Team Foundation Server のアクセス許可

更新 : 2010 年 7 月

配置内のユーザーとグループに割り当てられたアクセス許可について理解して構成することで、Visual Studio Team Foundation Server の配置のチーム プロジェクトおよびチーム プロジェクト コレクションへのアクセスを制御できます。

注意

このトピックでは、SharePoint 製品または SQL Server Reporting Services のアクセス許可については説明しません。 このトピックでは、Team Foundation Server で設定するアクセス許可についてのみ説明します。 Reporting Services の詳細については、「SQL Server Reporting Services のロール」を参照してください。 SharePoint 製品の詳細については、「SharePoint 製品と Team Foundation Server 間の相互作用」および「SharePoint 製品でのロール」を参照してください。 Team Foundation Server のユーザーに Reporting Services および SharePoint 製品でアクセス許可を設定する方法の詳細については、「チーム プロジェクトへのユーザーの追加」、「チーム プロジェクト コレクションの管理アクセス許可の設定」、および「Team Foundation Server の管理アクセス許可の設定」を参照してください。

ワークスペースの管理やプロジェクトの作成などのユーザーによる操作に対する承認は、アクセス許可によって決定されます。 Team Foundation Server でプロジェクトを作成すると、選択したプロセス テンプレートに関係なく、そのプロジェクト用に次の 4 つの既定のグループが作成されます。 これらのグループのそれぞれについて、既定で一連のアクセス許可が定義されており、これによってグループのメンバーが実行を承認される操作が決定されます。

  • プロジェクト管理者

  • 貢献者

  • 読み取りユーザー

  • ビルダー

チーム プロジェクトごとに作成される既定のグループに加えて、チーム プロジェクト コレクションを作成すると、選択したプロセス テンプレートにかかわらず、そのコレクション用に 7 つの既定のグループが作成されます。 それらのグループにも、それぞれ一連のアクセス許可が定義されます。

  • プロジェクト コレクション管理者

  • プロジェクト コレクション サービス アカウント

  • プロジェクト コレクション ビルド管理者

  • プロジェクト コレクション ビルド サービス アカウント

  • プロジェクト コレクションの有効なユーザー

  • コレクション プロキシ サービス アカウント

  • プロジェクト コレクション テスト サービス アカウント

Team Foundation Server をインストールした時点で、5 つの既定のグループがサーバー レベルで作成されます。 これらのグループには、それぞれ一連のアクセス許可が定義されます。

  • Team Foundation 管理者

  • Team Foundation サービス アカウント

  • Team Foundation 有効ユーザー

  • SharePoint Web アプリケーションのサービス

  • 作業項目専用ビュー ユーザー

管理者がこれらの既定のグループのユーザー メンバーシップを効率的に管理したり、カスタムのグループを作成したりするには、まずアクセス許可の意味、およびセキュリティとの関連を理解して、明示的にアクセス許可を設定できるようにする必要があります。

アクセス許可の設定

Team Foundation Server には、拒否および許可という 2 つの明示的なアクセス許可の承認設定を指定できます。 また、アクセス許可を許可にも拒否にも設定しない暗黙の承認設定もあります。 この承認設定は、未設定と呼ばれる暗黙の拒否設定です。

拒否

拒否を使用すると、ユーザーまたはグループが、アクセス許可の説明で示された操作を実行するための承認が拒否されます。 拒否は、Team Foundation Server において最も影響力の強いアクセス許可設定です。 特定のアクセス許可が [拒否] に設定されている Team Foundation Server グループに所属しているユーザーは、そのアクセス許可が [許可] に設定されている別のグループに所属する場合でも、その機能を実行できません。 この規則の唯一の例外が発生するのは、ユーザーがプロジェクトの Team Foundation 管理者グループ、チーム プロジェクト コレクションのプロジェクト コレクション管理者グループ、または Team Foundation 管理者グループのメンバーである場合です。 プロジェクトのプロジェクト管理者グループのメンバーであるユーザーについては、そのグループのアクセス許可の方が、プロジェクトでそのユーザーに明示的に設定した拒否よりも優先されます。 同様に、プロジェクト コレクション管理者グループのメンバーであるユーザーについては、そのグループのアクセス許可の方が、そのコレクションでそのユーザーに明示的に設定した拒否よりも優先されます。 Team Foundation 管理者グループのメンバーであるユーザーについては、そのグループのアクセス許可の方が、Team Foundation Server でそのユーザーに明示的に設定した拒否よりも優先されます。

許可

許可を使用すると、ユーザーまたはグループが、アクセス許可の説明で示された操作を実行するための承認が付与されます。 許可は、Team Foundation Server において 2 番目に影響力の強いアクセス許可の設定であり、最も頻繁に設定されます。 アクセス許可を明示的に [許可] に設定しないと、ユーザーまたはグループは、その操作を Team Foundation Server で実行できません。

未設定

既定では、Team Foundation Server のほとんどのアクセス許可は、[拒否] にも [許可] にも設定されていません。 これらのアクセス許可は未設定のままになっています。これにより、ユーザーおよびグループの両方について、アクセス許可の説明で示された操作を実行するための承認が暗黙的に拒否されます。 ただし、アクセス許可が明示的に [拒否] にも [許可] にも設定されていないため、そのアクセス許可に対する承認を、そのユーザーまたはグループが所属している他のグループから継承できます。

継承

ユーザーまたはグループにアクセス許可が設定されていない場合、Team Foundation Server 内のアクセス許可が継承されるため、そのユーザーまたはグループが所属する他のグループの明示的なアクセス許可の設定が適用されます。 たとえば、ユーザーがプロジェクト内の 2 つのカスタム グループに所属しているとします。 それらのグループのいずれかでアクセス許可が明示的に [拒否] に設定されており、もう一方のグループで同じアクセス許可が設定されていない場合、ユーザーにはそのアクセス許可により制御される操作を実行するアクセス許可が付与されません。 ユーザーは両方のグループのアクセス許可を継承し、拒否のアクセス許可が、未設定のアクセス許可よりも優先されます。

注意

SharePoint 製品など Team Foundation Server 以外で設定されたアクセス許可は、Team Foundation Server 内では継承されません。 これらについては、このトピックでは説明しません。

承認設定には、他の承認設定よりも優先するものがあります。 Team Foundation Server では、拒否のアクセス許可が、その明示的な構造体の他のすべてのアクセス許可設定 (許可など) よりも優先されます。 拒否のアクセス許可は、バージョン コントロールなどの階層の親から継承されている場合は優先されません。 たとえば、ユーザーがプロジェクト内の 2 つのグループに所属しているとします。 一方のグループでは、[テスト結果の発行] のアクセス許可が [拒否] に設定されており、もう一方のグループでは、このアクセス許可が [許可] に設定されています。 この場合、[拒否] の設定が優先されるため、ユーザーはテスト結果の発行を承認されません。 この規則の唯一の例外が発生するのは、明示的な拒否が階層の親から継承された場合や、ユーザーが次のいずれかのグループのメンバーである場合です。

  • プロジェクト管理者

  • プロジェクト コレクション管理者

  • Team Foundation 管理者

バージョン コントロールや作業項目トラッキングなどの階層構造体では、特定のオブジェクトに設定された明示的なアクセス許可が、親オブジェクトから継承されたアクセス許可より優先されます。

Team Foundation Server のユーザー インターフェイスおよびコマンド ラインを通じて設定されるアクセス許可

Team Foundation Server で設定する必要のあるアクセス許可の多くは、Team Foundation Server のユーザー インターフェイスを通じて制御できます。 これらのアクセス許可は、サーバーごと (サーバー レベルのアクセス許可)、コレクションごと (コレクション レベルのアクセス許可)、またはプロジェクトごと (プロジェクト レベルのアクセス許可) に設定できます。 また、プロジェクトごとに作業項目を表示または操作するための区分レベルおよびイテレーション レベルのアクセス許可も設定できます。 ユーザーおよびグループにアクセス許可を設定する方法の詳細については、「ユーザー、グループ、およびアクセス許可の構成」と「アクセス許可の管理」を参照してください。

サーバーレベルのアクセス許可

サーバー レベルのアクセス許可は、1 つのチーム プロジェクトやチーム プロジェクト コレクションに固有ではありません。 これらは配置全体で設定され、配置内のすべてのプロジェクトおよびコレクションに影響を与える可能性のあるアクセス許可を付与します。

このアクセス許可は、次の 2 つのカテゴリのユーザーに対してのみ設定できます。

  • Team Foundation 管理者など、サーバー レベルのユーザーおよびグループ

  • サーバー レベルに作成および追加されたカスタム グループ

これらのアクセス許可は、Team Foundation の管理コンソールを開くことで設定できます。 また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定することもできます。 詳細については、「Team Foundation 管理コンソールを使用したサーバーの構成」および「TFSSecurity を使用したグループとアクセス許可の変更」を参照してください。

サーバー レベルの各アクセス許可とその目的に関する簡単な説明を次の表に示します。

アクセス許可名

コマンド ラインにおける名前

説明

チーム プロジェクト コレクションの作成

CreateCollection

このアクセス許可を持つユーザーは、Team Foundation Server でチーム プロジェクト コレクションを作成および管理できます。

チーム プロジェクト コレクションの削除

DeleteCollection

このアクセス許可を持つユーザーは、配置からチーム プロジェクト コレクションを削除できます。

メモメモ
チーム プロジェクト コレクションを削除しても、コレクションのデータベースは SQL Server から削除されません。

インスタンスレベル情報の編集

GENERIC_WRITE

tf: AdminConfiguration

tf: AdminConnections

このアクセス許可を持つユーザーは、Team Foundation Server のユーザーおよびグループに対する、サーバー レベルのアクセス許可を編集できます。 これらのユーザーは、コレクションでサーバー レベルのアプリケーション グループを追加または削除できます。 [インスタンスレベル情報の編集] のアクセス許可をメニューから設定した場合、対象のユーザーには、バージョン コントロールのアクセス許可の変更も暗黙的に許可されます。 これらのすべてのアクセス許可をコマンド プロンプトで付与するには、tf.exe Permission コマンドを使用して、AdminConfiguration および AdminConnections のアクセス許可と GENERIC_WRITE を付与する必要があります。

メモ   Team Foundation 管理者など、既定のサーバー レベル グループは削除できません。

他のユーザーの代わりに要求

Impersonate

このアクセス許可を持つユーザーは、他のユーザーまたはグループの代わりに操作を実行できます。 このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。

トリガー イベント

TRIGGER_EVENT

このアクセス許可を持つユーザーは、Team Foundation Server 内で警告イベントを発生させることができます。 このアクセス許可は、サービス アカウントと、Team Foundation 管理者グループのメンバーにのみ割り当てる必要があります。

Web Access のフル アクセス許可機能を使用します

FullAccess

このアクセス許可を持つユーザーは、Team System Web Access のすべての機能を使用できます。

インスタンスレベル情報の表示

GENERIC_READ

このアクセス許可を持つユーザーは、サーバーレベルのグループのメンバーシップ、およびそれらのユーザーのアクセス許可を参照できます。

コレクション レベルのアクセス許可

コレクション レベルのアクセス許可は、単一のプロジェクトに固有ではありません。 コレクション全体を対象に設定されます。 このアクセス許可は、次の 3 つのカテゴリのユーザーに対してのみ設定できます。

  • プロジェクト コレクション管理者などのコレクション レベルのユーザーおよびグループ

  • Team Foundation を実行するサーバーでコレクション レベルに追加されたプロジェクト レベルのグループ

  • コレクション レベルに作成および追加されたカスタム グループ

これらのアクセス許可は、チーム エクスプローラーでサーバーを右クリックし、[セキュリティ] をクリックして設定できます。または、Team Foundation の管理コンソールで設定できます。 これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定することもできます。ただし、tf: が指定されたコマンド ライン ツールでは設定できません。 ツールで tf: が指定されている場合は、バージョン コントロールのための tf コマンド ライン ユーティリティの Permission コマンドを使用してアクセス許可を設定します。 詳細については、「コレクション レベル グループ」、「TFSSecurity を使用したグループとアクセス許可の変更」、および「Permission コマンド」を参照してください。

アクセス許可名

コマンド ラインにおける名前

説明

シェルブされた変更の管理

tf: AdminShelvesets

このアクセス許可を持つユーザーは、他のユーザーが作成したシェルブセットを削除できます。

管理ウェアハウス

ADMINISTER_WAREHOUSE

このアクセス許可を持つユーザーは、WarehouseController.asmx Web サービスの ChangeSetting Web メソッドを使用して、ウェアハウスの設定を変更できます。 たとえば、OLAP キューブの計算を更新する間隔の設定をユーザーに許可する場合に使用できます。

ワークスペースの管理

tf: AdminWorkspaces

このアクセス許可を持つユーザーは、他のユーザーのためにワークスペースを作成したり、他のユーザーによって作成されたワークスペースを削除したりできます。

トレース設定の変更

DIAGNOSTIC_TRACE

このアクセス許可を持つユーザーは、Team Foundation Server の Web サービスに関するより詳細な診断情報を収集するためのトレースの設定を変更できます。

ワークスペースの作成

tf: CreateWorkspace

このアクセス許可を持つユーザーは、バージョン コントロールのワークスペースを作成できます。

新しいプロジェクトの作成

CREATE_PROJECTS

このアクセス許可を持つユーザーは、チーム プロジェクト コレクションでプロジェクトを作成できます。

メモメモ
新しいチーム プロジェクト ウィザードの作成を正常に完了するには、管理者としてこのアクセス許可を持つだけでなく、Visual Studio を実行する必要があります。詳細については、「チーム プロジェクトの作成」を参照してください。

チーム プロジェクトの削除

Delete

このアクセス許可を持つユーザーは、チーム プロジェクト コレクションでチーム プロジェクトを削除できます。

重要 :重要
チーム プロジェクトを削除すると、プロジェクトに関連付けられたすべてのデータが削除されます。プロジェクトが削除される前のポイントにコレクションを復元する以外に、チーム プロジェクトの削除を元に戻すことはできません。

チーム プロジェクト コレクションの削除

DeleteCollection

このアクセス許可を持つユーザーは、チーム プロジェクト コレクションを削除できます。

コレクションレベル情報の編集

GENERIC_WRITE

tf: AdminConfiguration

tf: AdminConnections

このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのユーザーおよびグループについて、コレクション レベルのアクセス許可を編集できます。 これらのユーザーは、コレクションでコレクション レベルの Team Foundation Server アプリケーション グループを追加または削除できます。 [コレクションレベル情報の編集] のアクセス許可をメニューから設定した場合、対象のユーザーには、バージョン コントロールのアクセス許可の変更も暗黙的に許可されます。 これらのすべてのアクセス許可をコマンド プロンプトで付与するには、tf.exe Permission コマンドを使用して、AdminConfiguration および AdminConnections のアクセス許可と GENERIC_WRITE を付与する必要があります。

メモメモ
プロジェクト コレクション管理者など、既定のコレクション レベル グループは削除できません。

他のユーザーの代わりに要求

Impersonate

このアクセス許可を持つユーザーは、他のユーザーまたはグループの代わりに操作を実行できます。 このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。

ビルド リソースの管理

ManageBuildResources

このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのビルド コンピューター、ビルド エージェント、およびビルド コントローラーを管理できます。 これらのユーザーは、他のユーザーの [ビルド リソースの表示] および [ビルド リソースの使用] のアクセス許可を付与または拒否できます。

プロセス テンプレートの管理

MANAGE_TEMPLATE

このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのプロセス テンプレートをダウンロード、作成、編集、およびアップロードできます。

テスト コントローラーの管理

MANAGE_TEST_CONTROLLERS

このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのテスト コントローラーを登録および登録解除できます。

作業項目リンクの種類の管理

WORK_ITEM_WRITE

このアクセス許可を持つユーザーは、作業項目のリンクの種類を追加、削除、および変更できます。

トリガー イベント

TRIGGER_EVENT

このアクセス許可を持つユーザーは、チーム プロジェクト コレクション内でプロジェクト警告イベントをトリガーできます。 このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。

ビルド リソースの使用

UseBuildResources

このアクセス許可を持つユーザーは、ビルド エージェントを予約したり、割り当てることができます。 このアクセス許可は、ビルド サービスのサービス アカウントにのみ割り当てる必要があります。

ビルド リソースの表示

ViewBuildResources

このアクセス許可を持つユーザーは、コレクションに構成されたビルド コントローラーとビルド エージェントを参照できます。 それらのリソースを使用するには、追加のアクセス許可が必要です。

コレクションレベル情報の表示

GENERIC_READ

このアクセス許可を持つユーザーは、コレクション レベルのグループのメンバーシップ、およびそれらのユーザーのアクセス許可を参照できます。

システムの同期情報の表示

SYNCHRONIZE_READ

このアクセス許可を持つユーザーは、同期アプリケーション プログラミング インターフェイスを呼び出すことができます。 このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。

テストの実行を表示する

VIEW_TEST_RESULTS

このアクセス許可を持つユーザーは、このノードでテスト計画を参照できます。

プロジェクトレベルのアクセス許可

プロジェクトレベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。 これらのアクセス許可を Team Foundation Server で設定するには、チーム エクスプローラーでプロジェクトを右クリックし、[チーム プロジェクトの設定] をクリックして、[セキュリティ] をクリックします。 また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定することもできます。

アクセス許可名

コマンド ラインにおける名前

説明

テストの実行を作成

PUBLISH_TEST_RESULTS

このアクセス許可を持つユーザーは、テスト結果を追加および削除したり、チーム プロジェクトのテストの実行を追加または変更したりできます。

チーム プロジェクトの削除

Del

このアクセス許可を持つユーザーは、このアクセス許可の対象のプロジェクトを Team Foundation Server から削除できます。

テストの実行を削除します

DELETE_TEST_RESULTS

このアクセス許可を持つユーザーは、このチーム プロジェクトのスケジュールされたテストを削除できます。

プロジェクトレベル情報を編集します

GENERIC_WRITE

このアクセス許可を持つユーザーは、Team Foundation Server のユーザーおよびグループについて、プロジェクトレベルのアクセス許可を編集できます。

テスト構成の管理

MANAGE_TEST_CONFIGURATIONS

このアクセス許可を持つユーザーは、このチーム プロジェクトのテスト構成を作成および削除できます。

テスト環境の管理

MANAGE_TEST_ENVIRONMENTS

このアクセス許可を持つユーザーは、このチーム プロジェクトのテスト環境を作成および削除できます。

プロジェクトレベル情報を表示します

GENERIC_READ

このアクセス許可を持つユーザーは、プロジェクトレベルのグループのメンバーシップ、およびそれらのプロジェクト ユーザーのアクセス許可を参照できます。

テストの実行を表示する

VIEW_TEST_RESULTS

このアクセス許可を持つユーザーは、このノードでテスト計画を参照できます。

ビルドレベルのアクセス許可

ビルド レベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。 ビルドのアクセス許可はチーム プロジェクト レベルで設定でき、特定のビルド定義にもアクセス許可を設定できます。 これらのアクセス許可を設定するには、チーム エクスプローラーでプロジェクトを開き、[ビルド] を右クリックして [セキュリティ] をクリックします。 ビルド定義を右クリックし、[セキュリティ] をクリックして、アクセス許可を特定のビルド定義に適用できます。 ビルド フォルダーにアクセス許可を適用する場合は、そのフォルダーを右クリックし、[セキュリティ] をクリックします。 また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定できます。

アクセス許可名

コマンド ラインにおける名前

説明

ビルドの表示

ViewBuilds

このアクセス許可を持つユーザーは、このチーム プロジェクトのキューに入っているビルドと完了したビルドを参照できます。

ビルドの品質を編集します

EditBuildQuality

このアクセス許可を持つユーザーは、Team Foundation ビルドのユーザー インターフェイスを通じて、ビルドの品質に関する情報を追加できます。

無期限に保持

RetainIndefinitely

このアクセス許可を持つユーザーは、適用されるどのアイテム保持ポリシーによっても自動的に削除されないようにビルドをマークできます。

ビルドの削除

DeleteBuilds

このアクセス許可を持つユーザーは、完了したビルドを削除できます。

ビルド品質評価の管理

ManageBuildQualities

このアクセス許可を持つユーザーは、ビルド品質評価を追加または削除できます。

ビルドの破棄

DestroyBuilds

このアクセス許可を持つユーザーは、完了したビルドを完全に削除できます。

ビルド情報の更新

UpdateBuildInformation

このアクセス許可を持つユーザーは、ビルドの品質に関する情報を追加できます。 このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。

ビルドをキューに挿入

QueueBuilds

このアクセス許可を持つユーザーは、Team Foundation ビルドのインターフェイス、またはコマンド プロンプトで、ビルドをキューに入れることができます。 

ビルド キューの管理

ManageBuildQueue

このアクセス許可を持つユーザーは、キューに入っているビルドの取り消し、優先度の付け直し、または延期を行うことができます。

ビルドの停止

StopBuilds

このアクセス許可を持つユーザーは、進行中のビルドを停止できます。

ビルド定義の表示

ViewBuildDefinition

このアクセス許可を持つユーザーは、チーム プロジェクトに作成されたビルド定義を参照できます。

ビルド定義の編集

EditBuildDefinition

このアクセス許可を持つユーザーは、このプロジェクトのビルド定義を作成および変更できます。

ビルド定義の削除

DeleteBuildDefinition

このアクセス許可を持つユーザーは、このプロジェクトのビルド定義を削除できます。

ビルドによるチェックインの妥当性確認のオーバーライド

OverrideBuildCheckInValidation

このアクセス許可を持つユーザーは、最初にシステムをトリガーして変更をシェルブおよびビルドしなくても、ゲート ビルド定義に影響を与える変更セットをコミットできます。 このアクセス許可は、ビルド サービスのサービス アカウントと、コードの品質を担当するビルド管理者にのみ割り当てる必要があります。 詳細については、「ゲート チェックイン ビルドによって制御されている保留中の変更内容のチェックイン」を参照してください。

作業項目トラッキングの区分レベルのアクセス許可

区分レベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。 これらのアクセス許可を設定するには、チーム エクスプローラーでプロジェクトを右クリックし、[区分およびイテレーション] をクリックして、[区分] タブの [セキュリティ] をクリックします。 また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定できます。

注意

作業項目トラッキングの操作には、複数のアクセス許可が必要なものもあります。 たとえば、ノードの削除には複数のアクセス許可が必要です。

アクセス許可名

コマンド ラインにおける名前

説明

子ノードを作成し、順序を付けます

CREATE_CHILDREN

このアクセス許可を持つユーザーは、区分ノードを作成できます。 このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、子区分ノードを移動したり並べ替えたりできます。

このノードを削除します

Del

このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、区分ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。 削除されたノードに子ノードがある場合、それらのノードも削除されます。

このノードを編集します

GENERIC_WRITE

このアクセス許可を持つユーザーは、このノードにアクセス許可を設定して、区分ノードの名前を変更できます。

このノードの作業項目を編集します

WORK_ITEM_WRITE

このアクセス許可を持つユーザーは、この区分ノード内の作業項目を編集できます。

テスト計画の管理

MANAGE_TEST_PLANS

このアクセス許可を持つユーザーは、このノードのテスト計画を作成および編集できます。 テスト計画が実行されていない場合は、削除することもできます。

テストの実行を表示する

VIEW_TEST_RESULTS

このアクセス許可を持つユーザーは、このノードでテスト計画を参照できます。

このノードを表示します

GENERIC_READ

このアクセス許可を持つユーザーは、このノードのセキュリティ設定を参照できます。

このノードの作業項目を表示します

WORK_ITEM_READ

このアクセス許可を持つユーザーは、この区分ノード内の作業項目を参照できますが、変更はできません。

作業項目トラッキングのイテレーション レベルのアクセス許可

イテレーションレベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。 これらのアクセス許可を設定するには、チーム エクスプローラーでプロジェクトを右クリックし、[区分およびイテレーション] をクリックして、[イテレーション] タブの [セキュリティ] をクリックします。 また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定できます。

注意

作業項目トラッキングの操作には、複数のアクセス許可が必要なものもあります。 たとえば、ノードの削除には複数のアクセス許可が必要です。

アクセス許可名

コマンド ラインにおける名前

説明

子ノードを作成し、順序を付けます

CREATE_CHILDREN

このアクセス許可を持つユーザーは、イテレーション ノードを作成できます。 このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードを移動したり並べ替えたりできます。

このノードを削除します

Del

このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。 削除されたノードに子ノードがある場合、それらのノードも削除されます。

このノードを編集します

GENERIC_WRITE

このアクセス許可を持つユーザーは、このノードにアクセス許可を設定して、イテレーション ノードの名前を変更できます。

このノードを表示します

GENERIC_READ

このアクセス許可を持つユーザーは、このノードのセキュリティ設定を参照できます。

バージョン コントロールのアクセス許可

バージョン管理のアクセス許可は、ソース コード ファイルおよびフォルダーに固有です。 これらのアクセス許可を設定するには、ソース管理エクスプローラーでフォルダーまたはファイルを右クリックし、[プロパティ] をクリックして [セキュリティ] タブをクリックします。 そのタブで、アクセス許可を変更するユーザーまたはグループをクリックし、[アクセス許可] に表示されたアクセス許可を変更できます。 これらのアクセス許可は、バージョン コントロール用の tf コマンド ライン ツールを使用して設定することもできます。

アクセス許可名

コマンド ラインにおける名前

説明

読み取り

tf: Read

このアクセス許可を持つユーザーは、ファイルまたはフォルダーの内容を参照できます。 フォルダーに対して [読み取り] のアクセス許可を持つユーザーは、フォルダー内のファイルを開くためのアクセス許可を持っていなくても、そのフォルダーの内容と、フォルダーに含まれているファイルのプロパティを確認できます。

チェックアウト

tf: PendChange

このアクセス許可を持つユーザーは、フォルダー内の項目に対する保留中の変更をチェックアウトおよび作成できます。 保留中の変更には、ファイルの追加、編集、名前の変更、削除、削除取り消し、分岐、マージなどが含まれます。

チェックイン

tf: Checkin

このアクセス許可を持つユーザーは、項目をチェックインしたり、コミットされた変更セットのコメントを変更したりできます。 保留中の変更は、チェックイン時にコミットされます。

ラベル

tf: Label

このアクセス許可を持つユーザーは、項目にラベルを付けることができます。

ロック

tf: Lock

このアクセス許可を持つユーザーは、フォルダーまたはファイルをロックしたり、ロックを解除したりできます。

他のユーザーの変更を編集

tf: ReviseOther

このアクセス許可を持つユーザーは、他のユーザーがファイルをチェックインした場合でも、チェックインされたファイルのコメントを編集できます。

他のユーザーの変更のロック解除

tf: UnlockOther

このアクセス許可を持つユーザーは、他のユーザーがロックしたファイルのロックを解除できます。

他のユーザーの変更を元に戻す

tf: UndoOther

このアクセス許可を持つユーザーは、他のユーザーが行った保留中の変更を元に戻すことができます。

ラベルの管理

tf: LabelOther

このアクセス許可を持つユーザーは、他のユーザーが作成したラベルを編集または削除できます。

権限の管理

このアクセス許可を持つユーザーは、バージョン コントロールでフォルダーおよびファイルに対する他のユーザーのアクセス許可を管理できます。

別のユーザーの変更をチェックインする

tf: CheckinOther

このアクセス許可を持つユーザーは、他のユーザーが行った変更をチェックインできます。 保留中の変更は、チェックイン時にコミットされます。

マージ

tf: Merge

特定のパスに対してこのアクセス許可を持つユーザーは、そのパスに変更をマージできます。

分岐の管理

tf: ManageBranch

特定のパスに対してこのアクセス許可を持つユーザーは、そのパスの下にある任意のフォルダーを分岐に変換できます。 このアクセス許可を持つユーザーは、分岐に対してプロパティの編集、親の再設定、およびフォルダーへの変換の操作を実行することもできます。

このアクセス許可を持つユーザーは、対象のパスに対する [マージ] のアクセス許可も持っている場合にのみ、この分岐を分岐させることができます。 ユーザーは、[分岐の管理] のアクセス許可を持たない分岐から分岐を作成することはできません。

Lab Management のアクセス許可

Visual Studio Lab Management のアクセス許可は、仮想マシン、環境、および他のリソースに固有です。 これらのアクセス許可は、TFSLabConfig コマンド ライン ツールを使用して設定できます。

アクセス許可名

コマンド ラインにおける名前

説明

ラボ リソースの表示

Read

このアクセス許可を持つユーザーは、コレクション ホスト グループ、プロジェクト ホスト グループ、環境など、さまざまな Lab Management リソースの情報を参照できます。 特定のラボ リソースの情報を参照するには、そのリソースに対する [ラボ リソースの表示] のアクセス許可が必要です。

ラボの場所の管理

ManageLocation

このアクセス許可を持つユーザーは、コレクション ホスト グループ、コレクション ライブラリ共有、プロジェクト ホスト グループ、プロジェクト ライブラリ共有など、Lab Management リソースの場所を編集できます。 特定の場所を編集するには、その場所に対する [ラボの場所の管理] のアクセス許可が必要です。

コレクション レベルの場所 (コレクション ホスト グループとコレクション ライブラリ共有) に対してこのアクセス許可があると、プロジェクト レベルの場所 (プロジェクト ホスト グループとプロジェクト ライブラリ共有) を作成できます。

ラボの場所の削除

DeleteLocation

このアクセス許可を持つユーザーは、コレクション ホスト グループ、コレクション ライブラリ共有、プロジェクト ホスト グループ、プロジェクト ライブラリ共有など、Lab Management リソースの場所を削除できます。 場所を削除するには、その場所に対する [ラボの場所の削除] のアクセス許可が必要です。

環境と仮想マシンの書き込み

Write

プロジェクト ホスト グループに対してこのアクセス許可を持つユーザーは、環境を作成できます。 プロジェクト ライブラリ共有に対してこのアクセス許可を持つユーザーは、環境およびテンプレートを保存できます。

環境と仮想マシンの編集

Edit

このアクセス許可を持つユーザーは、環境およびテンプレートを編集できます。 編集するオブジェクトに対してアクセス許可がチェックされます。

環境と仮想マシンの削除

Delete

このアクセス許可を持つユーザーは、環境およびテンプレートを削除できます。 削除するオブジェクトに対してアクセス許可がチェックされます。

仮想マシンのインポート

Create

このアクセス許可を持つユーザーは、VMM ライブラリ共有から仮想マシンをインポートできます。

このアクセス許可は、Lab Management でオブジェクトを作成するだけで、Virtual Machine Manager ホスト グループとライブラリ共有には何も書き込まないため、[書き込み] とは異なります。

権限の管理

ManagePermissions

このアクセス許可を持つユーザーは、Lab Management オブジェクトのアクセス許可を変更できます。 このアクセス許可は、アクセス許可を変更するオブジェクトに対してチェックされます。

子権限の管理

ManageChildPermissions

このアクセス許可を持つユーザーは、すべての子 Lab Management オブジェクトのアクセス許可を変更できます。 たとえば、ユーザーがチーム プロジェクト ホスト グループに対して [子権限の管理] を持っている場合、ユーザーはそのチーム プロジェクト ホスト グループにあるすべての環境のアクセス許可を変更できます。

開始

Start

このアクセス許可を持つユーザーは、環境を開始できます。

停止

Stop

このアクセス許可を持つユーザーは、環境を停止できます。

環境の一時停止

Pause

このアクセス許可を持つユーザーは、環境を一時停止できます。

スナップショットの管理

ManageSnapshots

このアクセス許可を持つユーザーは、スナップショットの取得、スナップショットへの復元、スナップショットの名前変更、スナップショットの削除、スナップショットの読み取りなど、環境のすべてのスナップショット管理タスクを実行できます。

参照

処理手順

Team Foundation 管理コンソールを開く

参照

Permission コマンド

概念

サーバー レベル グループ

TFSLabConfig を使用した Lab Management の構成

テスト計画の使用によるテスト作業の定義

その他の技術情報

TFSSecurity を使用したグループとアクセス許可の変更

Team Foundation バージョン管理のコマンド ライン リファレンス

ユーザー、グループ、およびアクセス許可の構成

アクセス許可の管理

コレクション レベル グループ

プロジェクト レベルのグループ

TFSSecurity を使用したグループとアクセス許可の変更

履歴の変更

日付

履歴

理由

2010 年 7 月

[新しいプロジェクトの作成] アクセス許可のための追加要件に関するメモを更新。

カスタマー フィードバック