Configurar grupos iniciais, equipes, membros e permissões
Usando o arquivo plug-in para grupos e permissões, você pode configurar as configurações de segurança iniciais para um projeto de equipe.Faça isso definindo as tarefas que criam grupos de segurança, aninham grupos, grupos definem como as equipes, definir as configurações iniciais de equipe, atribua membros a grupos, e permitem ou negam permissões específicas para cada grupo.Além de executar essas tarefas, você pode especificar configurações de segurança iniciais para o nível coleção, o nível do projeto, e as áreas de Project- classificação.
Os modelos de processo do Microsoft usa várias permissões para grupos padrão.Você pode alterar essas atribuições personalizando o arquivo plug-in para grupos e permissões.Para obter mais informações sobre este plug-in, consulte Definir grupos, equipes e permissões usando o plug-in Grupos e Permissões.
Neste tópico
Definindo e atribuir permissões para grupos usando o grupo, o membro, e os elementos de permissão do grupo
Macros de grupo e grupos padrões definidos no Team Foundation Server
Aninhando grupos e atribuir aos grupos membros
Definindo uma equipe
Permissões de nível de coleção de atribuição
Permissões de nível de projeto de atribuição
Permissões de atribuição aos caminhos da área de controle
Permissões de atribuição controlar caminhos de iteração
Para obter informações sobre como configurar as configurações de segurança iniciais para as áreas funcionais de um projeto de equipe, como Team Foundation Build, Controle de versão do Team Foundation, e Visual Studio Lab Management, consulte Controlar o acesso às áreas funcionais.
Para obter informações sobre como personalizar os tipos de itens de trabalho para permitir ou negar acesso aos grupos ou usuários, consulte Gerenciar permissão para criar ou modificar itens de trabalho.
Para obter mais informações sobre como administrar usuários e grupos e acesso do controle para Visual Studio Application Lifecycle Management (ALM), consulte Configurando permissões de usuários e grupos.
Definindo e atribuir permissões a grupos usando o grupo, o membro, e os elementos de permissão do grupo
Você pode usar os elementos de group e de member para especificar um novo grupo de segurança em Team Foundation Server e adicionar membros a esse grupo.Você pode usar o elemento de permission de grupo para atribuir permissões a um grupo e a membros do grupo.Você deve encapsular cada um desses elementos dentro dos elementos correspondentes do recipiente: groups, members, e permissions.Você usa o seguinte a estrutura de sintaxe para cada um desses elementos:
<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>
A tabela a seguir descreve os atributos para group, member, e os elementos de permission de grupo.Você usa esses elementos somente no arquivo plug-in de grupos e de permissões.
Elemento |
Atributo |
Descrição |
---|---|---|
group |
name |
Especifica o nome de grupo que você está criando. |
isTeam |
Indica se o grupo é uma equipetrue() ou nãofalse(). |
|
description |
Descreve a finalidade de grupo para outros usuários. |
|
member |
name |
Especifica o nome de um grupo que você está adicionando como um membro de outro grupo.Você pode criar grupos e preencha-o com os passos alguns dos seguintes tipos de membros:
Para obter informações sobre o formato para utilizar quando você especifica grupos padrão, consulte Grupos padrões definidos no Team Foundation Server posteriormente neste tópico. |
permission |
name |
Identifica permissão que está sendo aplicada.Para obter uma lista das permissões suportados, consulte as seguintes seções posteriores neste tópico:
|
class |
Identifica a classe, ou a área, onde a permissão de grupo é concedida.Os seguintes valores são válidas:
|
|
allow |
Usa um valor de true ou de false para indicar se a permissão é permitida ou negada. |
|
path |
Identifica o nó de caminho de área ou caminho de iteração onde a permissão está sendo aplicada.Esse atributo é válido somente quando class é definido como CSS_NODE ou a ITERATION_NODE. |
Macros de grupo e grupos padrões definidos no Team Foundation Server
A tabela a seguir lista as macros que você pode usar para especificar um grupo padrão que é definido em Team Foundation Server.
Observação |
---|
Você pode especificar macros na tabela somente no plug-in para grupos e permissões.Você não pode especificar esses macros quando você atribuir permissões usando plug-ins de compilação, versão, ou o gerenciamento de laboratório. |
Grupos padrão |
Macro |
---|---|
Administradores de coleção do Project |
[\ $$PROJECTCOLLECTIONADMINGROUP$$ SERVIDOR] [\ $$TEAMFOUNDATIONADMINGROUP$$ SERVIDOR] $$COLLECTIONADMINGROUP$$ |
Contas de serviço de coleção do Project |
[\ $$PROJECTCOLLECTIONSERVICESGROUP$$ SERVIDOR] |
Contas de serviço de compilação de coleção do Project |
[\ $$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ SERVIDOR] $$COLLECTIONBUILDSERVICESGROUP$$ |
Administradores de compilação de coleção do Project |
[\ $$PROJECTCOLLECTIONBUILDADMINSGROUP$$ SERVIDOR] $$COLLECTIONBUILDADMINISTRATORSGROUP$$ |
Administradores de Projeto |
$$PROJECTADMINGROUP$$ [\ $$PROJECTADMINGROUP$$ $$PROJECTNAME$$] [\ construtores $$PROJECTNAME$$] |
Criador de O |
$$CREATOR_OWNER$$ @creator |
Equipe padrão |
@defaultTeam |
Aninhando grupos e atribuir membros ao exemplo de grupos
O exemplo a seguir mostra como configurar os grupos que são nomeados TestGroup1, TestGroup2, e TestGroup3.Nesse exemplo, você adiciona TestGroup1 como um membro de TestGroup2.Para que este código é válida, você deve definir TestGroup1 antes que você defina TestGroup2.
<task id="GroupCreation1">
<taskXml>
<groups>
<group name="TestGroup1" description="Test group 1. Contains no members out of the box.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
</group>
<group name="TestGroup2" description="Test group 2. Contains TestGroup1 and Project Administrators.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="TestGroup1" />
<member name="$$PROJECTADMINGROUP$$" />
</members>
</group>
<group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="DOMAIN\USER" />
<member name="DOMAIN\GROUP" />
<member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
<member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
</members>
</group>
</groups>
</taskXml>
</task>
Definindo uma equipe
Além de criar grupos, você pode atribuir um grupo de equipe.Criar um projeto de equipe também cria uma equipe padrão.Se você tiver várias equipes que desejam organizar seu trabalho separada de outras equipes, você pode definir esses ou equipes no arquivo plug-in de grupos e permissões, ou você pode configurá-los depois de criar o projeto de equipe.Consulte Comece como equipe.
O exemplo a seguir mostra como configurar um grupo de equipe.Nesse exemplo, você especifica o grupo, equipe ideal em equipe, e o criador do projeto de equipe como um membro da equipe.O que caminhos de iteração que você especifica para a equipe deve ser definido no arquivo plug-in de classificações.Consulte Definir as áreas iniciais e as iterações no plug-in de classificação.
<group name="Dream Team" isTeam="true" description="Next generation work">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="@creator"/>
</members>
<teamSettings areaPath="Area">
<iterationPaths backlogPath="Iteration">
<iterationPath path="Release 1\Sprint 1" />
<iterationPath path="Release 1\Sprint 2" />
<iterationPath path="Release 1\Sprint 3" />
<iterationPath path="Release 1\Sprint 4" />
<iterationPath path="Release 1\Sprint 5" />
<iterationPath path="Release 1\Sprint 6" />
</iterationPaths>
</teamSettings>
</group>
Permissões de nível de coleção de atribuição
Você pode atribuir permissões de nível de coleção usando o elemento de permission de grupo e NAMESPACE da classe.Essas permissões de acesso a recursos que estão disponíveis através dos projetos de equipe.Você pode definir permissões de nível de coleção para somente as seguintes categorias de usuários:
Usuários e grupos de nível de coleção, como administradores de coleção do Project
Grupos de nível de projeto que foram adicionados à coleção em nível em seu servidor que está executando Team Foundation
Grupos personalizado que você cria e adiciona ao nível de coleção
Para que o formato use quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.
Observação |
---|
Você pode definir essas permissões clique com o botão direito do mouse no servidor em Team Explorer e clicando em Segurança, abrindo e usando o console de administração do Team Foundation, ou usando as ferramentas de linha de comando de TFSSecurity e de tf .Para obter mais informações, consulte Collection-Level Groups, A alteração de grupos e permissões com TFSSecurity, e Permission Command. |
O exemplo a seguir mostra como conceder permissões de nível de coleção para administradores de projeto para um projeto de equipe.
<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
<permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
<permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
<permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
<permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões de nível de coleção que você pode atribuir.
Observação |
---|
Por padrão, nenhuma permissão de nível de coleção é atribuída nos modelos de processo do MSF. |
Permissão |
Descrição |
---|---|
DIAGNOSTIC_TRACE |
Alterar configurações de rastreamento.Pode alterar as configurações de rastreamento para uma coleta informações de diagnóstico mais detalhada sobre serviços da Web para Team Foundation Server. |
CREATE_PROJECTS |
Criar novos projetos.Pode criar projetos na coleção de projeto de equipe. |
GENERIC_WRITE |
Editar informações em nível de coleção.Pode editar permissões de nível de coleção para usuários e grupos na coleção de projeto de equipe.Os usuários que têm essa permissão podem executar as seguintes tarefas:
Além disso, os usuários que têm essa permissão podem alterá-los permissões para o controle de versão, e têm acesso de gravação a todos os arquivos em controle de versão a menos que o acesso negado é explicitamente por outras permissões. |
MANAGE_TEMPLATE |
Gerenciar os modelos de processo.Pode baixar, criar, editar, e os modelos de processo de carregamento à coleção de projeto de equipe. |
MANAGE_TEST_CONTROLLERS |
Gerenciar controladores de teste.Pode registrar e cancelar o registro controladores de teste para a coleção de projeto de equipe. |
MANAGE_LINK_TYPES |
Gerenciar tipos de link de item de trabalho.Pode adicionar, remover, e altere os tipos de links para itens de trabalho. |
GENERIC_READ |
Exibir informações em nível de coleção.Pode exibir a associação de grupos de nível de coleção e permissões dos usuários. |
Permissões de nível de projeto de atribuição
Você pode atribuir permissões de nível de projeto no arquivo plug-in de grupos e de permissões.Você atribui essas permissões usando o elemento de permission de grupo e a classe de PROJECT.Acesso de controle dessas permissões para recursos de um único projeto.Você pode conceder o acesso a usuários e grupos no Windows, grupos em Team Foundation, e grupos que você definiu anteriormente no arquivo plug-in de grupos e de permissões.Para que o formato use quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.
Observação |
---|
Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Configurações de Projeto de Equipee em seguida, clicando em Segurança.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões. |
O exemplo a seguir mostra como conceder permissões várias ao grupo colaboradores para um projeto de equipe.
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
<permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
<permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões de nível de projeto que você pode atribuir e indica as atribuições padrões que são feitas nos modelos de processo do MSF.
Permissão |
Descrição |
Leitores |
Colaboradores |
Administradores de compilação |
---|---|---|---|---|
GENERIC_READ |
Visualizar informações em nível de projeto.Pode exibir a associação de grupos de nível de projeto e das permissões desses membros. |
|||
VIEW_TEST_RESULTS |
Exibir ensaios.Pode exibir planos de teste neste nó. |
|||
MANAGE_TEST_CONFIGURATIONS |
Gerenciar configurações de teste.Pode criar e excluir configurações de teste para o projeto de equipe. |
|||
MANAGE_TEST_ENVIRONMENTS |
Gerenciar ambientes de teste.Pode criar e excluir ambientes de teste para o projeto de equipe. |
|||
PUBLISH_TEST_RESULTS |
Crie ensaios.Pode adicionar e remover resultados de teste e adicionar ou alterar ensaios para o projeto de equipe. |
|||
DELETE_TEST_RESULTS |
Excluir ensaios.Pode excluir um teste agendada para o projeto de equipe. |
|||
DELETE |
Exclua o projeto de equipe.Pode excluir Team Foundation Server do projeto para que o usuário tem essa permissão. |
|||
GENERIC_WRITE |
Editar informações de nível de projeto.Pode editar permissões no nível do projeto para usuários e grupos em Team Foundation Server. |
Permissões de atribuição aos caminhos da área de controle
Você pode atribuir permissões que controlam o acesso às definições de área usando o elemento de permission de grupo e a classe de CSS_NODE.Acesso de controle dessas permissões para a estrutura de classificação de um único projeto.Você pode conceder o acesso a usuários e grupos no Windows, grupos em Team Foundation, e grupos que você definiu anteriormente no arquivo plug-in de grupos e de permissões.Para obter informações sobre o formato para utilizar quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.
Observação |
---|
Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Áreas e Iterações, clicando na guia de Área e em seguida, clicando em Segurança. Você pode atribuir permissões nós em diferentes níveis na hierarquia.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões. |
O exemplo a seguir mostra como conceder permissões várias ao grupo colaboradores para um projeto de equipe.
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
<permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
<permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
<permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões que você pode atribuir a acesso do controle à estrutura hierárquica para os nós da área e de iteração de projeto.A tabela também indica as atribuições padrões que são feitas nos modelos de processo do MSF.
Observação |
---|
Algumas operações para acompanhar itens de trabalho requerem várias permissões.Por exemplo, você precisa mais permissões excluir um nó. |
Permissão |
Descrição |
Leitores |
Colaboradores |
Administradores de compilação |
---|---|---|---|---|
GENERIC_READ |
Exibir este nó.Pode exibir as configurações de segurança para um nó da área. |
|||
WORK_ITEM_READ |
Exibir itens de trabalho neste nó.Pode exibir, mas não alterar, itens de trabalho que são atribuídos a um nó da área. |
|||
WORK_ITEM_WRITE |
Editar itens de trabalho neste nó.Pode editar itens de trabalho que são atribuídos a um nó da área. |
|||
MANAGE_TEST_PLANS |
Gerenciar planos de teste.Pode criar e editar os planos de teste que são atribuídos a um nó da área.Se os planos de teste não foram executados, você pode também exclua. |
|||
CREATE_CHILDREN |
Crie e ordenação nós filho.Pode criar nós da área.Os usuários que têm essa permissão e a permissão de GENERIC_WRITE podem mover ou requisitar novamente qualquer nó filho da área. |
|||
DELETE |
Excluir este nó.Pode excluir nós da área. Os usuários que têm essa permissão e a permissão de GENERIC_WRITE para outro nó podem excluir nós da área e reclassificar itens de trabalho existentes do nó excluído.Se o nó excluído possui nós filhos, os nós também são excluídos. |
|||
GENERIC_WRITE |
Editar este nó.Pode definir permissões para renomear e nós da área. |
Permissões de atribuição controlar caminhos de iteração
Você atribui as permissões que controlam o acesso aos caminhos de iteração usando o elemento de permission de grupo e a classe de ITERATION_NODE .Acesso de controle dessas permissões para versões de ou de iterações da etapa para um único projeto.Você pode conceder o acesso a usuários e grupos no Windows, grupos em Team Foundation, e grupos que você definiu anteriormente no arquivo plug-in de grupos e de permissões.Para obter informações sobre o formato para utilizar quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.
Observação |
---|
Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Áreas e Iterações, clicando na guia de Iteração e em seguida, clicando em Segurança.Você pode atribuir permissões nós em diferentes níveis na hierarquia.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões. |
O exemplo a seguir mostra como conceder permissões várias ao grupo colaboradores para um projeto de equipe:
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
<permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
<permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
</permissions>
</group>
A tabela a seguir descreve as permissões que você pode atribuir a acesso do controle à estrutura hierárquica para os nós de iteração do projeto.Como os modelos de processo do MSF não especificam as permissões de ITERATION_NODE , todos os membros da equipe podem criar, exibir, e excluir nós de iteração.
Observação |
---|
Algumas operações para acompanhar itens de trabalho requerem várias permissões.Por exemplo, você precisa mais permissões excluir um nó. |
Permissão |
Descrição |
---|---|
GENERIC_READ |
Exibir este nó.Pode exibir as configurações de segurança para um nó. |
CREATE_CHILDREN |
Crie e ordenação nós filho.Pode criar nós de iteração.Os usuários que têm essa permissão e a permissão de GENERIC_WRITE podem mover ou requisitar novamente qualquer nó de iteração. |
DELETE |
Excluir este nó.Pode excluir nós de iteração. Os usuários que têm essa permissão e a permissão de GENERIC_WRITE para outro nó podem excluir nós de iteração e reclassificar itens de trabalho existentes do nó excluído.Se o nó excluído possui nós filhos, os nós também são excluídos. |
GENERIC_WRITE |
Editar este nó.Pode definir permissões para nós de iteração e renomear nós. |
Consulte também
Conceitos
Definir grupos, equipes e permissões usando o plug-in Grupos e Permissões
Controlar o acesso às áreas funcionais
Configurando permissões de usuários e grupos
Personalizar as áreas funcionais em um modelo de processo
Outros recursos
Gerenciar permissão para criar ou modificar itens de trabalho
Alterar Histórico
Date |
History |
Razão |
---|---|---|
Em agosto de 2012 |
Adicionadas informações sobre a definição de equipes. |
Aprimoramento de informações. |