Управление доступом к функциональным областям
Вы можете настроить начальные параметры безопасности для следующих функциональных областей командного проекта: командных запросов, Team Foundation (подсистема контроля версий), Team Foundation Build и Visual Studio Lab Management. Шаблоны процессов Microsoft Solutions Framework (MSF) назначают несколько разрешений группам безопасности по умолчанию. Эти назначения можно изменить, настроив файл подключаемого модуля для соответствующей функциональной области.
Сведения о том, как настроить группы безопасности для Visual Studio Team Foundation Server, см. в разделе Настройка начальных групп, команд, членов и разрешений.
Дополнительные сведения об администрировании пользователей и групп, а также об управлении доступом в Visual Studio Application Lifecycle Management (ALM) см. в разделе Управление пользователями или группами в TFS.
Назначение разрешений для функциональных областей
Вы можете использовать функциональный элемент permission, чтобы разрешать или запрещать разрешения для функциональных областей группы безопасности в Team Foundation Server, группы Windows или удостоверения Windows. Этот элемент используется в файлах подключаемых модулей для отслеживания рабочих элементов, Team Foundation (подсистема контроля версий), Team Foundation Build и Lab Management. Элемент permission необходимо заключать в соответствующий контейнер: элемент permissions. Для функционального элемента permission используется следующая синтаксическая структура:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
В следующей таблице описываются атрибуты для функционального элемента permission.
Атрибут |
Описание |
|---|---|
allow |
Идентифицирует предоставляемые разрешения. Разрешения указываются в виде текста с разделителями-запятыми. Имена разрешений, определенные для каждой функциональной области, см. ниже в следующих разделах.
|
deny |
Идентифицирует отзываемые разрешения. Разрешения указываются в виде текста с разделителями-запятыми. Примечание Запрещенные разрешения имеют приоритет над разрешенными. |
identity |
Задает группу безопасности в Team Foundation Server, группу Windows или удостоверение Windows, к которому применяются разрешения. Формат, с помощью которого следует указывать группы, см. в подразделе "Группы по умолчанию, определенные в Team Foundation Server" раздела Настройка начальных групп, команд, членов и разрешений. |
В следующем примере показано, как предоставляются разрешения, позволяющие группе Участники просматривать сборки и определения сборок, а также ставить сборки в очередь и редактировать качество сборок.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
Примечание
Если во время выполнения не удается найти разрешение для удостоверения, то выполняется поиск разрешения в других группах, к которым принадлежит это удостоверение.Если разрешение не удается найти, то по умолчанию разрешение отклоняется.
Назначение разрешений для запросов рабочих элементов
В файле подключаемого модуля рабочих элементов можно назначить разрешения, управляющие доступом к папкам командных запросов. Разрешения для папок запросов относятся к запросам и папкам запросов. Вы можете предоставлять доступ пользователям и группам в Windows или группам по умолчанию, заданным для Team Foundation Server.
Эти разрешения назначаются с помощью функционального элемента permission, как показано в следующем примере.
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
Примечание
После создания командного проекта вы можете задать разрешения, щелкнув правой кнопкой мыши папку запроса или запрос в Team Explorer и перейдя на вкладку Безопасность.Подробнее см. в разделе Установка разрешений для очередей.
В следующей таблице описаны разрешения, управляющие доступом к папкам запросов и запросам. В таблице также указаны назначения по умолчанию, которые делаются в шаблонах процессов MSF. По умолчанию создатели или владельцы запросов и папок запросов имеют полный контроль над управлением запросами, которые ими созданы или принадлежат им.
Разрешение |
Описание |
Читатели, участники, сборщики |
Создатели-владельцы, группа администраторов проекта, администраторы коллекции проектов |
|---|---|---|---|
Read |
Чтение. Можно просматривать и выполнять запрос или просматривать папку запросов и ее содержимое. |
.jpeg "флажок") |
|
Contribute |
Участие. Можно просматривать и редактировать запрос или папку запросов и ее содержимое. |
|
|
Delete |
Удаление. Можно просматривать, изменять и удалять запрос или папку запросов и ее содержимое. |
|
|
ManagePermissions |
Управление разрешениями. Можно управлять разрешениями для запроса или папки запросов и ее содержимого. |
|
|
FullControl |
Полный доступ. Можно просматривать, изменять, удалять и контролировать разрешения для запроса или папки запросов и ее содержимого. |
|
Назначение разрешений для управления версиями
Вы можете назначать разрешения, управляющие доступом к файлам и папкам исходного кода, изменив файл подключаемого модуля для управления версиями. Разрешения управления версиями применяются к файлам и папкам исходного кода. Вы можете предоставлять доступ пользователям и группам в Windows или группам по умолчанию, заданным для Team Foundation Server.
Эти разрешения назначаются с помощью функционального элемента permission, как показано в следующем примере.
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Примечание
После создания командного проекта можно задать эти разрешения, щелкнув правой кнопкой мыши папку или файл в обозревателе управления исходным кодом, а затем выбрав Свойства и перейдя на вкладку Безопасность.На этой вкладке можно щелкнуть пользователя или группу, для которой требуется изменить разрешения, а затем отредактировать разрешения, перечисленные в разделе Разрешения.Вы также можете установить эти разрешения с помощью программы командной строки tf для системы управления версиями или программы командной строки TFSSecurity.Дополнительные сведения см. в Справочник по разрешениям Team Foundation Server.
В следующей таблице описаны разрешения, управляющие доступом к файлам и папкам исходного кода. В таблице также указаны назначения по умолчанию, которые делаются в шаблонах процессов MSF.
Разрешение |
Описание |
Читатели |
Авторы |
Сборщики |
Группа администраторов проекта |
|---|---|---|---|---|---|
Read |
Чтение. Можно отображать содержимое файла или папки. Если у пользователя есть разрешение на чтение для папки, но не для файлов в этой папке, то пользователь может отображать имена и свойства этих файлов, но не может открывать их. |
|
|
|
|
PendChange |
Извлечение. Можно извлекать элемент и вносить в него ожидающее изменение. Примеры ожидающих изменений: добавление, изменение, переименование, отмена удаления, ветвление и слияние файла. |
|
|
|
|
Merge |
Слияние. Можно объединять изменения в пути, для которого имеются разрешения. |
|
|
|
|
Checkin |
Возврат. Могут возвращать элементы и проверять все комментарии к зафиксированным наборам изменений. Ожидающие изменения фиксируются, когда пользователь возвращает элемент. |
|
|
|
|
Label |
Метка. Могут помечать элементы. |
|
|
|
|
Lock |
Блокировка. Можно заблокировать элемент, чтобы другие пользователи не могли обновлять его. |
|
|
|
|
ReviseOther |
Пересмотр изменений другого пользователя. Можно изменять содержимое комментариев к набору изменений и примечаний при возврате другого пользователя. |
|
|||
UnlockOther |
Разблокировка изменений другого пользователя. Можно удалять чужую блокировку. |
|
|||
UndoOther |
Отмена изменений другого пользователя. Можно отменять ожидающие изменения другого пользователя. |
|
|||
LabelOther |
Администрирование меток. Можно изменять метку другого пользователя. |
|
|||
AdminProjectRights |
Управление разрешениями. Можно настраивать параметры безопасности для управления версиями. |
|
|||
CheckinOther |
Возврат изменений другого пользователя. Можно выполнять возврат от имени другого пользователя. Это разрешение требуется для служебных программ преобразования. |
|
|||
ManageBranch |
Управление ветвями. Пользователи с таким разрешением для определенного пути могу выполнять преобразование любой папки по этому пути в ветвь. Пользователи, имеющие это разрешение для ветви, могут также изменять ее свойства, изменять ее родительский объект и преобразовывать ее в папку. Пользователи с таким разрешением могут разветвлять эту ветвь, только если они уже имеют разрешение Объединить для целевого пути. Пользователи не могут создавать ответвления от ветви, для которой они не имеют разрешения Управление ветвями. |
|
Назначение разрешений для сборки
Вы можете назначать разрешения, управляющие доступом к действиям сборки, изменяя файл подключаемого модуля сборки. Можно предоставлять доступ пользователям и группам в Windows и группам в Team Foundation Server. Сведения о формате, с помощью которого следует указывать группы, см. в подразделе "Группы по умолчанию, определенные в Team Foundation Server" раздела Настройка начальных групп, команд, членов и разрешений.
Эти разрешения назначаются с помощью функционального элемента permission, как показано в следующем примере.
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Примечание
После создания командного проекта вы можете задать разрешения, открыв этот проект в Team Explorer, щелкнув правой кнопкой пункт Сборки и перейдя на вкладку Безопасность.Разрешения можно применить к конкретному определению сборки, щелкнув это определение правой кнопкой мыши и выбрав пункт Безопасность.Если вы хотите применить разрешения к папке сборки, щелкните его правой кнопкой мыши и выберите пункт Безопасность.Кроме того, данные разрешения можно настроить с помощью программы командной строки TFSSecurity.Дополнительные сведения см. в Справочник по разрешениям Team Foundation Server.
В следующей таблице описаны разрешения, которые можно назначить для управления доступом к функциям сборки командного проекта. В таблице также указанные назначения по умолчанию для шаблонов процессов MSF.
Примечание
Разрешение Переопределение проверки возврата по сборке следует назначать только учетным записям служб для служб сборки и администраторам сборки, ответственным за качество кода.Дополнительные сведения см. в разделе Возврат в папку, управляемую процессом сборки с условным возвратом.
Разрешение |
Описание |
Читатели |
Участники |
Администраторы сборки |
Администраторы проектов |
Администраторы коллекций проектов |
|---|---|---|---|---|---|---|
ViewBuildDefinition |
Просмотр определения сборки. Могут просматривать определения сборок, созданные для командного проекта. |
|
|
|
|
|
ViewBuilds |
Просмотр сборок. Могут просматривать сборки в очереди и завершенные сборки командного проекта. |
|
|
|
|
|
EditBuildQuality |
Изменение качества сборки. Можно добавлять сведения о качестве сборки через интерфейс для Team Foundation Build. |
|
|
|
|
|
QueueBuilds |
Постановка сборок в очередь. Можно добавлять сборку в очередь через интерфейс Team Foundation Build или в командной строке. |
|
|
|
|
|
DeleteBuildDefinition |
Удаление определения сборки. Можно удалять определения сборок. |
|
|
|
||
DeleteBuilds |
Удаление сборок. Могут удалять завершенные сборки. |
|
|
|
||
DestroyBuilds |
Уничтожение сборок. Могут безвозвратно удалять завершенные сборки. |
|
|
|
||
EditBuildDefinition |
Изменение определения сборки. Можно создавать и изменять определения сборок. |
|
|
|
||
ManageBuildQualities |
Управление качествами сборки. Можно добавлять или удалять качества сборки, такие как Готово к развертыванию, Отклонено или Исследуется. Дополнительные сведения см. в разделе Добавление и удаление значений качества сборки. |
|
|
|
||
ManageBuildQueue |
Управление очередью сборок. Могут отменять, изменять приоритет и откладывать сборки в очереди. |
|
|
|
||
RetainIndefinitely |
Хранить бессрочно. Могут помечать сборку, чтобы она не удалялась автоматически соответствующей политикой хранения. |
|
|
|
||
StopBuilds |
Остановка сборок. Можно останавливать выполняющуюся сборку. |
|
|
|
||
OverrideBuildCheckInValidation |
Переопределение проверки возврата по сборке. Можно фиксировать набор изменений, влияющий на условное определение сборки, без того, чтобы система вначале включила изменения в набор отложенных изменений и выполнила их сборку. Дополнительные сведения см. в разделе Возврат в папку, управляемую процессом сборки с условным возвратом. |
|
||||
UpdateBuildInformation |
Обновление сведений о сборке. Можно добавлять сведения о качестве сборки. Данное разрешение должно присваиваться только учетным записям служб. |
Назначение разрешений для Lab Management
Вы можете управлять доступом к действиям в Lab Management путем изменения файла подключаемого модуля Lab. Разрешения для Lab Management относятся к конкретным виртуальным машинам, средам и другим ресурсам. Можно предоставлять доступ пользователям и группам в Windows и группам в Team Foundation Server. Эти разрешения назначаются с помощью функционального элемента permission, как показано в следующем примере.
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Примечание
Разрешения для Lab Management можно настроить с помощью программы командной строки TFSLabConfig.Чтобы просматривать сведения об определенном ресурсе лаборатории, необходимо иметь разрешение на чтение этого ресурса.Чтобы удалить расположение, необходимо иметь для него разрешение Удаление расположений лаборатории. Дополнительные сведения см. в разделе Команда Permissions TFSLabConfig.
В следующей таблице описываются разрешения, которые можно назначать для управления доступом в Visual Studio Lab Management. В таблице также указываются назначения по умолчанию, которые делаются в шаблонах процессов MSF.
Разрешение |
Описание |
Читатели |
Авторы |
Группа учетных записей службы сборки коллекции проектов |
Группа администраторов командных проектов |
Группа администраторов коллекции проектов |
|---|---|---|---|---|---|---|
Read |
Просмотр ресурсов лаборатории. Можно просматривать сведения для различных ресурсов Lab Management, включая группы узлов коллекции, группы узлов проекта и среды. |
|
|
|
|
|
Create |
Импорт виртуальной машины. Можно импортировать виртуальную машину из общей папки библиотеки диспетчера виртуальных машин (VMM). Это разрешение отличается от разрешения на запись, так как пользователи могут создать объект в Lab Management, но не могут записать что-либо в группу узлов диспетчера виртуальных машин или в общую папку библиотеки. |
|
|
|
||
Write |
Запись сред и виртуальных машин. Можно создавать среды. Пользователи с этим разрешением для общей папки библиотеки проекта могут сохранять среды и виртуальные машины. |
|
|
|
|
|
Edit |
Изменение сред и виртуальных машин. Можно редактировать среды и виртуальные машины. Это разрешение проверяется для изменяемого объекта. |
|
|
|
|
|
Start |
Запуск. Могут запускать среду. |
|
|
|
|
|
Stop |
Остановка. Могут останавливать среду. |
|
|
|
|
|
Pause |
Приостановка. Могут приостанавливать среду. |
|
|
|
||
ManageSnapshots |
Управление снимками. Можно выполнять все задачи управления снимками, включая создание снимка, возврат к снимку, переименование снимка, удаление снимка и чтение снимка. |
|
|
|
|
|
Delete |
Удаление сред и виртуальных машин. Можно удалять среды и виртуальные машины. Это разрешение проверяется для удаляемого объекта. |
|
|
|||
ManageLocation |
Управление расположениями лаборатории. Можно изменять расположения ресурсов Lab Management, включая группы узлов коллекции, проекты библиотек коллекции, группы узлов проекта и общие папки библиотек проекта. Это разрешение для расположений уровня коллекции (групп узлов коллекции и общих папок библиотек коллекции) позволяет также создавать расположения уровня проекта (групп узлов проекта и общих папок библиотек проекта). |
|
|
|||
DeleteLocation |
Удаление расположений лаборатории. Можно удалять расположения ресурсов Lab Management, включая группы узлов коллекции, общие папки библиотек коллекции, группы узлов проекта и общие папки библиотек проекта. |
|
|
|||
ManageChildPermissions |
Управление разрешениями дочерних объектов. Можно изменять разрешения всех дочерних объектов Lab Management. Например, если пользователь имеет это разрешение для группы узлов командного проекта, он может изменять разрешения для всех сред этой группы. |
|
|
|||
ManagePermissions |
Управление разрешениями. Можно изменять разрешения для объекта Lab Management. Это разрешение проверяется для объекта, разрешения которого изменяются. |
|
||||
EnvironmentOps |
Операции среды. Могут запускать, останавливать, приостанавливать и контролировать снимки, а также выполнять другие операции в среде. |
См. также
Основные понятия
Настройка начальных групп, команд, членов и разрешений