控制功能區域的存取權
您可以為下列小組專案的功能區域進行初始安全性設定:小組查詢、 Team Foundation 版本控制、Team Foundation Build 與 Visual Studio Lab Management。 Microsoft 方案架構 (MSF) 的流程範本會將數個權限指派給預設安全群組。您可以自訂適當功能區域的外掛程式檔案,以修改這些指派。
如需如何設定 Visual Studio Team Foundation Server 的安全性群組的詳細資訊,請參閱設定初始群組、小組、成員和權限。
本主題內容
使用功能性使用權限項目將使用權限指派給功能區域
指派工作項目查詢的權限
指派版本控制的使用權限
指派組建的使用權限
指派 Lab Management 的使用權限
如需如何管理使用者和群組以及控制 Visual Studio Application Lifecycle Management (ALM) 存取的詳細資訊,請參閱設定使用者、群組和使用權限。
使用功能性使用權限項目將使用權限指派給功能區域
您可以使用功能性 permission 項目,允許或拒絕授與功能區域的使用權限給 Team Foundation Server 中的安全性群組、Windows 群組或 Windows 識別。您可以在工作項目追蹤、Team Foundation 版本控制、Team Foundation Build 和 Lab Management 的外掛程式檔案中使用這個項目。您必須將權限項目封裝到其對應的容器內:permissions項目。 您可以針對功能性permission 項目使用下列語法結構:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
下表描述功能性 permission 項目的屬性:
屬性 |
描述 |
---|---|
allow |
識別所授與的使用權限。您可以逗號分隔的文字形式來指定使用權限。 如需已針對每個功能區域定義的使用權限名稱,請參閱本主題後面的下列章節:
|
deny |
識別所叫用的使用權限。您可以逗號分隔的文字形式來指定使用權限。
注意事項
拒絕的權限優先於允許的權限。
|
identity |
指定要套用使用權限的 Team Foundation Server 中的安全性群組、Windows 群組或 Windows 識別。如需指定群組時要使用的格式,請參閱設定初始群組、小組、成員和權限中的<在 Team Foundation Server 中定義的預設群組>。 |
下列範例會示範如何授與使用權限,讓 [Contributors] 群組能夠檢視組建和組建定義,以及將組建排入佇列和編輯組建品質。
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
注意事項 |
---|
如果在執行階段找不到某個識別的某個使用權限,就會在該識別所屬的其他任何群組中搜尋此使用權限。如果還是找不到此使用權限,則預設會拒絕使用權限。 |
指派工作項目查詢的權限
在 workitems 外掛程式檔案中,您可以指派權限,以便控制小組查詢資料夾的存取權。查詢資料夾權限是查詢和查詢資料夾特有的權限。您可以將存取權授與 Windows 中的使用者和群組或是 Team Foundation Server 中定義的預設群組。
您可以使用功能性 permission 項目來指派這些使用權限,如下列範例所示:
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
注意事項 |
---|
建立 Team 專案之後,您可以在 [Team 總管] 中,以滑鼠右鍵按一下查詢資料夾或查詢,然後按一下 [安全性],藉以設定權限。如需詳細資訊,請參閱組織工作項目查詢並設定權限。 |
下表將描述可控制查詢資料夾和查詢之存取權的權限。此外,也指出在 MSF 流程範本中進行的預設指派。根據預設,查詢和查詢資料夾的建立者或擁有者都擁有完全控制權限,可管理他們所建立或擁有的查詢。
使用權限 |
描述 |
Readers、Contributors、Builders |
Creator、Owners、Project Administrator 群組、Project Collection Administrators |
---|---|---|---|
Read |
讀取:可檢視和執行查詢,或是檢視查詢資料夾及其內容 |
||
Contribute |
參與:可檢視和編輯查詢或查詢資料夾及其內容 |
||
Delete |
刪除:可檢視、編輯和刪除查詢或查詢資料夾及其內容 |
||
ManagePermissions |
管理使用權限:可管理查詢或查詢資料夾及其內容的權限 |
||
FullControl |
完全控制:可檢視、編輯、刪除和管理查詢或查詢資料夾及其內容的權限 |
指派版本控制的使用權限
您可以變更版本控制的外掛程式檔案,以指派可控制原始程式碼檔案和資料夾存取的使用權限。版本控制使用權限是針對原始程式碼檔案和資料夾所設定。您可以將存取權授與 Windows 中的使用者和群組或是 Team Foundation Server 中定義的預設群組。
您可以使用功能性 permission 項目來指派這些使用權限,如下列範例所示:
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
注意事項 |
---|
建立 Team 專案之後,以滑鼠右鍵按一下 [原始檔控制總管] 中的資料夾或檔案,並按一下 [屬性],然後按一下 [安全性] 索引標籤,就可以設定這些使用權限。在該索引標籤上,您可以按一下想要變更其使用權限的使用者或群組,然後編輯 [使用權限] 中所列的使用權限。您也可以使用 tf 版本控制命令列工具或 TFSSecurity 命令列工具來設定這些使用權限。如需詳細資訊,請參閱Control Access to Team Foundation Version Control。 |
下表描述的使用權限可用來控制原始程式碼檔案和資料夾的存取。此外,也指出在 MSF 流程範本中進行的預設指派。
使用權限 |
描述 |
Readers |
Contributors |
Builders |
Project Administrator 群組 |
---|---|---|---|---|---|
Read |
讀取:可以顯示檔案或資料夾的內容。 如果使用者擁有資料夾的 [讀取] 使用權限,但沒有其內含檔案的使用權限,則使用者可以顯示這些檔案的名稱和屬性,但是無法加以開啟。 |
||||
PendChange |
簽出:可以簽出項目並對其進行暫止的變更。暫止變更的範例包括加入、編輯、重新命名、刪除、取消刪除、分支以及合併檔案。 |
||||
Merge |
合併:可以將變更合併至其具有使用權限的路徑中。 |
||||
Checkin |
簽入:可以簽入項目,以及修訂任何已認可的變更集註解。暫止的變更會在使用者登入項目時認可。 |
||||
Label |
標記:可以標記項目。 |
||||
Lock |
鎖定:可以鎖定項目,讓其他使用者無法加以更新。 |
||||
ReviseOther |
修訂其他使用者的變更:可以變更其他人的變更集註解內容與簽入提示內容。 |
||||
UnlockOther |
解除鎖定其他使用者的變更:可以移除其他人的鎖定。 |
||||
UndoOther |
復原其他使用者的變更:可以復原其他人暫止的變更。 |
||||
LabelOther |
管理標籤:可以修改其他人的標籤。 |
||||
AdminProjectRights |
管理使用權限:可以設定版本控制的安全性設定。 |
||||
CheckinOther |
簽入其他使用者的變更:可以使用另一個使用者的身分執行簽入。這個權限是轉換公用程式的必要項。 |
||||
ManageBranch |
管理分支:具有所指定路徑之這個使用權限的使用者可以將該路徑下的任何資料夾轉換成分支。對某個分支具有這個使用權限的使用者也可以編輯該分支的屬性、重設其父代,並將它轉換成資料夾。 具有這個使用權限的使用者只有在同時具有目標路徑的 [合併] 使用權限時,才能對此分支進行分支處理。使用者無法從他們沒有 [管理分支] 使用權限的分支建立分支。 |
指派組建的使用權限
您可以變更 Build 外掛程式檔案,以指派控制組建活動存取的使用權限。您可以將存取權授與給 Windows 中的使用者和群組以及 Team Foundation Server 中的群組。如需指定群組時要使用之格式的詳細資訊,請參閱設定初始群組、小組、成員和權限中的<在 Team Foundation Server 中定義的預設群組>。
您可以使用功能性 permission 項目來指派這些使用權限,如下列範例所示:
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
注意事項 |
---|
在建立 Team 專案之後,在 Team Explorer 中開啟專案,以滑鼠右鍵按一下 [組建],然後按一下 [安全性],就可以設定這些使用權限。以滑鼠右鍵按一下組建定義,然後按一下 [安全性],就可以將使用權限套用至特定組建定義。如果您想要將使用權限套用至組建資料夾,請以滑鼠右鍵按一下該資料夾,然後按一下 [安全性]。此外,您也可以使用 TFSSecurity 命令列工具來設定這些使用權限。如需詳細資訊,請參閱管理使用權限。 |
下表描述您可以指派的使用權限,用以控制 Team 專案之組建函式的存取。此表格也會指出在 MSF 流程範本中進行的預設指派。
注意事項 |
---|
[依組建覆寫簽入驗證] 使用權限只應該指派給組建服務的服務帳戶,以及負責程式碼品質的組建管理員。如需詳細資訊,請參閱簽入由閘道簽入組建所控制的暫止變更。 |
使用權限 |
描述 |
Readers |
Contributors |
組建系統管理員 |
Project Administrators |
Project Collection Administrators |
---|---|---|---|---|---|---|
ViewBuildDefinition |
檢視組建定義:可以檢視已針對 Team 專案建立的組建定義。 |
|||||
ViewBuilds |
檢視組建:可以檢視這個 Team 專案的已佇列和已完成組建。 |
|||||
EditBuildQuality |
編輯組建品質:可以透過 Team Foundation Build 的介面加入組建品質的相關資訊。 |
|||||
QueueBuilds |
佇列組建:可以透過 Team Foundation Build 的介面或命令提示字元,將組建加入佇列中。 |
|||||
DeleteBuildDefinition |
刪除組建定義:可以刪除組建定義。 |
|||||
DeleteBuilds |
刪除組建:可以刪除已完成的組建。 |
|||||
DestroyBuilds |
終結組建:可以永久刪除已完成的組建。 |
|||||
EditBuildDefinition |
編輯組建定義:可以建立和修改組建定義。 |
|||||
ManageBuildQualities |
管理組建品質:可以加入或移除組建品質,例如 [準備開始部署]、[已拒絕] 或 [調查中]。如需詳細資訊,請參閱加入或移除組建品質值。 |
|||||
ManageBuildQueue |
管理組建佇列:可以取消、重新排列優先順序或延後已放入佇列的組建。 |
|||||
RetainIndefinitely |
無限期保留:可以標記組建,讓任何適用的保留原則不會自動刪除該組建。 |
|||||
StopBuilds |
停止組建:可以停止正在進行中的組建。 |
|||||
OverrideBuildCheckInValidation |
依組建覆寫簽入驗證:可以認可會影響閘道組建定義的變更集,而不觸發系統先擱置和建置變更。如需詳細資訊,請參閱簽入由閘道簽入組建所控制的暫止變更。 |
|||||
UpdateBuildInformation |
更新組建資訊:可以加入組建品質的相關資訊。 這個使用權限應該只指派給服務帳戶。 |
指派 Lab Management 的使用權限
您可以變更 Lab 外掛程式檔案,以控制 Lab Management 中的活動存取。Lab Management 的使用權限是虛擬機器、環境和其他資源特有的。您可以將存取權授與給 Windows 中的使用者和群組以及 Team Foundation Server 中的群組。您可以使用功能性 permission 項目來指派這些使用權限,如下列範例所示:
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
注意事項 |
---|
您可以使用 TFSLabConfig 命令列工具來設定 Lab Management 的使用權限。若要顯示特定實驗室資源的資訊,您必須具有該資源的 [讀取] 使用權限。若要刪除位置,您必須具有該位置 [刪除實驗室位置]的使用權限。 如需詳細資訊,請參閱TFSLabConfig 使用權限命令。 |
下表描述您可以指派的使用權限,用以控制 Visual Studio Lab Management 的存取。此表格也會指出在 MSF 流程範本中進行的預設指派。
使用權限 |
描述 |
Readers |
Contributors |
Project Collection Build Service Accounts 群組 |
Team Project Administrators 群組 |
Project Collection Administrators 群組 |
---|---|---|---|---|---|---|
Read |
檢視實驗室資源:可以檢視各種 Lab Management 資源 (包括集合主機群組、專案主機群組和環境) 的資訊。 |
|||||
Create |
匯入虛擬機器:可以從 Virtual Machine Manager (VMM) 程式庫共用匯入虛擬機器。 這個使用權限與 Write 不同,因為使用者可以在 Lab Management 中建立物件,但不能將任何項目寫入至 VMM 主機群組或程式庫共用。 |
|||||
Write |
寫入環境和虛擬機器:可以建立環境。具有專案程式庫共用之這個使用權限的使用者可以儲存環境和虛擬機器。 |
|||||
Edit |
編輯環境和虛擬機器:可以編輯環境和虛擬機器。會檢查正在編輯之物件的使用權限。 |
|||||
Start |
啟動:可以啟動環境。 |
|||||
Stop |
停止:可以停止環境。 |
|||||
Pause |
暫停:可以暫停環境。 |
|||||
ManageSnapshots |
管理快照:可以執行所有快照管理工作,包括取得快照、還原至快照、重新命名快照、刪除快照,以及讀取快照。 |
|||||
Delete |
刪除環境和虛擬機器:可以刪除環境和虛擬機器。會檢查正在刪除之物件的使用權限。 |
|||||
ManageLocation |
管理實驗室位置:可以編輯 Lab Management 資源 (包括集合主機群組、集合程式庫專案、專案主機群組和專案程式庫共用) 的位置。 集合層級位置 (集合主機群組和集合程式庫共用) 的這個使用權限也允許使用者建立專案層級的位置 (專案主機群組和專案程式庫共用)。 |
|||||
DeleteLocation |
刪除實驗室位置:可以刪除 Lab Management 資源 (包括集合主機群組、集合程式庫共用、專案主機群組和專案程式庫共用) 的位置。 |
|||||
ManageChildPermissions |
管理子使用權限:可以變更所有 Lab Management 子物件的使用權限。例如,如果使用者具有 Team 專案主機群組的這個使用權限,則使用者可以變更該 Team 群組下所有環境的使用權限。 |
|||||
ManagePermissions |
管理使用權限:可以修改 Lab Management 物件的使用權限。會檢查正在修改其使用權限之物件的使用權限。 |
|||||
EnvironmentOps |
環境作業:可以在環境上啟動、暫停和管理快照以及執行其他作業。 |