Configurando permissões, membros e grupos de inicial

Usando o arquivo de plug-in para grupos e permissões, você pode configurar as configurações de segurança inicial para um projeto de equipe. Para fazer isso, definindo as tarefas que criar grupos de segurança, aninhar grupos, atribuem membros a grupos e permitem ou negar permissões específicas para cada grupo. Para além de realizar essas tarefas, você pode especificar as configurações de segurança inicial para o nível de conjunto, nível de projeto, classificação de projeto e áreas de inscrição de evento.

Os modelos de processo para o Microsoft Solutions Framework (MSF) atribuem várias permissões a grupos padrão. Personalizando o arquivo de plug-in para grupos e permissões para modificar essas atribuições. Para obter mais informações sobre esse plug-in, consulte Grupos e permissões de plug-in.

Neste tópico

  • Definir e atribuir permissões a grupos usando o grupo, o membro e elementos de permissão de grupo

  • Grupo de Macros e grupos padrão, definidos em Team Foundation Server

  • Exemplo de aninhamento de grupos e atribuir membros a grupos

  • Atribuir permissões de nível de conjunto

  • Atribuir permissões de nível de projeto

  • Atribuir permissões aos caminhos de controle de área

  • Atribuir permissões aos caminhos de controle de iteração

  • A atribuição de permissões para gerenciar inscrições de eventos

Para obter informações sobre como configurar as configurações de segurança inicial para áreas funcionais do projeto de equipe, tais como Team Foundation Build, Controle de versão do Team Foundation, e Visual Studio Lab Management, consulte Controlando o acesso a áreas funcionais.

Para obter informações sobre como personalizar os tipos de itens de trabalho para permitir ou negar acesso a grupos ou usuários, consulte Gerenciando a permissão para criar ou modificar itens de trabalho.

Para obter mais informações sobre como administrar usuários e grupos e controlar o acesso para Visual Studio Application Lifecycle Management (ALM), consulte Configurando permissões de usuários e grupos.

Definição e grupos usando elementos de permissão de grupo, o membro e o grupo de proteção

Você pode usar o group e member elementos para especificar um novo grupo de segurança em Team Foundation Server e adicionar membros ao grupo. Você pode usar o grupo permission elemento para atribuir permissões a um grupo e aos membros do grupo. Você precisa encapsular cada um desses elementos dentro de seus elementos de contêiner correspondente: groups, members, and permissions. Use o seguinte a estrutura de sintaxe para cada um desses elementos:

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName " allow="True | False"/>

A tabela a seguir descreve os atributos para o group, membere o grupo permission elementos. Você pode usar esses elementos somente no arquivo de plug-in de grupos e permissões.

Elemento

Atributo

Descrição

group

name

Especifica o nome do grupo que você está criando.

description

Descreve a finalidade do grupo para outros usuários.

member

name

Especifica o nome de um grupo que você está adicionando como um membro de outro grupo. Você pode criar grupos e preencher previamente-los com qualquer um dos seguintes tipos de membros:

  • Grupos padrão definidos noTeam Foundation Server

  • Grupos de projetos que foram criados anteriormente no arquivo do arquivo GroupsandPermissions. XML (por exemplo, [PROJECTNAME$ $$$] \Contributors)

  • Grupos e usuários que são definidos no Active Directory, você especifica usando o seguinte formato:

    • DOMÍNIO \ NOME_DE_USUÁRIO

    • DOMÍNIO \ NOME_DO_GRUPO

Para obter informações sobre o formato a ser usado quando você especifica os grupos padrão, consulte Padrão de grupos definidos no Team Foundation Server de posteriormente neste tópico.

permission

name

Identifica qual permissão está sendo aplicada. Para obter uma lista das permissões com suporte, consulte as seções a seguir neste tópico:

  • Atribuir permissões de nível de conjunto

  • Atribuir permissões de nível de projeto

  • A atribuição de permissões para a área de controle e níveis de iteração

class

Identifica a classe ou a área, onde o permissão de grupo é concedido. Os seguintes valores são válidos:

  • NAMESPACE: Especifica o nível de conjunto de permissões.

  • PROJECT: Especifica as permissões no nível do projeto.

  • CSS_NODE: Especifica as permissões para exibir e gerenciar os caminhos de área para um projeto de equipe.

  • ITERATION_NODE: Especifica as permissões para exibir e gerenciar os caminhos de iteração de um projeto de equipe.

  • EVENT_SUBSCRIPTION: Especifica as permissões de visualização, se inscrever e cancelar a inscrição em e alterando as configurações de alerta para um projeto de equipe.

allow

Usa um true ou false valor para indicar se a permissão é permitida ou negada.

path

Identifica o nó do caminho de área ou caminho de iteração, onde a permissão está sendo aplicada. Esse atributo é válido somente quando class for definido como CSS_NODE ou ITERATION_NODE.

Grupo de Macros e grupos padrão, definidos em Team Foundation Server

A tabela a seguir lista as macros que você pode usar para especificar um grupo padrão que é definido em Team Foundation Server.

ObservaçãoObservação

Você pode especificar as macros na tabela a seguir no plug-in para grupos e permissões. Quando você atribui permissões usando os plug-ins para compilação, controle de versão ou gerenciamento de laboratório, você não pode especificar essas macros.

Grupos padrão

Macro

Administradores de conjuntos de projeto

[SERVIDOR] \$$PROJECTCOLLECTIONADMINGROUP$$

[SERVIDOR] \$$TEAMFOUNDATIONADMINGROUP$$

Contas de serviço de coleção do projeto

[SERVIDOR] \$$PROJECTCOLLECTIONSERVICESGROUP$$

Contas de serviço de coleção de compilação do projeto

[SERVIDOR] \$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$

Administradores de compilação do projeto conjunto

[SERVIDOR] \$$PROJECTCOLLECTIONBUILDADMINSGROUP$$

Administradores de projeto

$$ PROJECTADMINGROUP$ $

[PROJECTNAME$ $$$] \$$PROJECTADMINGROUP$$

O aninhamento de grupos e atribuir membros a exemplo de grupos

O exemplo a seguir mostra como configurar os grupos são chamados TestGroup1, TestGroup2 e TestGroup3. Neste exemplo, você pode adicionar TestGroup1 como um membro do TestGroup2. Para que este código seja válido, você deve definir a TestGroup1 antes de definir TestGroup2.

<task id="GroupCreation1" 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

Atribuir permissões de nível de conjunto

Você pode atribuir permissões de nível de conjunto usando o grupo permission elemento e a classe do NAMESPACE. Essas permissões controlam o acesso aos recursos que estão disponíveis através de projetos de equipe. Você pode definir o nível de conjunto de permissões para as seguintes categorias de usuários:

  • Nível de conjunto de usuários e grupos, como, por exemplo, os administradores de conjuntos de projeto

  • Grupos de nível de projeto que foram adicionados ao nível de conjunto de seu servidor que está executandoTeam Foundation

  • Grupos personalizados que você criar e adiciona ao nível de coleção

Para o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.

ObservaçãoObservação

Você pode definir essas permissões clicando com o servidor em Team Explorer e, em seguida, clicando em Security, abrindo e usando o console de administração para Team Foundation, ou usando o TFSSecurity e tf Ferramentas de linha de comando. Para obter mais informações, consulte Grupos de nível de conjunto, A alteração de grupos e permissões de TFSSecurity e Comando de permissão.

O exemplo a seguir mostra como conceder permissões de nível de conjunto para os administradores de projeto para um projeto de equipe.

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class=" NAMESPACE " allow="true" />
       <permission name="WORK_ITEM_WRITE" class=" NAMESPACE " allow="true" />
       <permission name="MANAGE_LINK_TYPES" class=" NAMESPACE " allow="true" />
       <permission name="MANAGE_TEMPLATE" class=" NAMESPACE " allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class=" NAMESPACE " allow="true" />
    </permissions>
</group>

A tabela a seguir descreve as permissões de nível de conjunto que você pode atribuir.

ObservaçãoObservação

Por padrão, sem nível de conjunto de permissões são atribuídas em modelos de processo do MSF.

Permissão

Descrição

DIAGNOSTIC_TRACE

Alterar configurações de rastreamento. Pode alterar as configurações de rastreamento para reunir informações de diagnóstico mais detalhadas sobre os serviços da Web para Team Foundation Server.

CREATE_PROJECTS

Criar novos projetos. Pode criar projetos da coleção de projeto de equipe.

GENERIC_WRITE

Editar informações do nível de conjunto. Pode editar o nível de conjunto de permissões para usuários e grupos na coleção de projeto de equipe. Os usuários que têm essa permissão podem executar as seguintes tarefas:

  • Adicionar, remover ou renomear um grupo de aplicativos de nível de conjunto da coleção no Team Foundation Server.

    ObservaçãoObservação
    Não é possível remover grupos de nível de conjunto de padrão, como, por exemplo, os administradores de conjuntos de projeto.
  • Adicionar ou remover um usuário ou grupo de usuário do Windows ou outro grupo de aplicativos em Team Foundation Server (no nível do servidor).

  • Alterar o nível de conjunto de permissões para usuários e grupos.

Além disso, os usuários que têm essa permissão podem modificar as permissões para controle de versão, e eles têm acesso de gravação para todos os arquivos de controle de versão, a menos que o acesso é negado explicitamente por outras permissões.

MANAGE_TEMPLATE

Gerenciar modelos de processo. Pode fazer o download, criar, editar e carregar modelos de processo para a coleção de projeto de equipe.

MANAGE_TEST_CONTROLLERS

Gerenciar controladores de teste. Pode registrar e de-register controladores de teste para a coleção de projeto de equipe.

MANAGE_LINK_TYPES

Gerenciar tipos de link do item de trabalho. Pode adicionar, remover e alterar os tipos de links para itens de trabalho.

GENERIC_READ

Exibir informações de nível de conjunto. Pode exibir membros de grupos de nível de conjunto e as permissões desses usuários.

Atribuir permissões de nível de projeto

Você pode atribuir permissões de nível de projeto no arquivo de plug-in de grupos e permissões. Você atribuir essas permissões usando o grupo permission elemento e a classe do projeto. Essas permissões controlam o acesso aos recursos de um único projeto. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.

ObservaçãoObservação

Após o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clicando com o projeto, clicando em As configurações de projeto de equipee, em seguida, clicando em Security. Você também pode definir essas permissões usando o TFSSecurity ferramenta de linha de comando. Para obter mais informações, consulte Managing Permissions.

O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões de nível de projeto que você pode atribuir e indica as atribuições padrão que são feitas nos modelos de processo do MSF.

Permissão

Descrição

Leitores

Colaboradores

Construtores

GENERIC_READ

Exibir informações de nível de projeto. Pode exibir membros de grupos de nível de projeto e as permissões desses membros.

marca de verificação marca de verificação marca de verificação

VIEW_TEST_RESULTS

Exibir execuções de teste. Pode exibir planos de teste nesse nó.

marca de verificação marca de verificação marca de verificação

MANAGE_TEST_CONFIGURATIONS

Gerenciar configurações de teste. Pode criar e excluir configurações de teste para o projeto de equipe.

marca de verificação marca de verificação

MANAGE_TEST_ENVIRONMENTS

Gerenciar ambientes de teste. Pode criar e excluir os ambientes de teste para o projeto de equipe.

marca de verificação marca de verificação

PUBLISH_TEST_RESULTS

Criar execuções de teste. Pode adicionar e remover os resultados de teste e adicionar ou modificar as execuções de teste para o projeto de equipe.

marca de verificação marca de verificação

DELETE_TEST_RESULTS

Excluir execuções de teste. Pode excluir um teste programado para o projeto de equipe.

marca de verificação marca de verificação

DELETE

Excluir um projeto de equipe. Pode excluir da Team Foundation Server o projeto para o qual o usuário tem permissão.

GENERIC_WRITE

Editar informações do nível do projeto. Pode editar permissões de nível de projeto para usuários e grupos no Team Foundation Server.

Atribuir permissões aos caminhos de controle de área

Você pode atribuir permissões que controlam o acesso às definições de área usando o grupo permission elemento e a classe de CSS_NODE. Essas permissões controlam o acesso à estrutura de classificação de um único projeto. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.

ObservaçãoObservação

Após o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clicando com o projeto, clicando em áreas e iterações, clicando no área guia e, em seguida, clicando em Security. Você pode atribuir permissões a nós em níveis diferentes dentro da hierarquia. Você também pode definir essas permissões usando o TFSSecurity ferramenta de linha de comando. Para obter mais informações, consulte Managing Permissions.

O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso para a estrutura hierárquica area do project e nós de iteração. A tabela também indica as atribuições padrão que são feitas nos modelos de processo do MSF.

ObservaçãoObservação

Algumas operações para controlar os itens de trabalho exigem várias permissões. Por exemplo, você precisa de várias permissões para excluir um nó.

Permissão

Descrição

Leitores

Colaboradores

Construtores

GENERIC_READ

Exibir esse nó. Pode exibir as configurações de segurança de um nó de área.

marca de verificação marca de verificação marca de verificação

WORK_ITEM_READ

Exibir itens de trabalho nesse nó. Pode exibir, mas não alterar os itens de trabalho que são atribuídos a um nó de área.

marca de verificação marca de verificação marca de verificação

WORK_ITEM_WRITE

Editar itens de trabalho nesse nó. Pode editar os itens de trabalho que são atribuídos a um nó de área.

marca de verificação marca de verificação

MANAGE_TEST_PLANS

Gerenciar planos de teste. Pode criar e editar planos de teste que são atribuídos a um nó de área. Se não tiverem sido executados os planos de teste, você também pode excluir.

marca de verificação marca de verificação

CREATE_CHILDREN

Criar e solicitar nós filhos. Pode criar nós de área. Usuários que têm essa permissão e da permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar qualquer filho nó de área.

DELETE

Excluir este nó. Pode excluir nós de área.

Usuários que têm essa permissão e da permissão de GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de área e reclassificar itens de trabalho existentes a partir do nó excluído. Se o nó excluído tiver nós filho, esses nós também serão excluídos.

GENERIC_WRITE

Editar este nó. Pode definir permissões e renomear nós de área.

Atribuir permissões aos caminhos de controle de iteração

Você atribui permissões que controlam o acesso aos caminhos de iteração usando o grupo permission elemento e o ITERATION_NODE classe. Essas permissões controlam o acesso a versões de etapas ou iterações para um único projeto. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.

ObservaçãoObservação

Após o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clicando com o projeto, clicando em áreas e iterações, clicando no iteração guia e, em seguida, clicando em Security. Você pode atribuir permissões a nós em níveis diferentes dentro da hierarquia. Você também pode definir essas permissões usando o TFSSecurity ferramenta de linha de comando. Para obter mais informações, consulte Managing Permissions.

O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe:

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class=" ITERATION _NODE" allow="true" />
      <permission name=" CREATE_CHILDREN " class=" ITERATION _NODE" allow="true" />
</group>

A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso a estrutura hierárquica de nós de iteração do projeto. Porque os modelos de processo do MSF não especificarem as permissões de ITERATION_NODE, todos os membros da equipe podem criar, exibir e excluir nós de iteração.

ObservaçãoObservação

Algumas operações para controlar os itens de trabalho exigem várias permissões. Por exemplo, você precisa de várias permissões para excluir um nó.

Permissão

Descrição

GENERIC_READ

Exibir esse nó. Pode exibir as configurações de segurança para um nó.

CREATE_CHILDREN

Criar e solicitar nós filhos. Pode criar nós de iteração. Usuários que têm essa permissão e da permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar qualquer nó de iteração.

DELETE

Excluir este nó. Pode excluir nós de iteração.

Usuários que têm essa permissão e da permissão de GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de iteração e reclassificar itens de trabalho existentes a partir do nó excluído. Se o nó excluído tiver nós filho, esses nós também serão excluídos.

GENERIC_WRITE

Editar este nó. Pode definir permissões para nós de iteração e renomear nós.

A atribuição de permissões para gerenciar inscrições de eventos

Você pode atribuir permissões que controlam o acesso aos alertas do projeto usando o grupo permission elemento e a classe de EVENT_SUBSCRIPTION. Essas permissões controlam o acesso ao serviço de evento do projeto de uma única equipe. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.

O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
        <permission name="GENERIC_READ" class="EVENT_SUBSCRIPTION" allow="true" />
        <permission name="GENERIC_WRITE" class=" EVENT_SUBSCRIPTION" allow="true" />
        <permission name="UNSUBSCRIBE" class=" EVENT_SUBSCRIPTION" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir a controlar o acesso a inscrições de eventos.

ObservaçãoObservação

Por padrão, nenhuma permissão de inscrição de evento é atribuído em modelos de processo do MSF. Todos os membros da equipe podem exibir, assinar e cancelar a inscrição para alertas do projeto.

Permissão

Descrição

GENERIC_READ

Pode exibir alertas.

GENERIC_WRITE

Pode alterar as configurações de alerta.

UNSUBSCRIBE

Pode cancelar a inscrição de alertas.

Consulte também

Conceitos

Grupos e permissões de plug-in

Configurando permissões de usuários e grupos

Personalizando as áreas funcionais dentro de um modelo de processo

Outros recursos

Controlando o acesso a áreas funcionais

Gerenciando a permissão para criar ou modificar itens de trabalho