Permisos de Team Foundation Server
Actualización: noviembre 2007
Los permisos determinan la autorización para las acciones del usuario, como la administración del área de trabajo y la creación de proyectos. Cuando crea un proyecto en Team Foundation Server, se generan cuatro grupos predeterminados para ese proyecto independientemente de su elección de plantilla de proceso. De forma predeterminada, cada uno de estos grupos tiene un conjunto de permisos definido que rige lo que pueden hacer los integrantes de esos grupos.
Administrador de proyectos
Colaborador
Lector
Build Services
Para administrar los grupos predeterminados y crear grupos personalizados, los administradores tienen que comprender el significado de los permisos y las implicaciones de seguridad de la definición explícita de permisos.
.gif "Nota") Nota: |
|---|
En este tema no se describen los permisos para Windows SharePoint Services o SQL Reporting Services. En este tema sólo se describen los permisos que establece en Team Foundation Server. |
Configuración de permisos
Hay dos opciones de configuración de autorización explícitas para los permisos en Team Foundation Server: Denegar y Permitir. Hay también una autorización implícita disponible que no establece el permiso en Permitir ni en Denegar. Esta autorización es una opción Denegar implícita que se conoce como Sin establecer.
Denegar
Deniega la autorización para que el usuario o grupo realice las acciones definidas en la descripción del permiso. Es la configuración de permiso más eficaz en Team Foundation Server. Si un usuario pertenece a un grupo de Team Foundation Server que tiene un permiso concreto establecido en Denegar, no puede realizar esa función aunque pertenezca a otro grupo que tenga ese permiso establecido en Permitir. La única excepción a esta regla es cuando el usuario es miembro del grupo Administradores del proyecto para un proyecto o del grupo Administradores de Team Foundation. Si un usuario es un miembro del grupo Project Administrators de un proyecto, los privilegios de ese grupo reemplazan la opción explícita Denegar para ese usuario en un proyecto. De igual forma, si un usuario es miembro del grupo Administradores de Team Foundation, los privilegios de ese grupo invalidan la opción explícita Denegar para ese usuario en Team Foundation Server.
Permitir
Concede la autorización para que el usuario o grupo realice las acciones definidas en la descripción del permiso. Es la segunda configuración de permiso más eficaz en Team Foundation Server. Es la que se establece con más frecuencia. Si no establece explícitamente un permiso en Permitir, un usuario o grupo no puede realizar esa acción en Team Foundation Server.
Sin establecer
De forma predeterminada, la mayoría de los permisos de Team Foundation Server no están establecidos en Denegar o Permitir. Los permisos se dejan sin establecer, lo que implícitamente deniega a usuarios y grupos la autorización para realizar las acciones especificadas en la descripción del permiso. Sin embargo, como el permiso no está establecido explícitamente en Denegar ni en Permitir, la autorización para ese permiso se puede heredar de otros grupos de los que el usuario o grupo es miembro.
Herencia
Cuando un permiso no está establecido para un usuario o grupo, éste se puede ver afectado por la definición explícita del permiso en los grupos a los que pertenece, porque los permisos de Team Foundation Server se heredan. Por ejemplo, si un usuario pertenece a dos grupos personalizados en un proyecto, y uno de esos grupos tiene un permiso establecido explícitamente en Denegar y el otro grupo tiene el mismo permiso sin establecer, el usuario no tendrá permiso para realizar las acciones controladas por ese permiso (el usuario hereda los permisos de ambos grupos y el permiso Denegar tiene prioridad sobre el permiso no establecido).
| Nota: |
|---|
Los permisos que se establecen fuera de Team Foundation Server, como Windows SharePoint Services, no se heredan en Team Foundation Server. No se describen en este tema. |
Ciertas opciones de configuración de autorización tienen prioridad sobre otras. En Team Foundation Server, el permiso Denegar tiene prioridad sobre todas las demás opciones de configuración de permisos, incluida Permitir. Por ejemplo, un usuario podría pertenecer a dos grupos en un proyecto. En un grupo, el permiso Publicar resultados de la prueba está establecido en Denegar; el otro grupo tiene ese permiso establecido en Permitir. La opción Denegar tiene prioridad y el usuario no está autorizado a publicar los resultados de la prueba. La única excepción a esta regla es cuando el usuario es miembro del grupo Administradores del proyecto para un proyecto o del grupo Administradores de Team Foundation. Si un usuario es un miembro del grupo Project Administrators de un proyecto, los privilegios de ese grupo reemplazan la opción explícita Denegar para ese usuario en un proyecto. De igual forma, si un usuario es miembro del grupo Administradores de Team Foundation, los privilegios de ese grupo invalidan la opción explícita Denegar para ese usuario en Team Foundation Server.
Permisos establecidos a través de la interfaz de usuario y la línea de comandos de Team Foundation Server
Muchos de los permisos que puede ser conveniente establecer para Team Foundation Server se controlan a través de la interfaz de usuario de Team Foundation Server. Puede establecer estos permisos en cada servidor (permisos de nivel de servidor) o en cada proyecto (permisos de nivel de proyecto). También puede establecer permisos de nivel de área para ver e interactuar con elementos de trabajo en cada proyecto. Para obtener más información sobre qué permisos están establecidos para qué usuarios de forma predeterminada y qué permisos debe establecer en los grupos de MSF for Agile Software Development o MSF CMMI Process Improvement, vea Grupos predeterminados, permisos y funciones de Team Foundation Server. Para obtener más información sobre cómo establecer permisos para usuarios y grupos, vea Administrar usuarios y grupos y Administrar permisos. Para obtener más información sobre la administración de elementos de trabajo, vea Trabajar con elementos de trabajo de Team Foundation.
Permisos de nivel de servidor
Los permisos de nivel de servidor no son específicos de un determinado proyecto. Se establecen para todos los servidores. Sólo puede establecer estos permisos para tres categorías de usuarios:
Usuarios y grupos de nivel de servidor, como Administradores de Team Foundation
Grupos de nivel de proyecto que se han agregado al nivel del servidor en el servidor de Team Foundation
Grupos personalizados creados y agregados al nivel del servidor
Para establecer estos permisos en Team Foundation Server, haga clic con el botón secundario del mouse en el servidor de Team Explorer y haga clic en Seguridad. Puede establecer estos permisos mediante la utilidad de línea de comandos TFSSecurity, excepto en aquellas con la designación tf:. Para las utilidades que tienen la designación tf:, utilice el comando Permission de la utilidad de la línea de comandos tf del control de código fuente para establecer los permisos. Para obtener más información, vea Comandos de la utilidad TFSSecurity de la línea de comandos y Comando permission.
Nombre del permiso |
Nombre en la línea de comandos |
Descripción |
|---|---|---|
Administrar cambios aplazados |
tf: AdminShelvesets |
Los usuarios que tienen este permiso pueden eliminar conjuntos de cambios aplazados creados por otros usuarios. |
Administrar almacén de datos |
ADMINISTER_WAREHOUSE |
Los usuarios que tienen este permiso pueden cambiar la configuración del almacén de datos mediante el método Web ChangeSetting del servicio Web WarehouseController.asmx. Por ejemplo, podría permitir que los usuarios establezcan el intervalo de actualización para calcular cubos OLAP. |
Administrar áreas de trabajo |
tf: AdminWorkspaces |
Los usuarios que tienen este permiso pueden crear áreas de trabajo para otros usuarios y eliminar áreas de trabajo creadas por otros usuarios. |
Crear un área de trabajo |
tf: CreateWorkspace |
Los usuarios que tienen este permiso pueden crear un área de trabajo de control de código fuente. |
Crear nuevos proyectos |
CREATE_PROJECTS |
Los usuarios que tienen este permiso pueden crear nuevos proyectos en Team Foundation Server. Para crear correctamente nuevos proyectos, estos usuarios deben ser miembros del grupo Administradores de SharePoint en Windows SharePoint Server y deben tener permisos de Administrador de contenido en SQL Reporting Services. |
Editar información en el nivel de servidor |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Los usuarios que tienen este permiso pueden editar los permisos de nivel de servidor para los usuarios y los grupos en Team Foundation Server. Pueden agregar o quitar grupos de nivel de servidor del nivel de aplicación de Team Foundation Server en Team Foundation Server. Cuando se establece a través de los menús, el permiso Editar información en el nivel de servidor permite implícitamente al usuario modificar, además, los permisos de control de código fuente. Para conceder todos los permisos anteriores desde la línea de comandos, debe utilizar el comando tf.exe Permission para conceder los permisos AdminConfiguration y AdminConnections, así como GENERIC_WRITE. Nota:
No se pueden quitar los grupos de servidores predeterminados como Administradores de Team Foundation.
|
Modificar la configuración de seguimiento |
DIAGNOSTIC_TRACE |
Los usuarios que tienen este permiso pueden cambiar la configuración de seguimiento para recopilar información de diagnóstico más detallada sobre los servicios web de Team Foundation Server. Para obtener más información acerca del seguimiento, vea Configuración de seguimiento de Team Foundation Server. |
Desencadenar eventos |
TRIGGER_EVENT |
Los usuarios que tienen este permiso pueden desencadenar eventos de alerta de proyecto en Team Foundation Server. Este permiso sólo se debería asignar a las cuentas de servicio. |
Administrar plantilla de procesos |
MANAGE_TEMPLATE |
Los usuarios que tienen este permiso pueden descargar, crear, editar y cargar plantillas de procesos en Team Foundation Server. |
Ver información de nivel de servidor |
GENERIC_READ |
Los usuarios que tienen este permiso pueden ver la pertenencia a grupos en el nivel de servidor y los permisos de esos usuarios. |
Ver información de sincronización del sistema |
SYNCHRONIZE_READ |
Los usuarios que tienen este permiso puede desencadenar eventos de sincronización. Este permiso sólo se debería asignar a las cuentas de servicio. |
Permisos de nivel de proyecto
Los permisos de nivel de proyecto son específicos de los usuarios y grupos de un solo proyecto. Para establecer estos permisos en Team Foundation Server, haga clic con el botón secundario del mouse en el proyecto de Team Explorer, haga clic en Configuración del proyecto de equipo y, a continuación, haga clic en Seguridad. También puede establecer estos permisos mediante la utilidad TFSSecurity de la línea de comandos.
Nombre del permiso |
Nombre en la línea de comandos |
Descripción |
|---|---|---|
Eliminar este proyecto |
DELETE |
Los usuarios que tienen este permiso pueden eliminar de Team Foundation Server el proyecto para el que tienen este permiso. |
Editar información de nivel de proyecto |
GENERIC_WRITE |
Los usuarios que tienen este permiso pueden editar los permisos de nivel de proyecto para los usuarios y los grupos en Team Foundation Server. |
Publicar resultados de la prueba |
PUBLISH_TEST_RESULTS |
Los usuarios que tienen este permiso pueden agregar y quitar los resultados de pruebas en el portal del proyecto de equipo y agregar o quitar las ejecuciones de prueba. |
Ver información del nivel de proyecto |
GENERIC_READ |
Los usuarios que tienen este permiso pueden ver la pertenencia a grupos en el nivel de proyecto y los permisos de esos usuarios del proyecto. |
Permisos de nivel de compilación
Los permisos de nivel de compilación son específicos de los usuarios y grupos de un proyecto único. Para establecer estos permisos, haga clic con el botón secundario del mouse en el proyecto de Team Explorer, haga clic en Configuración del proyecto de equipo y, a continuación, haga clic en Seguridad. Además, puede establecer estos permisos mediante la utilidad TFSSecurity de la línea de comandos.
Nombre del permiso |
Nombre en la línea de comandos |
Descripción |
|---|---|---|
Administrar una generación |
ADMINISTER_BUILD |
Los usuarios que tienen este permiso pueden eliminar las generaciones finalizadas y detener las generaciones actuales en curso. |
Editar calidad de generación |
EDIT_BUILD_STATUS |
Los usuarios que tienen este permiso pueden agregar información sobre la calidad de la compilación a través de la interfaz de usuario de Team Foundation Build. Esta información se almacena en el almacén de base de datos de Team Foundation Build. |
Iniciar una generación |
START_BUILD |
Los usuarios que tienen este permiso pueden iniciar una compilación a través de la interfaz de usuario de Team Foundation Build o de la línea de comandos. También se exige este permiso para configurar una compilación a fin de que se conserve indefinidamente. |
Escribir en almacén operativo de generación |
UPDATE_BUILD |
Este permiso debe concederse a la cuenta bajo la que se ejecuta el servicio de compilación, a fin de actualizar el almacén de base de datos de Team Foundation Build. Este permiso sólo debe asignarse a cuentas de servicio y no a usuarios individuales. |
Permisos de seguimiento de elementos de trabajo en el nivel de área
Los permisos de nivel de área son específicos de los usuarios y grupos de un proyecto único. Para establecer estos permisos, haga clic con el botón secundario del mouse en el proyecto en Team Explorer, haga clic en Áreas e iteraciones y, en la ficha Área, haga clic en Seguridad. Además, puede establecer estos permisos mediante la utilidad TFSSecurity de la línea de comandos.
| Nota: |
|---|
Algunas operaciones de seguimiento de elementos de trabajo requieren varios permisos. Por ejemplo, necesitará varios permisos para eliminar un nodo. |
Nombre del permiso |
Nombre en la línea de comandos |
Descripción |
|---|---|---|
Crear y ordenar nodos secundarios |
CREATE_CHILDREN |
Los usuarios que tienen este permiso pueden crear nodos de área nuevos. Los usuarios que tienen este permiso y el permiso Editar este nodo pueden mover o cambiar el orden de cualquier nodo de área secundario. |
Eliminar este nodo |
DELETE |
Los usuarios que tienen este permiso y el permiso Editar este nodo para otro nodo pueden eliminar nodos de área y volver a clasificar los elementos de trabajo existentes del nodo eliminado. También se elimina cualquier nodo secundario ubicado bajo el nodo primario. |
Editar este nodo |
GENERIC_WRITE |
Los usuarios que tienen este permiso pueden cambiar el nombre de los nodos de área. |
Editar elementos de trabajo en este nodo |
WORK_ITEM_WRITE |
Los usuarios que tienen este permiso pueden editar los elementos de trabajo en este nodo de área. |
Ver este nodo |
GENERIC_READ |
Los usuarios que tienen este permiso tienen acceso para ver la configuración de seguridad de este nodo. |
Ver los elementos de trabajo en este nodo |
WORK_ITEM_READ |
Los usuarios que tienen este permiso pueden ver elementos de trabajo en este nodo de área, pero no editarlos o cambiarlos. |
Permisos de seguimiento de elementos de trabajo de nivel de iteración
Los permisos de nivel de iteración son específicos de los usuarios y grupos de un solo proyecto. Para establecer estos permisos, haga clic con el botón secundario del mouse en el proyecto en Team Explorer, haga clic en Áreas e iteraciones y, en la ficha Iteraciones, haga clic en Seguridad. Además, puede establecer estos permisos mediante la utilidad TFSSecurity de la línea de comandos.
| Nota: |
|---|
Algunas operaciones de seguimiento de elementos de trabajo requieren varios permisos. Por ejemplo, necesitará varios permisos para eliminar un nodo. |
Nombre del permiso |
Nombre en la línea de comandos |
Descripción |
|---|---|---|
Crear y ordenar nodos secundarios |
CREATE_CHILDREN |
Los usuarios que tienen este permiso pueden crear nuevos nodos de iteración. Los usuarios que tienen este permiso y el permiso Editar este nodo pueden mover o cambiar el orden de cualquier nodo de iteración secundario. |
Eliminar este nodo |
DELETE |
Los usuarios que tienen este permiso y el permiso Editar este nodo para otro nodo pueden eliminar nodos de iteración y volver a clasificar los elementos de trabajo existentes del nodo eliminado. También se elimina cualquier nodo secundario ubicado bajo el nodo primario. |
Editar este nodo |
GENERIC_WRITE |
Los usuarios que tienen este permiso pueden cambiar el nombre de los nodos de iteración. |
Ver este nodo |
GENERIC_READ |
Los usuarios que tienen este permiso tienen acceso para ver la configuración de seguridad de este nodo. |
Permisos del control de código fuente
Los permisos del control de código fuente son específicos de los archivos y carpetas de código fuente. Para establecer estos permisos, haga clic con el botón secundario del mouse en el archivo o carpeta en el Explorador del control de código fuente, haga clic en Propiedades y, en la ficha Seguridad, seleccione el usuario o grupo cuyos permisos desee cambiar y edite los permisos mostrados en Permisos. Puede establecer estos permisos mediante la utilidad de línea de comandos tf para el control de código fuente.
Nombre del permiso |
Nombre en la línea de comandos |
Descripción |
|---|---|---|
Lectura |
tf: Read |
Los usuarios que tienen este permiso pueden leer el contenido de un archivo o carpeta. Si un usuario tiene permisos de Lectura en una carpeta, puede ver el contenido de la carpeta y las propiedades de los archivos que contiene, aunque no tenga permisos para abrir esos archivos. |
Desproteger |
tf: PendChange |
Los usuarios que tienen este permiso pueden desproteger y realizar un cambio pendiente a los elementos en una carpeta. Entre los ejemplos de cambios pendientes se incluyen agregar, cambiar de nombre, eliminar, recuperar, bifurcar y combinar un archivo. |
Proteger |
tf: Checkin |
Los usuarios que tienen este permiso pueden proteger los elementos y revisar cualquier comentario del conjunto de cambios confirmado. Los cambios pendientes se confirman en la protección. |
Etiqueta |
tf: Label |
Los usuarios que tienen este permiso pueden asignar etiquetas a los elementos. |
Bloquear |
tf: Lock |
Los usuarios que tienen este permiso pueden bloquear y desbloquear carpetas o archivos. |
Revisar los cambios de otro usuario |
tf: ReviseOther |
Los usuarios que tienen este permiso pueden editar los comentarios de los archivos protegidos, aunque otro usuario haya protegido el archivo. |
Desbloquear los cambios de otro usuario |
tf: UnlockOther |
Los usuarios que tienen este permiso pueden desbloquear los archivos bloqueados por otros usuarios. |
Deshacer los cambios de otro usuario |
tf: UndoOther |
Los usuarios que tienen este permiso pueden deshacer un cambio pendiente realizado por otro usuario. |
Administrar etiquetas |
tf: LabelOther |
Los usuarios que tienen este permiso pueden editar o eliminar etiquetas creadas por otro usuario. |
Manipular configuración de seguridad |
tf: AdminProjRights |
Los usuarios que tienen este permiso pueden establecer permisos en estos archivos y carpetas. |
Proteger los cambios de otro usuario |
tf: CheckinOther |
Los usuarios que tienen este permiso pueden proteger los cambios realizados por otros usuarios. Los cambios pendientes se realizarán cuando se lleve a cabo la protección. |
Vea también
Tareas
Cómo: Establecer permisos de administrador para Team Foundation Server
Cómo: Establecer permisos de responsable de proyectos para Team Foundation Server
Cómo: Establecer permisos de colaborador para Team Foundation Server
Cómo: Establecer permisos de lector para Team Foundation Server
Conceptos
Grupos predeterminados, permisos y funciones de Team Foundation Server
Trabajar con elementos de trabajo de Team Foundation
Otros recursos
Comandos de la utilidad TFSSecurity de la línea de comandos
Referencia de la línea de comandos del control de versiones de Team Foundation