规划 Project Server 2010 中的组、类别和 RBS
适用于: Project Server 2010
上一次修改主题: 2017-01-20
Microsoft Project Server 2010 安全性基于用户、组和类别。本文介绍如何规划 Project Server 部署中的组和类别。
本文内容:
权限
组
类别
安全模板
资源细分结构
本文包含一系列视频演示,这些视频阐述并进一步说明与权限、组、类别和 RBS 相关联的概念。指向这些视频的链接位于以下各节中。建议您按照本文提供的顺序观看这些视频,因为后面每个视频都是以前面视频中讨论的概念为基础。
备注
这些视频是使用 Microsoft Office Project Server 2007 创建的。尽管 Project Server 2010 已经发生了一些改变,但是围绕 Project Server 安全工作方式的基本功能不变。
权限
该视频演示权限的工作方式。
观看视频(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=168549\&clcid=0x804)(该链接可能指向英文页面)。若要下载该文件的副本,请右键单击该链接,然后单击“目标另存为”。
权限 是对在 Project Server 上下文中执行特定操作的授权。您可以对 Project Server 中的每种权限进行允许、拒绝 或不进行配置。例如,可以为任何给定用户或组允许或拒绝“更改密码”权限。Project Server 中有两种类型的权限:
全局权限 授予用户和组在整个 Microsoft Project Web App (PWA) 实例中执行操作的能力。全局权限在用户或组级别进行分配。
类别权限 授予用户和组对特定项目和资源执行操作的能力。类别权限在类别级别进行分配。
可以在 Project Server 2010 管理菜单中的多个不同位置设置权限。您可以通过选中“允许”和“拒绝”列中的复选框来允许或拒绝权限。如果既不选中“允许”复选框,也不选中“拒绝”复选框,则默认状态为“不允许”。如果以其他某种方式向用户授予了权限,则“不允许”状态不会阻止用户访问与权限关联的功能。例如,用户可能属于一个未对其配置权限(“不允许”)的组,但用户可以利用允许其权限的组中的成员身份来授予权限。但是,如果该权限在任意位置被明确拒绝,则将在所有位置对特定用户或组拒绝权限。
可以在“Project Web App 服务器设置”页上配置所有 Project Server 2010权限。可通过以下方式配置权限:
允许 使用户或组成员能够执行与权限关联的操作。
拒绝 阻止用户或组执行与权限关联的操作。拒绝权限时要特别小心。请注意,如果拒绝了用户的特定权限,则拒绝设置将取代可能应用于该用户所属的其他组的任何“允许”设置。默认情况下,没有任何权限设置为“拒绝”。
不允许 如果您对权限既没有选择“允许”也没有选择“拒绝”,则默认状态为“不允许”。如果用户属于多个组,一个组的权限设置为“不允许”,另一个组的权限设置为“允许”(而不是“拒绝”),则允许该用户执行与权限关联的操作。
一个重要考虑事项是:当您要将权限配置为“拒绝”时,“拒绝”设置将取代适用于利用其他组成员身份获得该权限的用户的任何“允许”设置。限制您对“拒绝”设置的使用可简化大用户组的权限管理。
备注
“拒绝”设置使您能够拒绝对功能的访问,因为此设置将取代“允许”设置。因此,在选择“拒绝”复选框时要特别小心。选中“拒绝”复选框可以阻止组织外部的用户访问 Project Server 安全对象,也可以拒绝用户或组使用功能。
对于有大量用户的组织,针对每个用户分配和管理权限可能是一项艰巨的任务。如果使用组,则仅需一个操作就可以向多个用户分配权限。可在初始 Project Server 2010 部署规划过程中,创建组并定义与这些组关联的权限集,然后再将用户分配到组,将组分配到类别。定义组、与组关联的权限以及组成员身份后,用户、组和类别的日常管理包括将用户添加到安全组或从中移除用户。这有助于减少所需的日常管理任务量,并可以简化权限问题的解决。
备注
有关 Project Web App 全局权限的完整列表,请参阅 Project Server 2010 global permissions;有关类别权限,请参阅 Project Server 2010 类别权限。
组
该视频演示组的工作方式。
观看视频(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=168587\&clcid=0x804)(该链接可能指向英文页面)。若要下载该文件的副本,请右键单击该链接,然后单击“目标另存为”。
组包含具有相似功能需求的用户集。例如,您组织中特定部门的每个项目经理可能需要相同的 Project Server 权限集,而主管人员或资源经理可能具有不同的需求。
根据组织中用户需要访问的 Project Server 2010 区域来确定共同需求,从而定义组。定义组之后,您可以将用户添加到该组并向该组授予权限;分配给组的权限应用于该组包含的所有用户。使用组来控制 Project Server 2010 权限可以简化 Project Server 中的安全管理。可以频繁地更改组成员身份,但只能偶尔更改对组的访问要求。
备注
组成员资格仅包含用户。组不能包含其他组。
根据用户在组织中的角色及他们的访问要求,用户可以属于多个组。默认情况下,在安装 Project Server 2010 时将创建以下组,其中每个组将被分配一组预定义的类别和权限:
组 | 说明 |
---|---|
管理员 |
用户通过“我的组织”类别拥有所有全局权限和所有类别权限。这使他们可以完全访问 Project Server 上的所有内容。 |
主管人员 |
用户具有查看项目和 Project Server 数据的权限。此组用于需要查看项目、但不向自己分配项目任务的高级用户。 |
项目组合经理 |
用户具有各类项目创建和团队构建权限。此组用于项目组的高级经理。 |
项目经理 |
用户具有大多数全局和类别级项目权限以及有限的资源权限。此组用于维护每日项目日程的用户。 |
资源经理 |
用户具有大多数全局和类别级资源权限,此组用于管理和分配资源以及编辑资源数据的用户。 |
工作组负责人 |
用户具有与任务创建和状态报告有关的有限权限。此组用于没有常规项目工作分配的领导层人员。 |
工作组成员 |
用户具有使用 PWA 的常规权限,但是只有有限的项目级权限。此组用于为每个人提供对 PWA 的基本访问。所有新用户都会自动添加到“工作组成员”组。 |
通常,管理员分配权限的方法是:将用户帐户添加到某个内置组,或创建一个新组并将特定权限分配给该组。
备注
有关 Project Web App 全局权限的完整列表,请参阅 Project Server 2010 global permissions;有关类别权限,请参阅 Project Server 2010 类别权限。
类别
该视频演示类别的工作方式。
观看视频(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=168588\&clcid=0x804)(该链接可能指向英文页面)。若要下载该文件的副本,请右键单击该链接,然后单击“目标另存为”。
类别是项目、资源和视图的集合。类别定义给定用户可以访问的信息范围。类别与组的相似之处在于它也为用户提供权限。与全局权限不同,类别权限与特定项目和资源相关。此外,类别包括项目和资源筛选器,这些筛选器可以用于确定指定权限应用于哪些项目和资源。
组和类别互相关联,从而可为每个用户提供完整权限集。每个组都可以与一个或多个类别关联,而每个类别可以为该组的成员提供不同的项目和资源级权限集。
每个 Project Web App 实例包括以下默认类别:
类别 | 说明 |
---|---|
我的直接下属 |
允许为其 RBS 直接后代审批时间表的用户权限。此类别用于需要时间表审批能力的经理。 |
我的组织 |
包含所有项目和资源,并根据关联的组管理允许各种级别的类别权限。还提供对所有视图的完全访问。此类别用于允许用户查看 Project Web App 实例的所有内容。 |
我的项目 |
经过筛选后为以下用户允许类别权限:拥有项目或作为项目状态经理的用户、作为资源分配给项目的用户、或是其 RBS 后代分配给项目的用户。此类别用于允许用户查看其 RBS 后代所关联的所有项目。 |
我的资源 |
允许大多数资源级类别权限(对作为用户的 RBS 后代的资源进行筛选)。此类别用于允许用户按照 RBS 结构中的表示来管理其资源。 |
我的任务 |
允许用户查看为其分配的项目。此类别与 Team Members 组关联,用于要查看为其分配的项目的每个人。 |
您可以创建自定义类别以提供用于访问项目、资源和视图数据的新方法。大量类别可能十分复杂,难以管理。我们建议您谨慎使用类别。
安全模板
安全模板是预定义的权限集。使用安全模板可简化向需要访问同一数据的用户组授予权限的过程。每个 Project Web App 实例包括以下默认安全模板:
管理员
主管人员
项目组合经理
项目经理
建议审阅者
资源经理
工作组负责人
工作组成员
您可以通过安全模板将预定义权限配置文件快速应用于新的或现有用户、组和类别,还可以重置预定义权限配置文件。通过应用安全模板,您可以轻松地标准化根据用户在组织中的角色而分配的权限。默认情况下,在安装 Project Server 时将会创建几个预定义安全模板。这些预定义安全模板与预定义组相对应。您可以自定义这些安全模板并根据您的需要创建新的安全模板。
备注
当您更改安全模板的设置时,所做的更改不会自动应用于应用模板的用户和组。
创建自定义安全模板需要进行规划。必须首先确定 Project Server 2010 在您的组织中的通常使用模式,在默认 Project Server 2010 安全模板中未反映这些使用模式。这可以帮助您确定对自定义安全模板的要求。然后确定共享 Project Server 2010 通用使用模式的用户所需的权限。这将定义安全模板。其次,确定用户和组需要访问的项目、资源和视图等的集合;这将定义安全类别。创建自定义安全模板并将其应用于共享通用使用模式的用户组。
资源细分结构
该视频演示 RBS 的工作方式。
观看视频(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=168589\&clcid=0x804)(该链接可能指向英文页面)。若要下载该文件的副本,请右键单击该链接,然后单击“目标另存为”。
资源细分结构 (RBS) 是通常基于组织的管理报告结构的分层安全结构,不过也可以采用其他方式进行构造。当 RBS 用于定义组织中用户和项目间的报告关系时,该结构将成为 Project Server 安全模型中的重要元素。当您为每个 Project Server 用户指定 RBS 值时,可以利用可为每个安全类别定义的动态安全选项。
RBS 结构的定义方法是将值添加到 Project Server 2010 中内置的 RBS 自定义查询表。定义了结构之后,您便可以通过在用户的帐户设置页中设置 RBS 属性,将 RBS 值分配给各个用户。
配置了 RBS 之后,类别便可以使用 RBS 代码动态确定特定用户可以查看或访问的项目和资源。下表列出了在每个类别中可用的、使用 RBS 的安全选项。
项目选项
选项 | 说明 |
---|---|
该用户是项目所有者,或者是该项目中工作分配状态的管理员 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其作为项目所有者或状态经理的项目。 |
用户属于该项目的项目工作组 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其作为资源的项目 |
项目所有者是用户的 RBS 后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看由其 RBS 后代所有的项目 |
项目的项目工作组资源是用户的 RBS 后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其 RBS 后代作为资源的项目 |
项目所有者与用户有相同的 RBS 值 |
如果用户拥有选中了此选项的类别中的权限,则可以查看由具有相同 RBS 值的其他用户所有的项目 |
备注
前两个选项(“该用户是项目所有者,或者是该项目中工作分配状态的管理员”和“用户属于该项目的项目工作组”)与 RBS 不相关,但确实可以提供相似的方法来筛选对用户可见的项目。
资源选项
选项 | 说明 |
---|---|
用户为资源 |
如果用户拥有选中了此选项的类别中的权限,则可以将自己作为资源进行查看 |
他们是用户所拥有项目的项目工作组成员 |
如果用户拥有选中了此选项的类别中的权限,则可以查看向其拥有的项目分配的资源 |
他们是用户的 RBS 后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其 RBS 后代 |
他们是用户的 RBS 直接后代 |
如果用户拥有选中了此选项的类别中的权限,则可以查看其 RBS 直接后代 |
他们与用户有相同的 RBS 值 |
如果用户拥有选中了此选项的类别中的权限,则可以查看具有相同 RBS 值的其他用户 |
备注
前两个选项(“用户为资源”和“他们是用户所拥有项目的项目工作组成员”)与 RBS 不相关,但确实提供了相似的方法来筛选对用户可见的资源。
上表中的选项可以在创建或修改类别时进行配置。有关详细信息,请参阅在 Project Server 2010 中管理类别。