Configurando permissões, membros e grupos de inicial
Usando o arquivo de plug-in para grupos e permissões, você pode configurar as configurações de segurança inicial para um projeto de equipe. Para fazer isso, definindo as tarefas que criar grupos de segurança, aninhar grupos, atribuem membros a grupos e permitem ou negar permissões específicas para cada grupo. Para além de realizar essas tarefas, você pode especificar as configurações de segurança inicial para o nível de conjunto, nível de projeto, classificação de projeto e áreas de inscrição de evento.
Os modelos de processo para o Microsoft Solutions Framework (MSF) atribuem várias permissões a grupos padrão. Personalizando o arquivo de plug-in para grupos e permissões para modificar essas atribuições. Para obter mais informações sobre esse plug-in, consulte Grupos e permissões de plug-in.
Neste tópico
Definir e atribuir permissões a grupos usando o grupo, o membro e elementos de permissão de grupo
Grupo de Macros e grupos padrão, definidos em Team Foundation Server
Exemplo de aninhamento de grupos e atribuir membros a grupos
Atribuir permissões de nível de conjunto
Atribuir permissões de nível de projeto
Atribuir permissões aos caminhos de controle de área
Atribuir permissões aos caminhos de controle de iteração
A atribuição de permissões para gerenciar inscrições de eventos
Para obter informações sobre como configurar as configurações de segurança inicial para áreas funcionais do projeto de equipe, tais como Team Foundation Build, Controle de versão do Team Foundation, e Visual Studio Lab Management, consulte Controlando o acesso a áreas funcionais.
Para obter informações sobre como personalizar os tipos de itens de trabalho para permitir ou negar acesso a grupos ou usuários, consulte Gerenciando a permissão para criar ou modificar itens de trabalho.
Para obter mais informações sobre como administrar usuários e grupos e controlar o acesso para Visual Studio Application Lifecycle Management (ALM), consulte Configurando permissões de usuários e grupos.
Definição e grupos usando elementos de permissão de grupo, o membro e o grupo de proteção
Você pode usar o group e member elementos para especificar um novo grupo de segurança em Team Foundation Server e adicionar membros ao grupo. Você pode usar o grupo permission elemento para atribuir permissões a um grupo e aos membros do grupo. Você precisa encapsular cada um desses elementos dentro de seus elementos de contêiner correspondente: groups, members, and permissions. Use o seguinte a estrutura de sintaxe para cada um desses elementos:
<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName " allow="True | False"/>
A tabela a seguir descreve os atributos para o group, membere o grupo permission elementos. Você pode usar esses elementos somente no arquivo de plug-in de grupos e permissões.
Elemento |
Atributo |
Descrição |
---|---|---|
group |
name |
Especifica o nome do grupo que você está criando. |
description |
Descreve a finalidade do grupo para outros usuários. |
|
member |
name |
Especifica o nome de um grupo que você está adicionando como um membro de outro grupo. Você pode criar grupos e preencher previamente-los com qualquer um dos seguintes tipos de membros:
Para obter informações sobre o formato a ser usado quando você especifica os grupos padrão, consulte Padrão de grupos definidos no Team Foundation Server de posteriormente neste tópico. |
permission |
name |
Identifica qual permissão está sendo aplicada. Para obter uma lista das permissões com suporte, consulte as seções a seguir neste tópico:
|
class |
Identifica a classe ou a área, onde o permissão de grupo é concedido. Os seguintes valores são válidos:
|
|
allow |
Usa um true ou false valor para indicar se a permissão é permitida ou negada. |
|
path |
Identifica o nó do caminho de área ou caminho de iteração, onde a permissão está sendo aplicada. Esse atributo é válido somente quando class for definido como CSS_NODE ou ITERATION_NODE. |
Grupo de Macros e grupos padrão, definidos em Team Foundation Server
A tabela a seguir lista as macros que você pode usar para especificar um grupo padrão que é definido em Team Foundation Server.
Observação |
---|
Você pode especificar as macros na tabela a seguir no plug-in para grupos e permissões. Quando você atribui permissões usando os plug-ins para compilação, controle de versão ou gerenciamento de laboratório, você não pode especificar essas macros. |
Grupos padrão |
Macro |
---|---|
Administradores de conjuntos de projeto |
[SERVIDOR] \$$PROJECTCOLLECTIONADMINGROUP$$ [SERVIDOR] \$$TEAMFOUNDATIONADMINGROUP$$ |
Contas de serviço de coleção do projeto |
[SERVIDOR] \$$PROJECTCOLLECTIONSERVICESGROUP$$ |
Contas de serviço de coleção de compilação do projeto |
[SERVIDOR] \$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ |
Administradores de compilação do projeto conjunto |
[SERVIDOR] \$$PROJECTCOLLECTIONBUILDADMINSGROUP$$ |
Administradores de projeto |
$$ PROJECTADMINGROUP$ $ [PROJECTNAME$ $$$] \$$PROJECTADMINGROUP$$ |
O aninhamento de grupos e atribuir membros a exemplo de grupos
O exemplo a seguir mostra como configurar os grupos são chamados TestGroup1, TestGroup2 e TestGroup3. Neste exemplo, você pode adicionar TestGroup1 como um membro do TestGroup2. Para que este código seja válido, você deve definir a TestGroup1 antes de definir TestGroup2.
<task id="GroupCreation1"
<taskXml>
<groups>
<group name="TestGroup1" description="Test group 1. Contains no members out of the box.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
</group>
<group name="TestGroup2" description="Test group 2. Contains TestGroup1 and Project Administrators.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="TestGroup1" />
<member name="$$PROJECTADMINGROUP$$" />
</members>
</group>
<group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="DOMAIN\USER" />
<member name="DOMAIN\GROUP" />
<member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
<member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
</members>
</group>
</groups>
</taskXml>
</task>
Atribuir permissões de nível de conjunto
Você pode atribuir permissões de nível de conjunto usando o grupo permission elemento e a classe do NAMESPACE. Essas permissões controlam o acesso aos recursos que estão disponíveis através de projetos de equipe. Você pode definir o nível de conjunto de permissões para as seguintes categorias de usuários:
Nível de conjunto de usuários e grupos, como, por exemplo, os administradores de conjuntos de projeto
Grupos de nível de projeto que foram adicionados ao nível de conjunto de seu servidor que está executandoTeam Foundation
Grupos personalizados que você criar e adiciona ao nível de coleção
Para o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.
Observação |
---|
Você pode definir essas permissões clicando com o servidor em Team Explorer e, em seguida, clicando em Security, abrindo e usando o console de administração para Team Foundation, ou usando o TFSSecurity e tf Ferramentas de linha de comando. Para obter mais informações, consulte Grupos de nível de conjunto, A alteração de grupos e permissões de TFSSecurity e Comando de permissão. |
O exemplo a seguir mostra como conceder permissões de nível de conjunto para os administradores de projeto para um projeto de equipe.
<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class=" NAMESPACE " allow="true" />
<permission name="WORK_ITEM_WRITE" class=" NAMESPACE " allow="true" />
<permission name="MANAGE_LINK_TYPES" class=" NAMESPACE " allow="true" />
<permission name="MANAGE_TEMPLATE" class=" NAMESPACE " allow="true" />
<permission name="MANAGE_TEST_CONTROLLERS" class=" NAMESPACE " allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões de nível de conjunto que você pode atribuir.
Observação |
---|
Por padrão, sem nível de conjunto de permissões são atribuídas em modelos de processo do MSF. |
Permissão |
Descrição |
---|---|
DIAGNOSTIC_TRACE |
Alterar configurações de rastreamento. Pode alterar as configurações de rastreamento para reunir informações de diagnóstico mais detalhadas sobre os serviços da Web para Team Foundation Server. |
CREATE_PROJECTS |
Criar novos projetos. Pode criar projetos da coleção de projeto de equipe. |
GENERIC_WRITE |
Editar informações do nível de conjunto. Pode editar o nível de conjunto de permissões para usuários e grupos na coleção de projeto de equipe. Os usuários que têm essa permissão podem executar as seguintes tarefas:
Além disso, os usuários que têm essa permissão podem modificar as permissões para controle de versão, e eles têm acesso de gravação para todos os arquivos de controle de versão, a menos que o acesso é negado explicitamente por outras permissões. |
MANAGE_TEMPLATE |
Gerenciar modelos de processo. Pode fazer o download, criar, editar e carregar modelos de processo para a coleção de projeto de equipe. |
MANAGE_TEST_CONTROLLERS |
Gerenciar controladores de teste. Pode registrar e de-register controladores de teste para a coleção de projeto de equipe. |
MANAGE_LINK_TYPES |
Gerenciar tipos de link do item de trabalho. Pode adicionar, remover e alterar os tipos de links para itens de trabalho. |
GENERIC_READ |
Exibir informações de nível de conjunto. Pode exibir membros de grupos de nível de conjunto e as permissões desses usuários. |
Atribuir permissões de nível de projeto
Você pode atribuir permissões de nível de projeto no arquivo de plug-in de grupos e permissões. Você atribuir essas permissões usando o grupo permission elemento e a classe do projeto. Essas permissões controlam o acesso aos recursos de um único projeto. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.
Observação |
---|
Após o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clicando com o projeto, clicando em As configurações de projeto de equipee, em seguida, clicando em Security. Você também pode definir essas permissões usando o TFSSecurity ferramenta de linha de comando. Para obter mais informações, consulte Managing Permissions. |
O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe.
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
<permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
<permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões de nível de projeto que você pode atribuir e indica as atribuições padrão que são feitas nos modelos de processo do MSF.
Permissão |
Descrição |
Leitores |
Colaboradores |
Construtores |
---|---|---|---|---|
GENERIC_READ |
Exibir informações de nível de projeto. Pode exibir membros de grupos de nível de projeto e as permissões desses membros. |
|||
VIEW_TEST_RESULTS |
Exibir execuções de teste. Pode exibir planos de teste nesse nó. |
|||
MANAGE_TEST_CONFIGURATIONS |
Gerenciar configurações de teste. Pode criar e excluir configurações de teste para o projeto de equipe. |
|||
MANAGE_TEST_ENVIRONMENTS |
Gerenciar ambientes de teste. Pode criar e excluir os ambientes de teste para o projeto de equipe. |
|||
PUBLISH_TEST_RESULTS |
Criar execuções de teste. Pode adicionar e remover os resultados de teste e adicionar ou modificar as execuções de teste para o projeto de equipe. |
|||
DELETE_TEST_RESULTS |
Excluir execuções de teste. Pode excluir um teste programado para o projeto de equipe. |
|||
DELETE |
Excluir um projeto de equipe. Pode excluir da Team Foundation Server o projeto para o qual o usuário tem permissão. |
|||
GENERIC_WRITE |
Editar informações do nível do projeto. Pode editar permissões de nível de projeto para usuários e grupos no Team Foundation Server. |
Atribuir permissões aos caminhos de controle de área
Você pode atribuir permissões que controlam o acesso às definições de área usando o grupo permission elemento e a classe de CSS_NODE. Essas permissões controlam o acesso à estrutura de classificação de um único projeto. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.
Observação |
---|
Após o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clicando com o projeto, clicando em áreas e iterações, clicando no área guia e, em seguida, clicando em Security. Você pode atribuir permissões a nós em níveis diferentes dentro da hierarquia. Você também pode definir essas permissões usando o TFSSecurity ferramenta de linha de comando. Para obter mais informações, consulte Managing Permissions. |
O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe.
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
<permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
<permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
<permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso para a estrutura hierárquica area do project e nós de iteração. A tabela também indica as atribuições padrão que são feitas nos modelos de processo do MSF.
Observação |
---|
Algumas operações para controlar os itens de trabalho exigem várias permissões. Por exemplo, você precisa de várias permissões para excluir um nó. |
Permissão |
Descrição |
Leitores |
Colaboradores |
Construtores |
---|---|---|---|---|
GENERIC_READ |
Exibir esse nó. Pode exibir as configurações de segurança de um nó de área. |
|||
WORK_ITEM_READ |
Exibir itens de trabalho nesse nó. Pode exibir, mas não alterar os itens de trabalho que são atribuídos a um nó de área. |
|||
WORK_ITEM_WRITE |
Editar itens de trabalho nesse nó. Pode editar os itens de trabalho que são atribuídos a um nó de área. |
|||
MANAGE_TEST_PLANS |
Gerenciar planos de teste. Pode criar e editar planos de teste que são atribuídos a um nó de área. Se não tiverem sido executados os planos de teste, você também pode excluir. |
|||
CREATE_CHILDREN |
Criar e solicitar nós filhos. Pode criar nós de área. Usuários que têm essa permissão e da permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar qualquer filho nó de área. |
|||
DELETE |
Excluir este nó. Pode excluir nós de área. Usuários que têm essa permissão e da permissão de GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de área e reclassificar itens de trabalho existentes a partir do nó excluído. Se o nó excluído tiver nós filho, esses nós também serão excluídos. |
|||
GENERIC_WRITE |
Editar este nó. Pode definir permissões e renomear nós de área. |
Atribuir permissões aos caminhos de controle de iteração
Você atribui permissões que controlam o acesso aos caminhos de iteração usando o grupo permission elemento e o ITERATION_NODE classe. Essas permissões controlam o acesso a versões de etapas ou iterações para um único projeto. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.
Observação |
---|
Após o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clicando com o projeto, clicando em áreas e iterações, clicando no iteração guia e, em seguida, clicando em Security. Você pode atribuir permissões a nós em níveis diferentes dentro da hierarquia. Você também pode definir essas permissões usando o TFSSecurity ferramenta de linha de comando. Para obter mais informações, consulte Managing Permissions. |
O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe:
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
<permission name="GENERIC_WRITE" class=" ITERATION _NODE" allow="true" />
<permission name=" CREATE_CHILDREN " class=" ITERATION _NODE" allow="true" />
</group>
A tabela a seguir descreve as permissões que você pode atribuir para controlar o acesso a estrutura hierárquica de nós de iteração do projeto. Porque os modelos de processo do MSF não especificarem as permissões de ITERATION_NODE, todos os membros da equipe podem criar, exibir e excluir nós de iteração.
Observação |
---|
Algumas operações para controlar os itens de trabalho exigem várias permissões. Por exemplo, você precisa de várias permissões para excluir um nó. |
Permissão |
Descrição |
---|---|
GENERIC_READ |
Exibir esse nó. Pode exibir as configurações de segurança para um nó. |
CREATE_CHILDREN |
Criar e solicitar nós filhos. Pode criar nós de iteração. Usuários que têm essa permissão e da permissão GRAVAÇÃO_GENÉRICA podem mover ou reordenar qualquer nó de iteração. |
DELETE |
Excluir este nó. Pode excluir nós de iteração. Usuários que têm essa permissão e da permissão de GRAVAÇÃO_GENÉRICA para outro nó podem excluir nós de iteração e reclassificar itens de trabalho existentes a partir do nó excluído. Se o nó excluído tiver nós filho, esses nós também serão excluídos. |
GENERIC_WRITE |
Editar este nó. Pode definir permissões para nós de iteração e renomear nós. |
A atribuição de permissões para gerenciar inscrições de eventos
Você pode atribuir permissões que controlam o acesso aos alertas do projeto usando o grupo permission elemento e a classe de EVENT_SUBSCRIPTION. Essas permissões controlam o acesso ao serviço de evento do projeto de uma única equipe. Você pode conceder acesso a usuários e grupos no Windows, grupos de Team Foundatione grupos que você definiu anteriormente o arquivo plug-in grupos e permissões. Para obter informações sobre o formato a ser usado quando você especifica os grupos, consulte Padrão de grupos definidos no Team Foundation Server de anteriormente neste tópico.
O exemplo a seguir mostra como conceder permissões de vários para o grupo de colaboradores para um projeto de equipe.
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="EVENT_SUBSCRIPTION" allow="true" />
<permission name="GENERIC_WRITE" class=" EVENT_SUBSCRIPTION" allow="true" />
<permission name="UNSUBSCRIBE" class=" EVENT_SUBSCRIPTION" allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões que você pode atribuir a controlar o acesso a inscrições de eventos.
Observação |
---|
Por padrão, nenhuma permissão de inscrição de evento é atribuído em modelos de processo do MSF. Todos os membros da equipe podem exibir, assinar e cancelar a inscrição para alertas do projeto. |
Permissão |
Descrição |
---|---|
GENERIC_READ |
Pode exibir alertas. |
GENERIC_WRITE |
Pode alterar as configurações de alerta. |
UNSUBSCRIBE |
Pode cancelar a inscrição de alertas. |
Consulte também
Conceitos
Grupos e permissões de plug-in
Configurando permissões de usuários e grupos
Personalizando as áreas funcionais dentro de um modelo de processo
Outros recursos
Controlando o acesso a áreas funcionais
Gerenciando a permissão para criar ou modificar itens de trabalho