Konfigurowanie grup początkowych, zespołów, członków i uprawnień

Artykuł
09/13/2015

Przy użyciu pliku dodatku plug-in dla grup i uprawnień, można skonfigurować ustawienia zabezpieczeń początkowego dla projektów zespołowych. Można to zrobić, definiując zadania tworzenia grup zabezpieczeń, zagnieżdżania grup, definiowanie grup jako zespoły, skonfiguruj ustawienia początkowego zespołu, przypisywać elementy członkowskie grup i udzielić lub odmówić uprawnień określonych dla każdej grupy. Oprócz wykonywania tych zadań, można określić ustawienia zabezpieczeń początkowego dla kolekcji na poziomie, na poziomie projektu i obszary klasyfikacji projektu.

Szablony procesów Microsoft przypisywać uprawnienia kilka grup domyślnych. Dostosowywanie pliku dodatku plug-in dla grup i uprawnień można modyfikować tych przydziałów. Aby uzyskać więcej informacji na ten temat dodatków plug-in, zobacz Definiowanie grup, zespołów i uprawnień przy użyciu wtyczki grup i uprawnień.

W tym temacie:

Zdefiniować i przypisywać uprawnienia do grup
Grupa makra i domyślne grupy
Zagnieżdżania grup i przypisać członków do grupy
Zdefiniuj zespołu
Przypisz kolekcji poziom uprawnień
Przypisz uprawnień na poziomie projektu
Przypisywać uprawnienia do kontrolowania obszaru ścieżki
Przypisywać uprawnienia do kontrolowania ścieżki iteracji

Aby uzyskać informacje o konfigurowaniu ustawień zabezpieczeń początkowego dla obszarów funkcjonalnych projektu zespołowego, takich jak Team Foundation Build, Kontrola wersji programu Team Foundation, i Visual Studio Lab Management, zobacz Kontrola dostępu do obszarów funkcjonalnych.

Aby uzyskać informacje o dostosowywaniu typy elementów roboczych, aby udzielić lub odmówić dostępu do grupy lub użytkowników, zobacz Zastosowanie reguły do pola elementu roboczego.

Aby uzyskać więcej informacji na temat sposobu administrowania użytkowników i grup i kontrolować dostęp do Visual Studio Application Lifecycle Management (ALM), zobacz Zarządzanie użytkownikami lub grupami na serwerze TFS.

Zdefiniować i przypisywać uprawnienia do grup

Można użyć group i member elementy, aby określić zabezpieczenia nowej grupy w Team Foundation Server i dodać członków do tej grupy. Można użyć grupy permission elementu do przypisywania uprawnień do grupy i do członków tej grupy. Należy Hermetyzowanie przy każdej z tych elementów w ramach ich odpowiednich elementów kontenera: groups, members, i permissions. Użyj następujących składni struktury dla każdego z tych elementów:

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>

W poniższej tabeli przedstawiono atrybuty dla group, member, a grupą permission elementów. Tylko wtedy, gdy grupy i uprawnienia pliku dodatku plug-in za pomocą tych elementów.

Element	Atrybut	Opis
group	name	Określa nazwę grupy, które tworzysz.
	isTeam	Wskazuje, czy grupa jest zespołu (true) lub nie (false).
	description	Opisuje cel dla grupy dla innych użytkowników.
member	name	Określa nazwę grupy, która jest dodawany jako należących do innej grupy. Można utworzyć grupy i wstępnie wypełnić je z jednym z następujących typów elementów członkowskich: Domyślnymi grupami, które są zdefiniowane w Team Foundation Server Grup projektów, które zostały wcześniej utworzone w pliku groupsandpermissions.xml (na przykład \Contributors [$NAZWAPROJEKTU$ $]) Grup i użytkowników, którzy są zdefiniowane w usłudze Active Directory, która przy użyciu następującego formatu: DOMENA DOMAIN\GROUPNAME Informacje dotyczące formatu do użycia podczas określania domyślnymi grupami, zobacz grupować makra i grupy domyślne poniżej w tym temacie.
permission	name	Umożliwia określenie, które uprawnienia są stosowane. Aby uzyskać listę obsługiwanych uprawnień zobacz następujące sekcje dalej w tym temacie: Przypisz kolekcji poziom uprawnień Przypisz uprawnień na poziomie projektu Przypisywać uprawnienia do kontrolowania obszaru ścieżki Przypisywać uprawnienia do kontrolowania ścieżki iteracji
	class	Identyfikuje klasy lub obszaru, której przyznano uprawnienia grupy. Następujące wartości są prawidłowe: NAMESPACE: Określa uprawnienia na poziomie kolekcji. PROJECT: Określa uprawnienia na poziomie projektu. CSS_NODE: Określa uprawnienia do wyświetlania i zarządzania nimi ścieżek obszaru dla projektów zespołowych. ITERATION_NODE: Określa uprawnienia do wyświetlania i zarządzania nimi ścieżki iteracji dla projektów zespołowych.
	allow	Używa true lub false wartości wskazującej, czy uprawnienia jest dozwolone lub nie.
	path	Identyfikuje węzeł ścieżkę obszaru lub ścieżkę iteracji, gdzie są stosowane uprawnienia. Ten atrybut jest prawidłowy tylko wtedy, gdy class ma ustawioną wartość CSS_NODE lub ITERATION_NODE.

Grupa makra i domyślne grupy

W poniższej tabeli przedstawiono makra, które służy do określania domyślnej grupy zdefiniowany w Team Foundation Server.

Uwaga

Można określić makra w poniższej tabeli tylko wtedy, gdy dodatek do grup i uprawnienia.Nie można określić te makra, przypisując uprawnienia za pomocą dodatków plug-in kompilacji, kontroli wersji i zarządzania laboratorium.

Domyślne grupy	Makro
Administratorzy kolekcji projektów	\$$PROJECTCOLLECTIONADMINGROUP$$ [SERWER] \$$TEAMFOUNDATIONADMINGROUP$$ [SERWER] $COLLECTIONADMINGROUP$
Konta usług kolekcji projektów	\$$PROJECTCOLLECTIONSERVICESGROUP$$ [SERWER]
Konta usług kompilacji kolekcji projektów	\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ [SERWER] $COLLECTIONBUILDSERVICESGROUP$
Administratorzy kompilacji kolekcji projektów	\$$PROJECTCOLLECTIONBUILDADMINSGROUP$$ [SERWER] $COLLECTIONBUILDADMINISTRATORSGROUP$
Administratorzy projektu	$PROJECTADMINGROUP$ \$$PROJECTADMINGROUP$$ [NAZWAPROJEKTU$ $] \Builders [NAZWAPROJEKTU$ $]
Twórca projektu	$CREATOR_OWNER$ @creator
Zespół domyślny	@defaultTeam

Przykład: Zagnieżdżania grup i przypisać członków do grupy

Poniższy przykład przedstawia sposób konfigurowania grup, które są nazywane TestGroup1, TestGroup2 i TestGroup3. W tym przykładzie możesz dodać jako członek TestGroup2 TestGroup1. Dla tego kodu jest nieprawidłowe należy zdefiniować TestGroup1 przed zdefiniowaniem TestGroup2.

<task id="GroupCreation1"> 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

Zdefiniuj zespołu

Oprócz tworzenia grup, można przypisać grupy jako zespół. Tworzenie projektu zespołowego tworzy również zespół domyślny. Jeśli masz klika zespołów, które chcesz uporządkować ich pracy, niezależnie od innych zespołów, a następnie należy wykonać jedną z następujących zdefiniować zespoły w ramach grup i uprawnienia pliku dodatku plug-in, lub je skonfigurować po utworzeniu projektu zespołowego. Zobacz Dodawanie innego zespołu lub hierarchii zespołów.

Poniższy przykład przedstawia sposób konfigurowania grupy jako zespół. W tym przykładzie Określ grupę, zespół marzenie zespół i dodać Twórca projektu zespołowego jako członek zespołu. Niezależnie od ścieżki iteracji, które należy określić dla zespołu muszą być zdefiniowane w pliku dodatku plug-in klasyfikacji. Zobacz Definiowanie wtyczki klasyfikacji.

<group name="Dream Team" isTeam="true" description="Next generation work">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
   </permissions>
   <members>
      <member name="@creator"/>
   </members>
   <teamSettings areaPath="Area">
      <iterationPaths backlogPath="Iteration">
         <iterationPath path="Release 1\Sprint 1" />
         <iterationPath path="Release 1\Sprint 2" />
         <iterationPath path="Release 1\Sprint 3" />
         <iterationPath path="Release 1\Sprint 4" />
         <iterationPath path="Release 1\Sprint 5" />
         <iterationPath path="Release 1\Sprint 6" />
      </iterationPaths>
   </teamSettings>
</group>

Przypisz kolekcji poziom uprawnień

Przy użyciu grupy można przypisywać uprawnienia na poziomie kolekcji permission elementu i klasa przestrzeni nazw. Tych uprawnień kontroli dostępu do zasobów, które są dostępne dla projektów zespołowych. Można ustawić uprawnień na poziomie kolekcji dla następujących kategorii użytkowników:

Użytkownicy i grupy na poziomie kolekcji, tacy jak Administratorzy kolekcji projektów
Grupy na poziomie projektu, które zostały dodane do kolekcji poziom na serwerze, na którym jest uruchomiony Team Foundation
Grupy niestandardowe, które tworzysz i dodajesz na poziomie kolekcji

Dla formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

Uwaga

Uprawnienia można ustawić, klikając prawym przyciskiem myszy serwer w Team Explorer a następnie klikając polecenie zabezpieczeń, otwierając okno i za pomocą konsoli administracyjnej dla Team Foundation, lub za pomocą TFSSecurity i tf Narzędzia wiersza polecenia.Aby uzyskać więcej informacji, zobacz kolekcji na poziomie grupy, Zmiana grup i uprawnień za pomocą TFSSecurity, i polecenie uprawnienia.

Poniższy przykład przedstawia sposób udzielić uprawnień na poziomie kolekcji do administratorów projektów dla projektów zespołowych.

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
       <permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
    </permissions>
</group>

W poniższej tabeli opisano uprawnienia poziomie zbioru, które można przypisać.

Uwaga

Domyślnie brak uprawnień na poziomie kolekcji są przypisywane w Opracowywanie szablony procesów.

Uprawnienie	Opis
DIAGNOSTIC_TRACE	Zmieni ustawień śledzenia. Można zmienić ustawienia śledzenia do zbierania bardziej szczegółowe informacje diagnostyczne dotyczące usług sieci Web dla Team Foundation Server.
CREATE_PROJECTS	Tworzyć nowe projekty. Można tworzyć projektów w kolekcji projektów zespołowych.
GENERIC_WRITE	Edytować informacje o poziomie zbioru. Można edytować kolekcji poziom uprawnień dla użytkowników i grup w kolekcji projektów zespołowych. Użytkownicy, którzy mają to uprawnienie można wykonać następujące zadania: Dodawanie, usuwanie lub zmienianie nazwy grupy aplikacji na poziomie kolekcji z kolekcji w Team Foundation Server. Uwaga Nie można usunąć grupy poziomie zbioru domyślne, takich jak administratorów kolekcji projektów. Dodawanie lub usuwanie użytkownika lub grupy użytkowników systemu Windows lub inną grupę aplikacji w Team Foundation Server (na poziomie serwera). Zmiana uprawnień na poziomie kolekcji dla użytkowników i grup. Ponadto użytkownicy, którzy mają to uprawnienie można modyfikować uprawnienia do kontroli wersji i mają dostęp do zapisu do wszystkich plików w kontroli wersji, chyba że wyraźnie odmowa dostępu ich przez inne uprawnienia.
MANAGE_TEMPLATE	Szablony procesów Zarządzaj. Można pobrać, Utwórz, Edytuj i przekaż szablony procesów do kolekcji projektów zespołowych.
MANAGE_TEST_CONTROLLERS	Kontrolerów testu Zarządzaj. Można zarejestrować i Cofnij zarejestrować kontrolerów testów dla kolekcji projektów zespołowych.
MANAGE_LINK_TYPES	Typy łączy elementu roboczego Zarządzaj. Można dodać, usunąć i zmienić typy łączy, aby pozycje robocze.
GENERIC_READ	Służy do wyświetlania informacji na poziomie kolekcji. Mogą wyświetlać członkostwa na poziomie kolekcji grup i uprawnień tych użytkowników.

Przypisz uprawnień na poziomie projektu

Można przypisywać uprawnienia na poziomie projektu w pliku dodatku plug-in grup i uprawnień. Przypisz tych uprawnień przy użyciu grupy permission elementu i klasa projektu. Te uprawnienia kontroli dostępu do zasobów tego pojedynczego projektu. Można przyznać dostęp do użytkowników i grupy w systemie Windows, grup w Team Foundation, i grup, które wcześniej zdefiniowane w pliku dodatku plug-in grup i uprawnień. Dla formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

Poniższy przykład przedstawia sposób nadaj uprawnienia kilka grupy współpracowników dla projektów zespołowych.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

W poniższej tabeli opisano uprawnienia na poziomie projektu, które można przypisać i wskazuje przydziały domyślne, które zostały wprowadzone w Opracowywanie szablony procesów.

Uprawnienie	Opis	Czytelnicy	Współautorzy	Administratorzy kompilacji
GENERIC_READ	Wyświetlić informacje dotyczące projektu. Wyświetlić członkostwo grup na poziomie projektu i uprawnienia tych elementów.
VIEW_TEST_RESULTS	Przebiegi testów widoku. Można wyświetlić planów testów w tym węźle.
MANAGE_TEST_CONFIGURATIONS	Konfiguracji testów Zarządzaj. Można tworzyć i usuwać konfiguracji testów dla projektu zespołowego.
MANAGE_TEST_ENVIRONMENTS	Zarządzaj testowych środowisk. Można utworzyć i usunąć testowych środowisk dla projektu zespołowego.
PUBLISH_TEST_RESULTS	Przebiegi testów Utwórz. Można dodawać i Usuń wyniki testów i dodać lub zmodyfikować przebiegi testów dla projektu zespołowego.
DELETE_TEST_RESULTS	Przebiegi testów delete. Czy usunąć test zaplanowane dla projektu zespołowego.
DELETE	Projektu zespołowego delete. Czy usunąć z Team Foundation Server projektu, dla którego użytkownik ma uprawnienie to.
GENERIC_WRITE	Edytować informacje na poziomie projektu. Można edytować uprawnień na poziomie projektu dla użytkowników i grup w Team Foundation Server.

Przypisywać uprawnienia do kontrolowania obszaru ścieżki

Można przypisywać uprawnienia, które kontrolują dostęp do definicji obszaru przy użyciu grupy permission elementu i klasy CSS_NODE. Te uprawnienia kontroli dostępu do tego pojedynczego projektu struktury klasyfikacji. Można przyznać dostęp do użytkowników i grupy w systemie Windows, grup w Team Foundation, i grup, które wcześniej zdefiniowane w pliku dodatku plug-in grup i uprawnień. Informacje dotyczące formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

Poniższy przykład przedstawia sposób nadaj uprawnienia kilka grupy współpracowników dla projektów zespołowych.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

W poniższej tabeli opisano uprawnienia, które można przypisać do kontroli dostępu do struktury hierarchiczne do obszaru projektu i węzłów iteracji. Tabela wskazuje także przydziały domyślne, które zostały wprowadzone w Opracowywanie szablony procesów.

Uwaga

Niektóre operacje do śledzenia elementów roboczych wymagają wiele uprawnień.Jest to na przykład konieczne w celu usunięcia węzła.

Uprawnienie	Opis	Czytelnicy	Współautorzy	Administratorzy kompilacji
GENERIC_READ	Wyświetlić ten węzeł. Wyświetlić ustawienia zabezpieczeń dla węzła obszaru.
WORK_ITEM_READ	Widoku elementy robocze w tym węźle. Można wyświetlać, ale nie jest to zmienić, elementów pracy, które są przypisane do węzła obszaru.
WORK_ITEM_WRITE	Edycji elementów pracy w tym węźle. Można edytować elementów pracy, które są przypisane do węzła obszaru.
MANAGE_TEST_PLANS	Planów testów Zarządzaj. Można tworzyć i edytować plany testów, przypisanych do węzła obszaru. Jeśli plany testów nie były nigdy egzekwowane, można je również usunąć.
CREATE_CHILDREN	Tworzenie i kolejność węzłów podrzędnych. Można utworzyć obszar węzłów. Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie można przenieść lub zmienić kolejność dowolnego podrzędnego węzła obszaru.
DELETE	Usuń ten węzeł. Można usuwać węzłów obszaru. Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie do innego węzła można usunąć węzły obszaru i Podziel istniejące elementy pracy z węzła usuniętych. Jeśli usunięty węzeł ma węzły podrzędne, one także zostaną usunięte.
GENERIC_WRITE	Edytować ten węzeł. Można ustawić zabezpieczenia i zmienić węzłów obszaru.

Przypisywać uprawnienia do kontrolowania ścieżki iteracji

Przypisz uprawnienia, które kontrolują dostęp do ścieżki iteracji przy użyciu grupy permission elementu i ITERATION_NODE klasy. Te uprawnienia kontroli dostępu do punktu kontrolnego wersje lub iteracji dla pojedynczego projektu. Można przyznać dostęp do użytkowników i grupy w systemie Windows, grup w Team Foundation, i grup, które wcześniej zdefiniowane w pliku dodatku plug-in grup i uprawnień. Informacje dotyczące formatu do użycia podczas określania grup, zobacz grupować makra i grupy domyślne wcześniej w tym temacie.

Poniższy przykład przedstawia sposób przyznania kilku uprawnień do grupy współpracowników dla projektów zespołowych:

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
      <permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
   </permissions>
</group>

W poniższej tabeli opisano uprawnienia, które można przypisać do kontroli dostępu do struktury hierarchiczne węzłów iteracji projektu. Ponieważ szablony procesów Opracowywanie nie określono żadnego ITERATION_NODE uprawnienia, zespołu wszystkich elementów członkowskich można tworzyć, wyświetlać i usuń węzły iteracji.

Uwaga

Niektóre operacje do śledzenia elementów roboczych wymagają wiele uprawnień.Jest to na przykład konieczne w celu usunięcia węzła.

Uprawnienie	Opis
GENERIC_READ	Wyświetlić ten węzeł. Wyświetlić ustawienia zabezpieczeń dla węzła.
CREATE_CHILDREN	Tworzenie i kolejność węzłów podrzędnych. Można utworzyć węzłów iteracji. Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie można przenieść lub zmienić kolejność dowolny węzeł iteracji.
DELETE	Usuń ten węzeł. Można usuwać węzłów iteracji. Użytkownicy, którzy mają zarówno ta i GENERIC_WRITE uprawnienie do innego węzła można usunąć węzły iteracji i Podziel istniejące elementy pracy z węzła usuniętych. Jeśli usunięty węzeł ma węzły podrzędne, one także zostaną usunięte.
GENERIC_WRITE	Edytować ten węzeł. Można ustawić uprawnień dla węzłów iteracji i Zmień nazwę węzłów.