该权限的任务的能力,但允许具有该权限设置的组中的成员身份优先,其又称为“允许继承”和“拒绝继承”。
对于大多数组和几乎所有权限,“拒绝”优先于“允许”。 如果用户属于两个组且其中一个组将特定权限设置为“拒绝”,则该用户即使属于将该权限设置为“允许”的组,也无法执行需要权限的任务。
对于“项目集合管理员”或“Team Foundation Administrators”组中的成员,“拒绝”并不优先于“允许”。 分配给这些组的权限优先于该成员可能属于的任何其他组中设置的任何“拒绝”。
更改组的权限将会更改该组中通过其成员资格获得此权限的所有用户的权限。 换言之,根据组的大小,仅更改一个权限可能会影响数以百计的用户完成其工作的能力。 因此,在进行更改前,请确保您了解带来的影响。
了解更改所产生的影响的两个有用提示:**“成员属于”选项卡将显示单个用户或组所属的组。 您还可以将鼠标指针悬停在继承的权限的上方,这将显示一个“为什么?”**图标。 如果您选择它,则将打开一个对话框,其中显示了更多信息。
.png "安全页、参与者角色、权限")
问题解答
问: 我只是想要访问代码。如何执行该操作?
**答:**将你作为团队成员或参与者加入到 TFS 后,请查看 Team Foundation 版本控制或 Git。
问: 我需要拥有哪些权限才能在 TFS 中添加用户和管理权限?
**答:**要将用户和组添加到团队项目并管理团队项目的权限,你必须属于该团队项目的“项目管理员”组,或将“编辑项目级权限”设置为“允许”。 项目管理员具有以下默认权限。
.png "项目管理员角色默认权限")
要管理集合中所有团队项目的用户、组或权限,你必须属于“项目集合管理员”组,或将“编辑项目级权限”设置为“允许”。
问:我的用户需要哪种权限?
**答:**你可以基于用户在 TFS 中执行的任务授予其相应权限。 通常情况下,你需要授予用户完成作业所需的最小权限集。 你可使用以下默认组及其相关权限来管理大多数用户并满足其需求。
Users |
Team Foundation Server |
SharePoint Foundation 或 SharePoint Server |
SQL Server Reporting Services |
|---|---|---|---|
为需要项目的仅查看访问权限的用户添加帐户。 |
访问者 |
Visitors |
浏览者 |
为参与或管理软件项目开发的人员添加帐户。 |
参与者 |
成员 |
浏览者 |
为管理用户对项目的访问权限或需要配置或自定义项目的用户添加帐户。 |
项目管理员 |
Owners |
Team Foundation 内容管理器 |
要简化所有三个系统的管理,建议使用CodePlex 中的 TFSAdmin 工具。
提示
与 Team Foundation Server 和 SharePoint Foundation 不同,SQL Server Reporting Services 在项目之间不进行区分。因此,如果您将组添加到 Reporting Services 中,该组将拥有集合中所有项目的报告的相同权限,无论其在单个项目中的权限如何。请记住何时选择要添加的组。
问: 如果我将团队成员添加到参与者角色,他们会有其所需的所有权限吗?
**答:**参与者角色可授予开发人员参与团队项目所需的大多数常用权限。 但该角色不允许用户创建共享查询,或添加区域或迭代路径。 你必须分别授予这些权限。 转到此处了解查询,此处了解区域和迭代路径。
.png "参与者角色默认权限")
问: 如何管理服务帐户权限?
**答:**请参阅 TFS 服务帐户和依赖项。
问:具有有限访问权限的利益干系人可以执行什么任务?
**答:**请参见 作为利益干系人工作。
问:是否有对 TFS 中所有权限的引用?
**答:**可以。 请参阅 TFS 权限。
问: 我是否可以使用其命令行工具来管理访问和权限?
**答:**可以。 你可以使用 TFSSecurity 命令行实用工具创建、修改和删除 TFS 用户和组,以及修改用户和组的权限。