Team Foundation Server 默认组、权限和角色
在 Visual Studio Team Foundation Server 中创建项目时,将为该项目创建项目级别的组,并为这些组分配对其相应资源的访问权限。 若要自定义项目以更好地适合业务需求,必须了解为哪些用户和组分配了哪些权限,以及对于可能在服务器级别、集合级别和项目级别添加的所有用户或组可能希望添加哪些权限。 此外,如果要使用户与针对 MSF for Agile Software Development 或 MSF for CMMI Process Improvement 描述的角色完全一致,您必须了解如何使这些角色与已分配给项目的默认组保持一致。 或者,您也可以创建与其中每个角色直接关联的组,并且可以为这些组分配适用于此角色的权限。
默认组和权限
只要在 Team Foundation Server 中创建项目,就会创建项目级的组。 默认情况下,为其中的每个组分配了某些权限。 除了要在服务器、集合或项目级别添加的任何组或用户以外,还可以为这些默认组添加权限。
服务器级的组和权限
默认情况下,在安装 Team Foundation Server 时,下列各组处于服务器级:
服务器**\Team Foundation Administrators** 本组成员可以执行 Team Foundation Server 的所有操作。 本组中需要对 Team Foundation Server 进行总体管理控制的用户的个数应限制为尽可能最少。 默认情况下,对于承载 Team Foundation 的应用程序服务的任何服务器,本组包含该服务器的**“本地管理员”组 (BUILTIN\Administrators)。 本组还包含服务器\Service Accounts** 组的成员。
服务器**\Team Foundation Valid Users** 本组成员有权访问 Team Foundation Server。 本组自动包含在 Team Foundation Server 内的任意位置添加的所有用户和组。 您不能修改本组的成员资格。
.gif "重要说明")
重要事项如果取消设置本组的“查看实例级别信息”权限或将其设置为“拒绝”,则所有用户都无法访问此部署。
服务器**\Service Accounts** 本组成员具有 Team Foundation Server 的服务级别权限。 默认情况下,本组包含安装过程中提供的服务帐户。 本组应只包含服务帐户,而不应包含用户帐户或含有用户帐户的组。 默认情况下,本组是**“Team Foundation Administrators (Team Foundation 管理员)”**的成员。
服务器**\Work Item Only View Users **本组成员不能使用用户在 Team Web Access 中查看项目和集合时提供的全面功能。 本组中的成员资格适用于没有 Team Foundation Server 部署的客户端访问许可证的用户。
服务器**\SharePoint Web Application Services** 本组成员具有已配置为与 Team Foundation Server 配合使用的 SharePoint Web 应用程序的服务级别权限,以及 Team Foundation Server 的部分服务级别权限。 本组应只包含服务帐户,而不应包含用户帐户或含有用户帐户的组。 与“服务帐户”组不同,本组不是**“Team Foundation Administrators (Team Foundation 管理员)”**的成员。
默认情况下,这些组具有下表中的权限。 除非另行说明,否则将权限设置为**“允许”**。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
创建团队项目集合 |
Team Foundation Administrators Team Foundation Service Accounts |
负责管理部署的总体运行状况和资源可用性的用户或组。 |
删除团队项目集合 |
Team Foundation Administrators Team Foundation Service Accounts |
负责管理部署的总体运行状况和资源可用性的用户或组。 |
编辑实例级别信息 |
Team Foundation Administrators Team Foundation Service Accounts |
负责管理部署的总体运行状况和资源可用性的用户或组。 |
代表其他项发出请求 |
Team Foundation Service Accounts SharePoint Web Application Services |
此权限应只分配给服务帐户和只包含服务帐户的组。 |
触发事件 |
Team Foundation Administrators Team Foundation Service Accounts |
负责管理部署的总体运行状况和资源可用性的用户或组。 |
使用 Web Access 完全访问权限功能 |
Team Foundation Administrators Team Foundation Valid Users 仅工作项视图用户(拒绝) |
必须利用 Team Web Access 中提供的各种功能的用户和组。 如果要在 Team Web Access 中将用户限定为只读视图,请将此权限设置为“拒绝”,或者将这些用户添加到服务器级别的“仅工作项视图用户”组。 |
查看实例级别信息 |
Team Foundation Administrators Team Foundation Service Accounts SharePoint Web Application Services Team Foundation Valid Users |
与 Team Foundation Server 交互的所有用户或组。 |
集合级别的组和权限
默认情况下,在安装 Team Foundation Server 时,下列各组处于集合级别:
团队项目集合名称**\Project Collection Administrators** 本组成员可以执行团队项目集合的所有操作。 在本组中,应将需要对集合进行总体管理控制的用户数限制为可能的最小值。 默认情况下,对于安装了 Team Foundation 的应用层服务的服务器,本组包含该服务器的**“本地管理员”组 (BUILTIN\Administrators)。 本组还包含 TeamProjectCollectionName\Service Accounts** 组的成员。
团队项目集合名称**\Project Collection Valid Users** 本组成员具有 Team Foundation Server 中团队项目集合的访问权限。 本组自动包含在团队项目集合内的任意位置添加的所有用户和组。 您不能修改本组的成员资格。
重要事项请勿取消设置本组的“查看集合级别信息”权限或将其设置为“拒绝”。
团队项目集合名称**\Project Collection Service Accounts** 本组成员具有集合和 Team Foundation Server 的服务级别权限。 默认情况下,本组包含安装过程中提供的服务帐户。 此组应仅包含服务帐户和那些仅包含服务帐户的组。 默认情况下,本组是**“Team Foundation Administrators (Team Foundation 管理员)”和“Team Foundation Service Accounts”**的成员。
团队项目集合名称**\Project Collection Build Service Accounts** 本组成员具有集合的生成服务权限。 此组应仅包含服务帐户和那些仅包含服务帐户的组。
团队项目集合名称**\ Collection Proxy Service Accounts** 本组成员具有集合的代理服务权限。 此组应仅包含服务帐户和那些仅包含服务帐户的组。
团队项目集合名称**\Project Collection Test Service Accounts** 本组成员具有集合的测试服务权限。 此组应仅包含服务帐户和那些仅包含服务帐户的组。
默认情况下,这些组具有下表中的权限。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
管理搁置的更改 |
项目集合管理员 项目集合服务帐户 项目集合生成服务帐户 |
手动添加的用户或组,这些用户或组可能或必须删除由其他用户创建的搁置集。 |
管理仓库 |
项目集合管理员 项目集合服务帐户 |
手动添加的用户或组,这些用户或组可能或必须通过 WarehouseController.asmx Web 服务的 ChangeSetting Web 方法更改仓库设置。 |
管理工作区 |
项目集合管理员 项目集合服务帐户 |
手动添加的用户或组,这些用户或组可能或必须为其他用户创建工作区或删除由其他用户创建的工作区。 |
改变跟踪设置 |
项目集合管理员 |
其他服务器管理员,这些管理员可能或必须更改跟踪设置以收集有关 Team Foundation Server Web 服务的更为详细的诊断信息。 |
创建工作区 |
项目集合管理员 项目集合服务帐户 项目集合有效用户 |
无。 所有用户都具有此权限,以作为成为“项目集合有效用户”组成员的一部分。 |
创建新项目 |
项目集合管理员 |
将定期创建项目的项目管理员。 |
删除团队项目 |
项目集合管理员 |
负责管理部署的总体运行状况和资源可用性的用户或组。 |
删除团队项目集合 |
项目集合管理员 |
负责管理部署的总体运行状况和资源可用性的用户或组。 |
编辑集合级别信息 |
项目集合管理员 项目集合服务帐户 |
无。 |
代表其他项发出请求 |
项目集合管理员 项目集合服务帐户 SharePoint Web Application Services |
无。 |
管理生成资源 |
项目集合管理员 项目集合生成管理员 项目集合生成服务帐户 项目管理员 构建者 |
手动添加的用户或组,这些用户或组可能或必须管理和安排集合中的生成资源的生成。 |
管理过程模板 |
项目集合管理员 |
项目管理员和任何手动添加的用户或组(如过程专家),这些管理员、用户或组可能或必须创建、编辑、下载和上载 Team Foundation Server 的过程模板。 |
管理测试控制器 |
项目集合管理员 项目集合测试服务帐户 |
无。 |
管理工作项链接类型 |
项目集合管理员 |
无。 |
触发事件 |
项目集合管理员 项目集合服务帐户 |
无。 为其他用户添加此权限可能导致拒绝服务攻击。 |
使用生成资源 |
项目集合管理员 项目集合生成服务帐户 |
手动添加的用户或组,这些用户或组可能或必须为新生成排队或浏览集合中已完成的生成。 |
查看生成资源 |
项目集合管理员 项目集合生成管理员 项目集合生成服务帐户 项目集合有效用户 |
无。 |
查看集合级别信息 |
项目集合管理员 项目集合生成管理员 项目集合生成服务帐户 项目集合服务帐户 项目集合测试服务帐户 项目集合有效用户 SharePoint Web Application Services 集合代理服务帐户 |
无。 |
查看系统同步信息 |
项目集合管理员 |
无。 |
项目级的组和权限
默认情况下,下列各组处于项目级:
项目名称**\Project Administrators** 本组成员不能创建项目,但可以管理团队项目的所有方面。
项目名称**\Contributors** 本组成员可以通过多种方式参与项目,如添加、修改和删除代码,以及创建和修改工作项。
项目名称**\Readers** 本组成员可以查看项目,但不能进行修改。
项目名称**\Builders** 本组成员具有项目的生成权限。 成员可以管理测试环境、创建测试运行和管理生成。
除这些项目级别的组之外,Team Foundation Server 的每个项目中还显示有两个集合级别组:
TeamProjectCollectionName**\Project Collection Administrators**
提示
您不能更改此集合级别组的权限。
TeamProjectCollectionName**\Project Collection Build Service Accounts**
重要事项请勿移除本组的“查看项目级别信息”权限或将其设置为“拒绝”。
默认情况下,这些组具有下表中的权限。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
提示
您可以使用 TFSSecurity 命令行工具将项目级别组添加到服务器级别组中。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
创建测试运行 |
项目管理员、参与者、构建者、项目集合管理员、项目集合生成服务帐户、项目集合测试服务帐户 |
无。 |
删除团队项目 |
项目管理员、项目集合管理员 |
无。 |
删除测试运行 |
Project Administrators、Team Foundation Administrators |
手动添加的用户或组,这些用户或组可能或必须终止正在运行的测试运行或删除早期测试运行。 |
编辑项目级信息 |
项目管理员、项目集合管理员 |
无。 |
管理测试配置 |
项目管理员、参与者、构建者、项目集合管理员、项目集合生成服务帐户、项目集合测试服务帐户 |
无。 |
管理测试环境 |
项目管理员、参与者、构建者、项目集合管理员、项目集合生成服务帐户、项目集合测试服务帐户 |
无。 |
查看项目级信息 |
项目管理员、参与者、访问者、构建者、项目集合管理员、项目集合生成服务帐户 |
需要访问此项目的任何手动添加的用户或组。 |
查看测试运行 |
项目管理员、参与者、访问者、构建者、项目集合生成服务帐户、项目集合管理员 |
需要访问此项目的任何手动添加的用户或组。 |
区域级的组和权限
默认情况下,下列各组处于区域级:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
ProjectName**\Builders**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName**\Project Collection Build Service Accounts**
默认情况下,这些组具有下表中的权限。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
创建子节点并对子节点排序 |
项目管理员、项目集合管理员 |
无。 |
删除此节点 |
项目管理员、项目集合管理员 |
任何手动添加的用户或组,这些用户或组可能或必须删除区域节点。 |
编辑此节点 |
项目管理员、项目集合管理员 |
任何手动添加的用户或组,这些用户或组可能或必须重命名区域节点。 |
编辑此节点中的工作项 |
项目管理员、参与者、构建者、项目集合管理员、项目集合生成服务帐户 |
任何手动添加的用户或组,这些用户或组可能或必须编辑此区域节点中的工作项。 |
查看此节点 |
项目管理员、参与者、访问者、构建者、项目集合管理员、项目集合生成服务帐户、项目集合测试服务帐户 |
任何手动添加的用户或组,这些用户或组可能需要访问此区域节点中的工作项。 |
查看此节点中的工作项 |
项目管理员、参与者、访问者、构建者、项目集合管理员、项目集合生成服务帐户、项目集合测试服务帐户 |
任何手动添加的用户或组,这些用户或组可能或必须查看此区域节点中的工作项,但不能编辑或更改这些工作项。 |
迭代级的组和权限
默认情况下,下列各组处于迭代级:
ProjectName**\Project Administrators**
TeamProjectCollectionName**\Project Collection Administrators**
默认情况下,这些组具有下表中的权限。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
创建子节点并对子节点排序 |
项目管理员、项目集合管理员 |
无。 |
删除此节点 |
项目管理员、项目集合管理员 |
任何手动添加的用户或组,这些用户或组可能或必须删除迭代节点。 |
编辑此节点 |
项目管理员、项目集合管理员 |
任何手动添加的用户或组,这些用户或组可能或必须重命名迭代节点。 |
查看此节点 |
项目管理员、项目集合管理员 |
任何手动添加的用户或组,这些用户或组可能或必须查看迭代节点。 |
版本控制组和权限
默认情况下,下列各组处于版本控制级别:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
ProjectName**\Builders**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName**\Project Collection Service Accounts**
TeamProjectCollectionName**\Project Collection Build Service Accounts**
默认情况下,这些组具有下表中的权限。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
读取 |
项目管理员、参与者、访问者、构建者、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
多数手动添加的用户或组;任何可能或必须读取文件或文件夹内容的用户或组。 |
签出 |
项目管理员、参与者、构建者、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
任何手动添加的用户或组,这些用户或组可能或必须签出文件夹中的项或对这些项进行挂起更改。 |
签入 |
项目管理员、参与者、构建者、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
任何手动添加的用户或组,这些用户或组可能或必须签入项或修订任何已提交的变更集注释。 |
Label |
项目管理员、参与者、构建者、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
任何手动添加的用户或组,这些用户或组可能或必须为项加标签。 |
锁定 |
项目管理员、参与者、构建者、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
任何手动添加的用户或组,这些用户或组可能或必须锁定或取消锁定文件夹或文件。 |
修订其他用户的更改 |
项目管理员、项目集合管理员、项目集合服务帐户 |
手动添加的用户或组,这些用户或组负责监督或监视项目,可能或必须在签入文件中更改注释,即使其他用户已签入该文件。 |
取消锁定其他用户的更改 |
项目管理员、项目集合管理员、项目集合服务帐户 |
手动添加的用户或组,这些用户或组可能或必须取消其他用户对文件的锁定。 |
撤消其他用户的更改 |
项目管理员、项目集合管理员、项目集合服务帐户 |
手动添加的用户或组,这些用户或组可能或必须撤消其他用户所做的挂起更改。 |
管理标签 |
项目管理员、项目集合管理员、项目集合服务帐户 |
手动添加的用户或组,这些用户或组可能或必须编辑或删除其他用户创建的标签。 |
管理权限 |
项目管理员、项目集合管理员、项目集合服务帐户 |
无。 |
签入其他用户的更改 |
项目管理员、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
无。 |
合并 |
项目管理员、参与者、构建者、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
手动添加的用户或组,这些用户或组可能或必须合并源文件。 |
管理分支 |
项目管理员、项目集合管理员、项目集合服务帐户、项目集合生成服务帐户 |
手动添加的用户或组,这些用户或组可能或必须创建专用分支。 |
生成级别的权限
默认情况下,下列各组处于生成级别:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
ProjectName**\Builders**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName**\Project Collection Build Service Accounts**
默认情况下,这些组具有下表中的权限。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
查看生成 |
项目管理员、参与者、访问者、构建者、项目集合生成服务帐户、项目集合管理员 |
多数手动添加的用户或组;任何可能或必须查看生成的用户或组。 |
编辑版本质量 |
项目管理员、参与者、构建者、项目集合生成服务帐户、项目集合管理员 |
|
无限期保留 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
删除生成 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
管理生成质量 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
销毁生成 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
更新生成信息 |
项目集合生成服务帐户 |
|
为生成排队 |
项目管理员、参与者、构建者、项目集合生成服务帐户、项目集合管理员 |
|
管理生成队列 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
停止生成 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
查看生成定义 |
项目管理员、参与者、访问者、构建者、项目集合生成服务帐户、项目集合管理员 |
多数手动添加的用户或组;任何可能或必须查看生成定义的用户或组。 |
编辑生成定义 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
删除生成定义 |
项目管理员、构建者、项目集合生成服务帐户、项目集合管理员 |
|
重写由生成执行的签入验证 |
项目集合生成服务帐户、项目集合管理员 |
Lab Management 组和权限
默认情况下,下列各组处于实验室管理级别:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName\Project Collection Build Service accounts
服务器**\Team Foundation Administrators**
默认情况下,这些组具有下表中的权限。 此外,将向 Lab Management 中的对象的创建者自动授予对此对象的所有权限。 有关每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
查看实验室资源 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、访问者、项目集合生成服务帐户 |
|
管理实验室位置 |
Team Foundation 管理员、项目集合管理员、项目管理员(仅限项目级别的位置,即项目主机组和项目库共享) |
|
删除实验室位置 |
Team Foundation 管理员、项目集合管理员 项目管理员(仅限项目级别的位置,例如,项目主机组和项目库共享) |
|
写入环境和虚拟机 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、项目集合生成服务帐户 |
|
编辑环境和虚拟机 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、项目集合生成服务帐户 |
|
删除环境和虚拟机 |
Team Foundation 管理员、项目集合管理员、 项目管理员 |
|
导入虚拟机 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者 |
|
环境操作 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、项目集合生成服务帐户 |
|
管理权限 |
Team Foundation 管理员、项目集合管理员 |
|
管理子级权限 |
Team Foundation 管理员、项目集合管理员、项目管理员(仅限项目级别的位置,即项目主机组和项目库共享) |
|
启动 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、项目集合生成服务帐户 |
|
Stop |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、项目集合生成服务帐户 |
|
暂停 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、项目集合生成服务帐户 |
|
管理快照 |
Team Foundation 管理员、项目集合管理员、项目管理员、参与者、项目集合生成服务帐户 |
请参见
任务
设置 Team Foundation Server 的管理员权限