Freigeben über


Steuern des Zugriffs auf Funktionsbereiche

Sie können die anfänglichen Sicherheitseinstellungen für die Funktionsbereiche eines Teamprojekts konfigurieren, z. B. Team Foundation-Versionskontrolle, Team Foundation Build und Visual Studio Lab Management. Die Prozessvorlagen für Microsoft Solutions Framework (MSF) weisen Standardsicherheitsgruppen mehrere Berechtigungen zu. Sie können diese Zuweisungen ändern, indem Sie die Plug-In-Datei für den entsprechenden Funktionsbereich anpassen.

Weitere Informationen zum Konfigurieren von Sicherheitsgruppen für Visual Studio Team Foundation Server finden Sie unter Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen.

Weitere Informationen zum Verwalten von Benutzern und Gruppen und zum Steuern des Zugriffs auf Visual Studio Application Lifecycle Management (ALM) finden Sie unter Verwalten von Benutzern und Gruppen in TFS.

Zuweisen von Berechtigungen zu Funktionsbereichen

Sie können mit dem permission-Funktionselement einer Sicherheitsgruppe in Team Foundation Server, einer Windows-Gruppe oder einer Windows-Identität Berechtigungen für Funktionsbereiche gewähren oder verweigern. Sie verwenden dieses Element in den Plug-In-Dateien für die Arbeitsaufgabennachverfolgung, Team Foundation-Versionskontrolle, Team Foundation Build und Lab Management. Das Berechtigungselement muss im entsprechenden Containerelement gekapselt werden: dem permissions-Element. Für das permission-Funktionselement wird folgende Syntaxstruktur verwendet:

<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>

In der folgenden Tabelle werden die Attribute für das permission-Funktionselement beschrieben:

Attribut

Beschreibung 

allow

Bezeichnet die erteilten Berechtigungen. Sie geben Berechtigungen als durch Kommas getrennten Text an.

Die Namen der Berechtigungen, die für die einzelnen Funktionsbereiche definiert wurden, finden Sie weiter unten in diesem Thema in den folgenden Abschnitten:

  • Zuweisen von Berechtigungen für die Versionskontrolle

  • Zuweisen von Buildberechtigungen

  • Zuweisen von Berechtigungen für Lab Management

deny

Bezeichnet die widerrufenen Berechtigungen. Sie geben Berechtigungen als durch Kommas getrennten Text an.

Hinweis

Verweigerte Berechtigungen haben Vorrang vor erteilten Berechtigungen.

identity

Gibt die Sicherheitsgruppe in Team Foundation Server, die Windows-Gruppe oder die Windows-Identität an, auf die diese Berechtigungen angewendet werden. Informationen zu dem beim Angeben von Gruppen zu verwendenden Format finden Sie in Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen unter "In Team Foundation Server definierte Standardgruppen".

Im folgenden Beispiel wird gezeigt, wie der Gruppe Contributors Berechtigungen erteilt werden, um Builds und Builddefinitionen anzuzeigen, Builds zur Warteschlange hinzuzufügen und die Buildqualität zu bearbeiten.

<taskXml>
   <permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>

Hinweis

Wenn während der Laufzeit eine Berechtigung für eine Identität nicht gefunden wird, wird sie in allen anderen Gruppen gesucht, denen die Identität angehört.Wenn die Berechtigung nicht gefunden wird, wird sie standardmäßig verweigert.

Zuweisen von Berechtigungen für Arbeitsaufgabenabfragen

In der Plug-In-Datei "Arbeitsaufgaben" können Sie Berechtigungen zuweisen, die den Zugriff auf Teamabfrageordner steuern. Abfrageordnerberechtigungen sind für Abfragen und Abfrageordner spezifisch. Sie können Zugriff auf Benutzer und Gruppen in Windows oder auf Standardgruppen gewähren, die für Team Foundation Server definiert sind.

Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:

<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" /> 

Hinweis

Nach dem Erstellen des Teamprojekts können Sie Berechtigungen festlegen, indem Sie mit der rechten Maustaste zunächst auf einen Abfrageordner oder eine Abfrage in Team Explorer und dann auf Sicherheit klicken.Weitere Informationen finden Sie unter Festlegen von Berechtigungen für Abfragen.

In der folgenden Tabelle werden die Berechtigungen beschrieben, die den Zugriff auf Abfrageordner und Abfragen steuern. In ihr werden außerdem die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind. Die Ersteller oder Besitzer von Abfragen und Abfrageordnern besitzen standardmäßig Vollzugriff auf die Verwaltung der Abfragen, die sie erstellt haben oder besitzen.

Berechtigung

Beschreibung 

Leser, Mitwirkende, Generatoren

Ersteller-Besitzer, Gruppe "Projektadministratoren", Projektauflistungsadministratoren

Read

Lesen. Anzeigen und Ausführen einer Abfrage oder Anzeigen eines Abfrageordners und seines Inhalts

Häkchen Häkchen

Contribute

Mitwirken. Anzeigen und Bearbeiten einer Abfrage oder eines Abfrageordners und seines Inhalts

Häkchen

Delete

Löschen. Anzeigen, Bearbeiten und Löschen einer Abfrage oder eines Abfrageordners und seines Inhalts

Häkchen

ManagePermissions

Berechtigungen verwalten. Verwalten von Berechtigungen für eine Abfrage oder einen Abfrageordner und seinen Inhalt

Häkchen

FullControl

Vollzugriff. Anzeigen, Bearbeiten, Löschen und Verwalten von Berechtigungen für eine Abfrage oder einen Abfrageordner und seinen Inhalt

Häkchen

Zuweisen von Berechtigungen für die Versionskontrolle

Sie können Berechtigungen zuweisen, die den Zugriff auf Quellcodedateien und -ordner steuern, indem Sie die Plug-In-Datei für die Versionskontrolle ändern. Die Berechtigungen der Versionskontrolle sind an Quellcodedateien und Quellcodeordner gebunden. Sie können Zugriff auf Benutzer und Gruppen in Windows oder Standardgruppen gewähren, die für Team Foundation Server definiert sind.

Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:

<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Hinweis

Nach dem Erstellen des Teamprojekts können Sie diese Berechtigungen festlegen, indem Sie im Quellcodeverwaltungs-Explorer mit der rechten Maustaste auf den Ordner oder die Datei klicken, Eigenschaften auswählen und die Registerkarte Sicherheit öffnen. Klicken Sie auf dieser Registerkarte auf den Benutzer oder die Gruppe, für den bzw. die Sie Berechtigungen ändern möchten, und bearbeiten Sie dann die unter Berechtigungen aufgeführten Berechtigungen.Sie können diese Berechtigungen auch mit dem tf-Befehlszeilentool für die Versionskontrolle oder dem TFSSecurity-Befehlszeilentool festlegen.Weitere Informationen finden Sie unter Berechtigungsreferenz für Team Foundation Server.

In der folgenden Tabelle werden die Berechtigungen beschrieben, die den Zugriff auf Quellcodeverwaltungsdateien und -ordner steuern. In ihr werden außerdem die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind.

Berechtigung

Beschreibung 

Leser

Mitwirkende

Generatoren

Gruppe "Projektadministratoren"

Read

Lesen. Der Inhalt einer Datei oder eines Ordners kann angezeigt werden.

Wenn ein Benutzer über die Berechtigung Lesen für einen Ordner, jedoch nicht für die in ihm enthaltenen Dateien verfügt, kann er die Namen und Eigenschaften dieser Dateien anzeigen, jedoch nicht die Dateien öffnen.

Häkchen Häkchen Häkchen Häkchen

PendChange

Auschecken. Ein Element kann ausgecheckt werden, und es können ausstehende Änderungen an ihm vorgenommen werden. Beispiele für ausstehende Änderungen sind u. a. das Hinzufügen, Bearbeiten, Umbenennen, Löschen, Wiederherstellen, Verzweigen und Zusammenführen einer Datei.

Häkchen Häkchen Häkchen

Merge

Zusammenführen. Änderungen können mit dem Pfad zusammengeführt werden, für den Berechtigungen erteilt werden.

Häkchen Häkchen Häkchen

Checkin

Einchecken. Elemente können eingecheckt und Changesetkommentare mit ausgeführtem Commit überarbeitet werden. Für ausstehende Änderungen wird ein Commit ausgeführt, wenn der Benutzer das Element eincheckt.

Häkchen Häkchen Häkchen

Label

Bezeichnung. Elemente können mit Bezeichnungen versehen werden.

Häkchen Häkchen Häkchen

Lock

Sperren. Elemente können gesperrt werden, sodass sie nicht von anderen Benutzern aktualisiert werden können.

Häkchen Häkchen Häkchen

ReviseOther

Änderungen anderer Benutzer überarbeiten. Der Inhalt der Changesetkommentare und Eincheckhinweise eines anderen Benutzers können geändert werden.

Häkchen

UnlockOther

Änderungen anderer Benutzer entsperren. Die Sperre eines anderen Benutzers kann aufgehoben werden.

Häkchen

UndoOther

Änderungen anderer Benutzer rückgängig machen. Die ausstehenden Änderungen eines anderen Benutzers können rückgängig gemacht werden.

Häkchen

LabelOther

Bezeichnungen verwalten. Die Bezeichnung eines anderen Benutzers kann geändert werden.

Häkchen

AdminProjectRights

Berechtigungen verwalten. Die Sicherheitseinstellungen für die Versionskontrolle können konfiguriert werden.

Häkchen

CheckinOther

Änderungen anderer Benutzer einchecken. Das Einchecken unter einem anderen Benutzernamen ist möglich. Diese Berechtigung ist für Konvertierungsdienstprogramme erforderlich.

Häkchen

ManageBranch

Verzweigung verwalten. Benutzer mit dieser Berechtigung für einen angegebenen Pfad können alle Ordner in diesem Pfad in eine Verzweigung konvertieren. Darüber hinaus können Benutzer, die über diese Berechtigung für eine Verzweigung verfügen, deren Eigenschaften bearbeiten, eine neue Überordnung erstellen und sie in einen Ordner konvertieren.

Benutzer mit dieser Berechtigung können diese Verzweigung nur verzweigen, wenn sie auch über die Berechtigung Zusammenführen für den Zielpfad verfügen. Benutzer können keine Verzweigungen aus einer Verzweigung erstellen, für die sie nicht die Berechtigung Verzweigung verwalten haben.

Häkchen

Zuweisen von Buildberechtigungen

Sie können Berechtigungen zuweisen, die den Zugriff auf Buildaktivitäten steuern, indem Sie die Build-Plug-In-Datei ändern. Sie können Zugriff auf Benutzer und Gruppen in Windows und Gruppen in Team Foundation Server gewähren. Informationen zum beim Angeben von Gruppen zu verwendenden Format finden Sie in Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen unter "In definierte Team Foundation Server Standardgruppen".

Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:

<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Hinweis

Nach dem Erstellen des Teamprojekts können Sie diese Berechtigungen festlegen, indem Sie das Projekt in Team Explorer öffnen, mit der rechten Maustaste auf Builds klicken und dann auf Sicherheit klicken.Wenn Sie Berechtigungen auf einen Buildordner anwenden möchten, klicken mit der rechten Maustaste auf diesen Ordner, und klicken Sie dann auf Sicherheit.Wenn Sie Berechtigungen auf einen Buildordner anwenden möchten, klicken mit der rechten Maustaste auf diesen Ordner, und klicken Sie dann auf Sicherheit.Darüber hinaus können Sie diese Berechtigungen mithilfe des TFSSecurity-Befehlszeilentools festlegen.Weitere Informationen finden Sie unter Berechtigungsreferenz für Team Foundation Server.

In der folgenden Tabelle werden die Berechtigungen beschrieben, die Sie zuweisen können, um den Zugriff auf die Buildfunktionen eines Teamprojekts zu steuern. In der Tabelle werden auch die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind.

Hinweis

Die Berechtigung Eincheckvalidierung durch Build überschreiben darf nur Dienstkonten für Builddienste und Buildadministratoren, die für die Qualität des Codes zuständig sind, erteilt werden. Weitere Informationen finden Sie unter Einchecken in einen Ordner, der von einem Buildprozess mit abgegrenztem Eincheckvorgang gesteuert wird.

Berechtigung

Beschreibung 

Leser

Mitwirkende

Buildadministratoren

Projektadministratoren

Projektauflistungsadministratoren

ViewBuildDefinition

Builddefinition anzeigen. Es können alle Builddefinitionen angezeigt werden, die für das Teamprojekt erstellt wurden.

Häkchen Häkchen Häkchen Häkchen Häkchen

ViewBuilds

Builds anzeigen. Die in der Warteschlange stehenden und abgeschlossenen Builds für dieses Teamprojekt können angezeigt werden.

Häkchen Häkchen Häkchen Häkchen Häkchen

EditBuildQuality

Buildqualität bearbeiten. Es können Informationen zur Qualität des Builds über die Schnittstelle für Team Foundation Build hinzugefügt werden.

Häkchen Häkchen Häkchen Häkchen

QueueBuilds

Builds zur Warteschlange hinzufügen. Über die Schnittstelle für Team Foundation Build oder an einer Eingabeaufforderung kann der Warteschlange ein Build hinzugefügt werden.

Häkchen Häkchen Häkchen Häkchen

DeleteBuildDefinition

Builddefinition löschen. Builddefinitionen können gelöscht werden.

Häkchen Häkchen Häkchen

DeleteBuilds

Builds löschen. Ein fertig gestellter Build gelöscht werden.

Häkchen Häkchen Häkchen

DestroyBuilds

Builds zerstören. Ein abgeschlossener Build kann dauerhaft gelöscht werden.

Häkchen Häkchen Häkchen

EditBuildDefinition

Builddefinition bearbeiten. Builddefinitionen können erstellt und geändert werden.

Häkchen Häkchen Häkchen

ManageBuildQualities

Buildqualität verwalten. Buildqualitäten, z. B. Bereit für Bereitstellung, Abgelehnt oder Wird untersucht, können hinzugefügt oder entfernt werden. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Buildqualitätswerten.

Häkchen Häkchen Häkchen

ManageBuildQueue

Buildwarteschlange verwalten. Builds in der Warteschlange können abgebrochen oder verschoben werden, oder ihre Priorität kann geändert werden.

Häkchen Häkchen Häkchen

RetainIndefinitely

Unbegrenzt beibehalten. Ein Build kann gekennzeichnet werden, damit dieser nicht durch eine gültige Beibehaltungsrichtlinie automatisch gelöscht wird.

Häkchen Häkchen Häkchen

StopBuilds

Builds beenden. Ein Build, der ausgeführt wird, kann beendet werden.

Häkchen Häkchen Häkchen

OverrideBuildCheckInValidation

Eincheckvalidierung durch Build überschreiben. Es kann ein Commit für ein Changeset ausgeführt werden, das sich auf eine abgegrenzte Builddefinition auswirkt, ohne dass das System zunächst den Code ablegt und die Änderungen erstellt. Weitere Informationen finden Sie unter Einchecken in einen Ordner, der von einem Buildprozess mit abgegrenztem Eincheckvorgang gesteuert wird.

Häkchen

UpdateBuildInformation

Buildinformationen aktualisieren. Es können Informationen über die Qualität eines Builds hinzugefügt werden.

Diese Berechtigung darf nur Dienstkonten zugewiesen werden.

Zuweisen von Berechtigungen für Lab Management

Sie können den Zugriff auf Aktivitäten in Lab Management steuern, indem Sie die Lab-Plug-In-Datei ändern. Berechtigungen für Lab Management gelten für bestimmte virtuelle Computer, Umgebungen und andere Ressourcen. Sie können Zugriff auf Benutzer und Gruppen in Windows und Gruppen in Team Foundation Server gewähren. Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:

<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Hinweis

Sie können mit dem TFSLabConfig-Befehlszeilentool Berechtigungen für Lab Management festlegen.Um Informationen zu einer bestimmten Lab-Ressource anzuzeigen, müssen Sie über die Berechtigung Lesen für diese Ressource verfügen.Um einen Speicherort zu löschen, müssen Sie über die Berechtigung Lab-Speicherorte löschen für diesen Speicherort verfügen. Weitere Informationen finden Sie unter TFSLabConfig Permissions-Befehl.

In der folgenden Tabelle werden die Berechtigungen beschrieben, die Sie für die Steuerung des Zugriffs auf Visual Studio Lab Management Management zuweisen können. In der Tabelle werden auch die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind.

Berechtigung

Beschreibung 

Leser

Mitwirkende

Gruppe "Builddienstkonten für die Projektauflistung"

Gruppe "Teamprojektadministratoren"

Gruppe "Projektauflistungsadministratoren"

Read

Lab-Ressourcen anzeigen. Es können Informationen zu den verschiedenen Ressourcen für Lab Management angezeigt werden, einschließlich Informationen zu Auflistungshostgruppen, Projekthostgruppen und Umgebungen.

Häkchen Häkchen Häkchen Häkchen Häkchen

Create

Virtuellen Computer importieren. Es kann ein virtueller Computer aus einer VMM (Virtual Machine Manager)-Bibliotheksfreigabe importiert werden.

Diese Berechtigung unterscheidet sich von "Schreiben", da Benutzer in Lab Management ein Objekt erstellen können, jedoch nicht in die VMM-Hostgruppe oder die Bibliotheksfreigabe schreiben können.

Häkchen

Häkchen Häkchen

Write

Umgebung und virtuelle Computer schreiben. Umgebungen können erstellt werden. Benutzer mit dieser Berechtigung für eine Projektbibliotheksfreigabe können Umgebungen und virtuelle Computer speichern.

Häkchen Häkchen Häkchen Häkchen

Edit

Umgebung und virtuelle Computer bearbeiten. Umgebungen und virtuelle Computer können bearbeitet werden. Die Berechtigung wird für das zu bearbeitende Objekt überprüft.

Häkchen Häkchen Häkchen Häkchen

Start

Starten. Umgebungen können gestartet werden.

Häkchen Häkchen Häkchen Häkchen

Stop

Beenden. Umgebungen können beendet werden.

Häkchen Häkchen Häkchen Häkchen

Pause

Anhalten. Umgebungen können angehalten werden.

Häkchen Häkchen Häkchen

ManageSnapshots

Momentaufnahmen verwalten. Es können alle Verwaltungsaufgaben für Momentaufnahmen ausgeführt werden, u. a. das Erstellen, Wiederherstellen, Umbenennen, Löschen und Lesen einer Momentaufnahme.

Häkchen Häkchen Häkchen Häkchen

Delete

Umgebungen und virtuelle Computer löschen. Umgebungen und virtuelle Computer können gelöscht werden. Die Berechtigung wird für das zu löschende Objekt überprüft.

Häkchen Häkchen

ManageLocation

Lab-Speicherorte verwalten. Die Speicherorte von Lab Management-Ressourcen, einschließlich der Speicherorte für Auflistungshostgruppen, Auflistungsbibliotheksprojekte, Projekthostgruppen und Projektbibliotheksfreigaben, können bearbeitet werden.

Diese Berechtigung für Speicherorte auf Auflistungsebene (Auflistungshostgruppen und Auflistungsbibliotheksfreigaben) ermöglicht es einem Benutzer außerdem, Speicherorte auf Projektebene (Projekthostgruppen und Projektbibliotheksfreigaben) zu erstellen.

Häkchen Häkchen

DeleteLocation

Lab-Speicherorte löschen. Die Speicherorte von Lab Management-Ressourcen, einschließlich der Speicherorte für Auflistungshostgruppen, Auflistungsbibliotheksfreigaben, Projekthostgruppen und Projektbibliotheksfreigaben, können gelöscht werden.

Häkchen Häkchen

ManageChildPermissions

Untergeordnete Berechtigungen verwalten. Die Berechtigungen aller untergeordneten Objekte von Lab Management können geändert werden. Wenn beispielweise ein Benutzer über diese Berechtigung für eine Teamprojekt-Hostgruppe verfügt, kann er die Berechtigungen für alle Umgebungen unterhalb dieser Gruppe ändern.

Häkchen Häkchen

ManagePermissions

Berechtigungen verwalten. Die Berechtigungen für ein Objekt von Lab Management können geändert werden. Diese Berechtigung wird für das Objekt überprüft, dessen Berechtigungen geändert werden.

Häkchen

EnvironmentOps

Vorgänge in der Umgebung. Zusätzlich zum Ausführen von anderen Vorgängen in einer Umgebung können Momentaufnahmen gestartet, beendet, angehalten und verwaltet werden.

Siehe auch

Konzepte

Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen

Berechtigungsreferenz für Team Foundation Server