Autorizzazioni per Team Foundation Server
L'autorizzazione per le azioni degli utenti, ad esempio l'amministrazione di aree di lavoro e la creazione di progetti, dipende dalle autorizzazioni. Quando si crea un progetto in Team Foundation Server, vengono creati quattro gruppi predefiniti per il progetto indipendentemente dal modello di processo scelto. Per impostazione predefinita, ciascuno di questi gruppi dispone di un insieme di autorizzazioni che determinano ciò che i membri dei gruppi sono autorizzati ad eseguire.
Project Administrators
Contributors
Readers
Build Services
Per gestire i gruppi predefiniti e creare gruppi personalizzati, gli amministratori devono capire il significato delle autorizzazioni e le implicazioni di sicurezza dell'impostazione esplicita delle autorizzazioni.
Nota
In questo argomento non vengono illustrate le autorizzazioni per Windows SharePoint Services o SQL Reporting Services, bensì solo le autorizzazioni impostate in Team Foundation Server.
Impostazioni delle autorizzazioni
Per le autorizzazioni in Team Foundation Server sono disponibili due autorizzazioni esplicite, ovvero Nega e Consenti. È inoltre disponibile un'autorizzazione implicita che non comporta l'impostazione dell'autorizzazione né su Consenti né su Nega. Questa autorizzazione è un'impostazione di negazione implicita a cui si fa riferimento come non impostata.
Deny
Questa impostazione nega all'utente o al gruppo l'autorizzazione ad eseguire le azioni elencate nella descrizione dell'autorizzazione. La negazione è l'impostazione di autorizzazione più potente in Team Foundation Server. Se un utente appartiene a un gruppo Team Foundation Server con un'autorizzazione specifica negata, l'utente non può eseguire la funzione, anche se appartiene a un altro gruppo autorizzato a eseguire la stessa funzione. L'unica eccezione a questa regola si verifica se l'utente è un membro del gruppo Project Administrators per un progetto o del gruppo Administrators di Team Foundation. Se un utente è un membro del gruppo Project Administrators per un progetto, i privilegi di tale gruppo hanno la precedenza sull'impostazione Nega esplicita per tale utente in un progetto. Analogamente, se un utente è un membro del gruppo Administrators di Team Foundation, i privilegi di tale gruppo hanno la precedenza sull'impostazione Nega esplicita per tale utente in Team Foundation Server.
Allow
Questa impostazione concede all'utente o al gruppo l'autorizzazione ad eseguire le azioni elencate nella descrizione dell'autorizzazione. Questa è la seconda impostazione di autorizzazione più potente di Team Foundation Server e quella utilizzata più frequentemente, in quanto senza un'autorizzazione esplicitamente concessa, un utente o un gruppo non può eseguire alcuna azione in Team Foundation Server.
Non impostata
Per impostazione predefinita, la maggior parte delle autorizzazioni in Team Foundation Server non è impostata né come Nega né come Consenti. Le autorizzazioni vengono lasciate non impostate, il che significa che implicitamente sia agli utenti che ai gruppi viene negata l'autorizzazione ad eseguire le azioni specificate nella descrizione dell'autorizzazione. Tuttavia, poiché l'autorizzazione non viene esplicitamente impostata, può essere ereditata da altri gruppi a cui appartiene l'utente o il gruppo.
Ereditarietà
Quando l'autorizzazione non è impostata per un utente o un gruppo, l'utente o il gruppo può risentire dell'impostazione esplicita dell'autorizzazione per i gruppi a cui appartengono in quanto le autorizzazioni all'interno di Team Foundation Server vengono ereditate. Se un'autorizzazione è impostata esplicitamente per un gruppo a cui appartiene un utente, ma non è impostata per un altro gruppo a cui tale utente appartiene, quest'ultimo eredita l'impostazione per l'autorizzazione dall'altro gruppo.
Nota
Le autorizzazioni impostate al di fuori di Team Foundation Server, ad esempio Windows SharePoint Services, non vengono ereditate in Team Foundation Server e non vengono trattate in questo argomento.
Alcune impostazioni di autorizzazione hanno la precedenza su altre. In Team Foundation Server l'impostazione di autorizzazione Nega ha la precedenza su tutte le altre impostazioni di autorizzazione, compresa Consenti. Ad esempio, un utente potrebbe appartenere a due gruppi in un progetto. Per un gruppo l'autorizzazione Pubblica risultati test è negata, mentre per l'altro gruppo è consentita. L'impostazione Deny avrà la precedenza e l'utente non è autorizzato a pubblicare i risultati del test. L'unica eccezione a questa regola si verifica se l'utente è un membro del gruppo Project Administrators per un progetto o del gruppo Administrators di Team Foundation. Se un utente è un membro del gruppo Project Administrators per un progetto, i privilegi di tale gruppo hanno la precedenza sull'impostazione Nega esplicita per tale utente in un progetto. Analogamente, se un utente è un membro del gruppo Administrators di Team Foundation, i privilegi di tale gruppo hanno la precedenza sull'impostazione Nega esplicita per tale utente in Team Foundation Server.
Autorizzazioni impostate mediante l'interfaccia utente di Team Foundation Server e dalla riga di comando
Molte delle autorizzazioni impostabili per Team Foundation Server sono controllate mediante l'interfaccia utente di Team Foundation Server. È possibile impostare queste autorizzazioni in base al server (autorizzazioni a livello di server) o al progetto (autorizzazioni a livello di progetto). È inoltre possibile impostare le autorizzazioni a livello di area per la visualizzazione e l'interazione con gli elementi di lavoro in base al progetto. Per ulteriori informazioni su quali autorizzazioni sono impostate per quali utenti per impostazione predefinita e per le autorizzazioni da impostare per i gruppi di MSF for Agile Software Development o di MSF for CMMI Process Improvement, vedere Gruppi predefiniti, autorizzazioni e ruoli di Team Foundation Server. Per ulteriori informazioni su come impostare le autorizzazioni per utenti e gruppi, vedere Gestione di utenti e gruppi e Gestione delle autorizzazioni. Per ulteriori informazioni sulla gestione degli elementi di lavoro, vedere Gestione degli elementi di lavoro di Team Foundation.
Autorizzazioni a livello di server
La autorizzazioni a livello di server non sono proprie di un unico progetto, ma vengono impostate in base al server. È possibile impostare queste autorizzazioni solo per gli utenti e i gruppi a livello di server, ad esempio il gruppo Administrators di Team Foundation, per i gruppi a livello di progetto che sono stati aggiunti a livello del server Team Foundation e per i gruppi personalizzati creati e aggiunti a livello di server. Per impostare queste autorizzazioni in Team Foundation Server, fare clic con il pulsante destro sul server in Team Explorer e scegliere Sicurezza. È possibile impostare queste autorizzazioni mediante l'utilità della riga di comando TFSSecurity, eccetto per le impostazioni contrassegnate con tf:. Per impostare queste autorizzazioni, utilizzare il comando Permission dell'utilità da riga di comando tf per il controllo del codice sorgente. Per ulteriori informazioni, vedere Comandi dell'utilità della riga di comando TFSSecurity e Comando Permission.
Nome autorizzazione | Nome nella riga di comando | Descrizione |
---|---|---|
Amministra modifiche sospese |
tf: AdminShelvesets |
Consente di eliminare insiemi di sospensione creati da altri utenti. |
Amministra warehouse |
ADMINISTER_WAREHOUSE |
Consente di modificare le impostazioni del data warehouse mediante il metodo Web ChangeSetting del servizio Web WarehouseController.asmx. Ad esempio, è possibile consentire agli utenti di impostare l'intervallo di aggiornamento per il calcolo dei cubi OLAP. |
Amministra aree di lavoro |
tf: AdminWorkspaces |
Consente di creare aree di lavoro per altri utenti ed eliminare aree di lavoro create da altri utenti. |
Crea area di lavoro |
tf: CreateWorkspace |
Consente di creare un'area di lavoro per il controllo del codice sorgente. |
Crea nuovi progetti |
CREATE_PROJECTS |
Consente di creare nuovi progetti in Team Foundation Server. Per creare correttamente nuovi progetti, gli utenti devono essere membri del gruppo Amministrazione centrale SharePoint in Windows SharePoint Server e disporre di autorizzazioni Gestione contenuto in SQL Reporting Services. |
Modifica informazioni a livello di server |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Consente di modificare le autorizzazioni a livello di server per utenti e gruppi in Team Foundation Server. Gli utenti che dispongono di questa autorizzazione possono aggiungere o rimuovere gruppi di applicazioni di Team Foundation Server a livello di server da Team Foundation Server. Se impostata tramite i menu, l'autorizzazione Modifica informazioni a livello di server consente anche implicitamente all'utente di modificare le autorizzazioni del controllo del codice sorgente. Per concedere tutte le precedenti autorizzazioni dalla riga di comando, è necessario utilizzare il comando tf.exe Permission per concedere le autorizzazioni AdminConfiguration e AdminConnections, nonché GENERIC_WRITE. Nota I gruppi predefiniti del server, ad esempio Administrators di Team Foundation, non possono essere rimossi. |
Modifica impostazioni di analisi |
DIAGNOSTIC_TRACE |
Consente di modificare le impostazioni di analisi per la raccolta di informazioni di diagnostica più dettagliate sui servizi Web di Team Foundation Server. Per ulteriori informazioni sulla funzione di analisi, vedere Impostazioni di analisi per Team Foundation Server. |
Genera eventi |
TRIGGER_EVENT |
Consente di attivare eventi di avviso di progetto in Team Foundation Server. Questa autorizzazione può essere assegnata solo ad account di servizio. |
Gestisci modello di processo |
MANAGE_TEMPLATE |
Consente di scaricare, creare, modificare e caricare modelli di processo in Team Foundation Server. |
Visualizza informazioni a livello di server |
GENERIC_READ |
Consente di visualizzare l'appartenenza a un gruppo a livello di server e le autorizzazioni degli utenti. |
Visualizza informazioni sulla sincronizzazione del sistema |
SYNCHRONIZE_READ |
Consente di attivare gli eventi di sincronizzazione. Questa autorizzazione può essere assegnata solo ad account di servizio. |
Autorizzazioni a livello di progetto
Le autorizzazioni a livello di progetto sono proprie di utenti e gruppi di un singolo progetto. Per impostare queste autorizzazioni in Team Foundation Server, fare clic con il pulsante destro sul progetto in Team Explorer e scegliere Sicurezza. È inoltre possibile impostare queste autorizzazioni tramite l'utilità da riga di comando TFSSecurity.
Nome autorizzazione | Nome nella riga di comando | Descrizione |
---|---|---|
Amministra generazione |
ADMINISTER_BUILD |
Consente di eliminare generazioni complete e interrompere generazioni in corso. |
Elimina questo progetto |
DELETE |
Consente di eliminare il progetto per il quale si dispone dell'autorizzazione da Team Foundation Server. |
Modifica qualità generazione |
EDIT_BUILD_STATUS |
Consente di aggiungere informazioni sulla qualità della generazione mediante l'interfaccia utente di Team Foundation Build. Queste informazioni vengono memorizzate nell'archivio del database di Team Foundation Build. |
Modifica informazioni a livello di progetto |
GENERIC_WRITE |
Consente di modificare le autorizzazioni a livello di progetto per utenti e gruppi in Team Foundation Server. |
Pubblica risultati test |
PUBLISH_TEST_RESULTS |
Consente di aggiungere o rimuovere i risultati dei test sul portale del progetto Team e aggiungere o rimuovere le esecuzioni dei test. |
Avvia generazione |
START_BUILD |
Consente di avviare una generazione mediante l'interfaccia utente di Team Foundation Build o dalla riga di comando. |
Visualizza informazioni a livello di progetto |
GENERIC_READ |
Consente di visualizzare l'appartenenza a un gruppo a livello di progetto e le autorizzazioni degli utenti del progetto. |
Scrivi nell'archivio operativo delle generazioni |
UPDATE_BUILD |
Consente di aggiornare l'archivio del database di Team Foundation Build. Questa autorizzazione deve essere concessa all'account in cui è in esecuzione il servizio di generazione e può essere assegnata solo ad account di servizio e non a singoli utenti. |
Autorizzazioni a livello di area di gestione degli elementi di lavoro
Le autorizzazioni a livello di area sono proprie di utenti e gruppi di un singolo progetto. Per impostare queste autorizzazioni, fare clic con il pulsante destro del mouse sul progetto in Team Explorer e scegliere Aree e iterazioni, quindi fare clic su Sicurezza nella scheda Area. È inoltre possibile impostare queste autorizzazioni tramite l'utilità da riga di comando TFSSecurity.
Nota
Per alcune operazioni di Gestione elementi di lavoro sono necessarie più autorizzazioni, ad esempio in caso di eliminazione di un nodo.
Nome autorizzazione | Nome nella riga di comando | Descrizione |
---|---|---|
Crea e ordina nodi figlio |
CREATE_CHILDREN |
Consente di creare nuovi nodi dell'area. Gli utenti che dispongono di questa autorizzazione e dell'autorizzazione Modifica questo nodo possono spostare o riordinare qualsiasi nodo figlio dell'area. |
Elimina questo nodo |
DELETE |
Gli utenti che dispongono sia di questa autorizzazione che dell'autorizzazione Modifica elementi di lavoro in questo nodo per un altro nodo possono eliminare nodi dell'area e possono riclassificare elementi di lavoro esistenti dal nodo eliminato. Vengono eliminati anche i nodi figlio del nodo padre eliminato. |
Modifica questo nodo |
GENERIC_WRITE |
Consente di ridenominare i nodi dell'area. |
Modifica elementi di lavoro in questo nodo |
WORK_ITEM_WRITE |
Consente di modificare elementi di lavoro nel nodo dell'area. |
Visualizza questo nodo |
GENERIC_READ |
Consente di visualizzare le impostazioni di sicurezza per il nodo. |
Visualizza elementi di lavoro in questo nodo |
WORK_ITEM_READ |
Consente di visualizzare, ma non modificare o cambiare, elementi di lavoro nel nodo dell'area. |
Autorizzazioni del controllo del codice sorgente
Le autorizzazioni del controllo del codice sorgente sono proprie dei file e delle cartelle del codice sorgente. Per impostare queste autorizzazioni, fare clic con il pulsante destro del mouse sulla cartella o sul file in Esplora controllo del codice sorgente, scegliere Proprietà, quindi nella scheda Sicurezza selezionare l'utente o il gruppo di cui si desidera modificare le autorizzazioni e modificare le autorizzazioni elencate in Autorizzazioni. Per impostare queste autorizzazioni, utilizzare l'utilità della riga di comando tf per il controllo del codice sorgente.
Nome autorizzazione | Nome nella riga di comando | Descrizione |
---|---|---|
Leggi |
tf: Read |
Consente di leggere il contenuto di un file o di una cartella. Se un utente dispone delle autorizzazioni Lettura per una cartella, può visualizzare il contenuto della cartella e le proprietà dei file in essa contenuti, anche se non dispone delle autorizzazioni per aprire i file. |
Estrai |
tf: PendChange |
Consente di estrarre e apportare una modifica in sospeso agli elementi di una cartella. Tra gli esempi di modifiche in sospeso figurano l'aggiunta, la ridenominazione, l'eliminazione, l'annullamento dell'eliminazione, la diramazione e l'unione di un file. |
Archivia |
tf: Checkin |
Consente di archiviare elementi ed esaminare i commenti dell'insieme di modifiche salvate. Le modifiche in sospeso vengono salvate al momento dell'archiviazione. |
Etichetta |
tf: Label |
Consente di etichettare elementi. |
Blocca |
tf: Lock |
Consente di bloccare e sbloccare cartelle o file. |
Esamina modifiche di altri utenti |
tf: ReviseOther |
Consente di modificare i commenti relativi ai file archiviati, anche se è stato un altro utente ad archiviare il file. |
Sblocca modifiche di altri utenti |
tf: UnlockOther |
Consente di sbloccare file bloccati da altri utenti. |
Annulla modifiche di altri utenti |
tf: UndoOther |
Consente di annullare una modifica in sospeso apportata da un altro utente. |
Amministra etichette |
tf: LabelOther |
Consente di modificare o eliminare etichette create da un altro utente. |
Modifica impostazioni di sicurezza |
tf: AdminProjRights |
Consente di impostare autorizzazioni per file e cartelle. |
Archivia modifiche di altri utenti |
tf: CheckinOther |
Consente di archiviare modifiche apportate da altri utenti. Le modifiche in sospeso vengono salvate al momento dell'archiviazione. |
Vedere anche
Concetti
Gruppi predefiniti, autorizzazioni e ruoli di Team Foundation Server
Gestione degli elementi di lavoro di Team Foundation
Altre risorse
Comandi dell'utilità della riga di comando TFSSecurity
Riferimenti alla riga di comando del controllo del codice sorgente di Team Foundation
Gestione di utenti e gruppi
Gestione delle autorizzazioni