Team Foundation Server 權(quán)限
權(quán)限決定了是否授權(quán)用戶進(jìn)行工作區(qū)管理和項(xiàng)目創(chuàng)建等操作。在 Team Foundation Server 中創(chuàng)建項(xiàng)目時,無論您選擇哪個過程模板,都會為項(xiàng)目創(chuàng)建四個默認(rèn)組。默認(rèn)情況下,為這些組各自定義了一組權(quán)限,這些權(quán)限決定了組成員可以執(zhí)行的操作。
· Project Administrator
· Contributor
· Reader
· Build Services。
要管理默認(rèn)組并創(chuàng)建自定義組,管理員必須了解權(quán)限的含義以及顯式設(shè)置權(quán)限引起的安全問題。
權(quán)限設(shè)置
Team Foundation Server 中的權(quán)限有兩種顯式授權(quán)設(shè)置:“拒絕”和“允許”。還有一種隱式授權(quán),它既不將權(quán)限設(shè)置為“允許”,也不將其設(shè)置為“拒絕”。該授權(quán)是一種隱式拒絕設(shè)置,又稱為“未設(shè)置”。
拒絕
“拒絕”不允許授權(quán)用戶或組執(zhí)行權(quán)限說明中提到的操作。“拒絕”是 Team Foundation Server 中最強(qiáng)大的權(quán)限設(shè)置。如果用戶所屬的 Team Foundation Server 組將特定權(quán)限設(shè)置為“拒絕”,那么即使用戶所屬的另一個組將該權(quán)限設(shè)置為“允許”,該用戶仍無法執(zhí)行此功能。此規(guī)則的唯一例外是用戶屬于項(xiàng)目的“Project Administrators”組的成員或者屬于“Team Foundation Administrators”組的成員的情況。如果用戶是項(xiàng)目的“Project Administrators”組的成員,則該組的權(quán)限將覆蓋該用戶在項(xiàng)目中的顯式“拒絕”。同樣,如果用戶是“Team Foundation Administrators”組的成員,則該組的權(quán)限將覆蓋該用戶在 Team Foundation Server 中的顯式“拒絕”。
允許
“允許”則允許授權(quán)用戶或組執(zhí)行權(quán)限說明中提到的操作。“允許”是 Team Foundation Server 中的第二大權(quán)限設(shè)置并且設(shè)置頻率最高,這是因?yàn)椴粚?quán)限顯式設(shè)置為“允許”,用戶或組就無法在 Team Foundation Server 中執(zhí)行任何操作。
未設(shè)置
默認(rèn)情況下,Team Foundation Server 中的多數(shù)權(quán)限既沒有設(shè)置為“拒絕”,也沒有設(shè)置為“允許”。權(quán)限處于“未設(shè)置”狀態(tài),它隱式拒絕授權(quán)用戶和組執(zhí)行權(quán)限說明中指定的操作。但是,因?yàn)闄?quán)限既沒有顯式設(shè)置為“拒絕”,也沒有顯式設(shè)置為“允許”,它可以從用戶或組所屬的其他組繼承授權(quán)。
繼承
當(dāng)用戶或組的權(quán)限為“未設(shè)置”時,因?yàn)?/span> Team Foundation Server 中的權(quán)限是可繼承的,所以用戶或組可能受到其所屬組權(quán)限的顯式設(shè)置的影響。如果用戶所屬的組已經(jīng)顯式設(shè)置權(quán)限,而在用戶所屬的另一個組未設(shè)置該權(quán)限,則用戶從第一個組繼承該權(quán)限的“允許”或“拒絕”設(shè)置。
某些授權(quán)設(shè)置優(yōu)先于其他授權(quán)設(shè)置。在 Team Foundation Server 中,“拒絕”權(quán)限優(yōu)先于包括“允許”在內(nèi)的所有其他權(quán)限設(shè)置。例如,用戶可能屬于一個項(xiàng)目中的兩個組。對于其中一個組,“發(fā)布測試結(jié)果”權(quán)限設(shè)置為“拒絕”;而另一個組則將此權(quán)限設(shè)置為“允許”。“拒絕”設(shè)置優(yōu)先級更高,用戶無權(quán)發(fā)布測試結(jié)果。此規(guī)則的唯一例外是用戶屬于項(xiàng)目的“Project Administrators”組的成員或者屬于“Team Foundation Administrators”組的成員的情況。如果用戶是項(xiàng)目的“Project Administrators”組的成員,則該組的權(quán)限將覆蓋該用戶在項(xiàng)目中的顯式“拒絕”。同樣,如果用戶是“Team Foundation Administrators”組的成員,則該組的權(quán)限將覆蓋該用戶在 Team Foundation Server 中的顯式“拒絕”。
通過 Team Foundation Server 用戶界面和命令行設(shè)置權(quán)限
許多要為 Team Foundation Server 設(shè)置的權(quán)限是通過 Team Foundation Server 用戶界面控制的。您可以根據(jù)服務(wù)器(服務(wù)器級別權(quán)限)或項(xiàng)目(項(xiàng)目級別權(quán)限)設(shè)置這些權(quán)限。您還可以根據(jù)項(xiàng)目為查看工作項(xiàng)以及與工作項(xiàng)交互設(shè)置區(qū)域級別權(quán)限。有關(guān)默認(rèn)情況下為哪些用戶設(shè)置哪些權(quán)限,以及為 MSF for Agile Software Development 或 MSF CMMI Process Improvement 組設(shè)置哪些權(quán)限的更多信息,
服務(wù)器級別權(quán)限
服務(wù)器級別權(quán)限并非特定于某個項(xiàng)目,而是根據(jù)服務(wù)器設(shè)置的。您只能為服務(wù)器級別用戶和組(如 Team Foundation Administrators)、已添加到 Team Foundation 服務(wù)器上的服務(wù)器級別的項(xiàng)目級別組以及創(chuàng)建并添加到服務(wù)器級別的自定義組設(shè)置這些權(quán)限。您可以通過在 Team Foundation Server 中右擊 團(tuán)隊(duì)資源管理器 中的服務(wù)器,然后單擊“安全”設(shè)置這些權(quán)限。您可以使用 TFSSecurity 命令行實(shí)用工具設(shè)置這些權(quán)限,帶有 tf: 標(biāo)識的權(quán)限除外。可使用源代碼管理的 tf 命令行實(shí)用工具的 Permission 命令設(shè)置這些權(quán)限。
|
權(quán)限名稱
|
命令行中的名稱
|
說明
|
|
管理擱置的更改
|
tf:AdminShelvesets
|
具有該權(quán)限的用戶可以刪除其他用戶創(chuàng)建的擱置集。
|
|
管理倉庫
|
ADMINISTER_WAREHOUSE
|
具有該權(quán)限的用戶可以使用 WarehouseController.asmx Web 服務(wù)的 ChangeSetting Web 方法更改倉庫設(shè)置。例如,您可以允許用戶設(shè)置計算 OLAP 多維數(shù)據(jù)集的更新時間間隔。
|
|
管理工作區(qū)
|
tf:AdminWorkspaces
|
具有該權(quán)限的用戶可以為其他用戶創(chuàng)建工作區(qū)并刪除其他用戶創(chuàng)建的工作區(qū)。
|
|
創(chuàng)建工作區(qū)
|
tf:CreateWorkspace
|
具有該權(quán)限的用戶可以創(chuàng)建源代碼管理工作區(qū)。
|
|
創(chuàng)建新項(xiàng)目
|
CREATE_PROJECTS
|
具有該權(quán)限的用戶可以在 Team Foundation Server 中創(chuàng)建新項(xiàng)目。為了成功創(chuàng)建新項(xiàng)目,這些用戶必須是 Windows SharePoint Server 中的“SharePoint Central Admins”組的成員,并且在 SQL Reporting Services 中有“內(nèi)容管理員”權(quán)限。
|
|
編輯服務(wù)器級的信息
|
GENERIC_WRITE
tf:AdminConfiguration
tf:AdminConnections
|
有此權(quán)限的用戶可編輯 Team Foundation Server 上用戶和組的服務(wù)器級別的權(quán)限。他們可以從 Team Foundation Server 上添加或移除服務(wù)器級別的 Team Foundation Server 應(yīng)用程序組。當(dāng)通過菜單設(shè)置時,“編輯服務(wù)器級別信息”權(quán)限還將隱式允許用戶修改源代碼管理權(quán)限。若要從命令行授予上述所有權(quán)限,必須使用 tf.exe Permission 命令授予 AdminConfiguration 和 AdminConnections 權(quán)限,以及 GENERIC_WRITE。
|
|
改變跟蹤設(shè)置
|
DIAGNOSTIC_TRACE
|
具有該權(quán)限的用戶可以更改跟蹤設(shè)置,以收集有關(guān) Team Foundation Server Web 服務(wù)的更詳細(xì)的診斷信息。
|
|
觸發(fā)事件
|
TRIGGER_EVENT
|
具有該權(quán)限的用戶可以在 Team Foundation Server 中觸發(fā)項(xiàng)目警報事件。該權(quán)限只應(yīng)指派給服務(wù)帳戶。
|
|
管理過程模板
|
MANAGE_TEMPLATE
|
具有該權(quán)限的用戶可以從 Team Foundation Server 下載、向其上載、創(chuàng)建和編輯過程模板。
|
|
查看服務(wù)器級別信息
|
GENERIC_READ
|
具有該權(quán)限的用戶可以查看服務(wù)器級別的組成員資格以及那些用戶的權(quán)限。
|
|
查看系統(tǒng)同步信息
|
SYNCHRONIZE_READ
|
有此權(quán)限的用戶可觸發(fā)同步事件。該權(quán)限只應(yīng)指派給服務(wù)帳戶。
|
項(xiàng)目級別權(quán)限
項(xiàng)目級別權(quán)限特定于單個項(xiàng)目的用戶和組。您可以通過在 Team Foundation Server 中右擊 團(tuán)隊(duì)資源管理器 中的項(xiàng)目,然后單擊“安全”設(shè)置這些權(quán)限。另外,您還可以使用 TFSSecurity 命令行實(shí)用工具設(shè)置這些權(quán)限。
|
權(quán)限名稱
|
命令行中的名稱
|
說明
|
|
管理版本
|
ADMINISTER_BUILD
|
具有該權(quán)限的用戶可以刪除完成的生成并停止正在進(jìn)行的生成。
|
|
刪除此項(xiàng)目
|
DELETE
|
有此權(quán)限的用戶可以從 Team Foundation Server 刪除他們有權(quán)刪除的項(xiàng)目。
|
|
編輯版本質(zhì)量
|
EDIT_BUILD_STATUS
|
具有該權(quán)限的用戶可以通過 Team Foundation Build 用戶界面添加版本質(zhì)量的相關(guān)信息。該信息存儲在 Team Foundation Build 數(shù)據(jù)庫存儲區(qū)中。
|
|
編輯項(xiàng)目級信息
|
GENERIC_WRITE
|
有此權(quán)限的用戶可編輯 Team Foundation Server 上用戶和組的項(xiàng)目級別的權(quán)限。
|
|
發(fā)布測試結(jié)果
|
PUBLISH_TEST_RESULTS
|
具有該權(quán)限的用戶可以添加或移除團(tuán)隊(duì)項(xiàng)目門戶的測試結(jié)果,也可以添加或移除測試運(yùn)行。
|
|
啟動版本
|
START_BUILD
|
具有該權(quán)限的用戶可以通過 Team Foundation Build 用戶界面或從命令行啟動版本。
|
|
查看項(xiàng)目級信息
|
GENERIC_READ
|
具有該權(quán)限的用戶可以查看項(xiàng)目級別的組成員資格以及那些項(xiàng)目用戶的權(quán)限。
|
|
寫入版本操作存儲區(qū)
|
UPDATE_BUILD
|
該權(quán)限必須授予運(yùn)行生成服務(wù)所使用的帳戶,以更新 Team Foundation Build 數(shù)據(jù)庫存儲區(qū)。該權(quán)限只應(yīng)指派給服務(wù)帳戶,不能指派給單個用戶。
|
工作項(xiàng)跟蹤區(qū)域級別權(quán)限
區(qū)域級別權(quán)限特定于單個項(xiàng)目的用戶和組。您可以通過以下方法設(shè)置這些權(quán)限:右擊 團(tuán)隊(duì)資源管理器 中的項(xiàng)目,然后單擊“區(qū)域和迭代”,然后在“區(qū)域”選項(xiàng)卡上單擊“安全”。另外,您還可以使用 TFSSecurity 命令行實(shí)用工具設(shè)置這些權(quán)限。
|
某些工作項(xiàng)跟蹤操作需要多種權(quán)限,如刪除節(jié)點(diǎn)。
|
|
權(quán)限名稱
|
命令行中的名稱
|
說明
|
|
創(chuàng)建子節(jié)點(diǎn)并對子節(jié)點(diǎn)排序
|
CREATE_CHILDREN
|
有此權(quán)限的用戶可以創(chuàng)建新的區(qū)域節(jié)點(diǎn)。有此權(quán)限以及“編輯此節(jié)點(diǎn)”權(quán)限的用戶可移動或重新排序任何子區(qū)域節(jié)點(diǎn)。
|
|
刪除此節(jié)點(diǎn)
|
DELETE
|
有此權(quán)限以及對另一個節(jié)點(diǎn)的“編輯此節(jié)點(diǎn)中的工作項(xiàng)”權(quán)限的用戶可刪除區(qū)域節(jié)點(diǎn)并對所刪節(jié)點(diǎn)中的現(xiàn)有工作項(xiàng)重新分類。刪除的父節(jié)點(diǎn)下的任何子節(jié)點(diǎn)將同時刪除。
|
|
編輯此節(jié)點(diǎn)
|
GENERIC_WRITE
|
具有該權(quán)限的用戶可以重命名區(qū)域節(jié)點(diǎn)。
|
|
編輯此節(jié)點(diǎn)中的工作項(xiàng)
|
WORK_ITEM_WRITE
|
具有該權(quán)限的用戶可以編輯此區(qū)域節(jié)點(diǎn)中的工作項(xiàng)。
|
|
查看此節(jié)點(diǎn)
|
GENERIC_READ
|
具有該權(quán)限的用戶可以查看此節(jié)點(diǎn)的安全設(shè)置。
|
|
查看此節(jié)點(diǎn)中的工作項(xiàng)
|
WORK_ITEM_READ
|
具有該權(quán)限的用戶可以查看,但不能編輯或更改此區(qū)域節(jié)點(diǎn)中的工作項(xiàng)。
|
源代碼管理權(quán)限
源代碼管理權(quán)限特定于源代碼文件和文件夾。可以通過以下方法設(shè)置這些權(quán)限:右擊源代碼管理資源管理器中的文件夾或文件,單擊“屬性”,在“安全”選項(xiàng)卡上選擇要更改權(quán)限的用戶或組,然后編輯“權(quán)限”中列出的權(quán)限。您也可以使用 tf(源代碼管理命令行實(shí)用工具)設(shè)置這些權(quán)限。
|
權(quán)限名稱
|
命令行中的名稱
|
說明
|
|
讀取
|
tf:Read
|
具有該權(quán)限的用戶可以讀取文件或文件夾的內(nèi)容。如果用戶對文件夾有“讀”權(quán)限,則即使用戶沒有打開文件的權(quán)限,用戶仍可以看到文件夾內(nèi)容以及文件夾中的文件的屬性。
|
|
簽出
|
tf:PendChange
|
具有該權(quán)限的用戶可以執(zhí)行簽出并對文件夾中的項(xiàng)執(zhí)行掛起更改。掛起更改的示例包括添加、重命名、刪除、撤消刪除、分支和合并文件。
|
|
簽入
|
tf:Checkin
|
具有該權(quán)限的用戶可以簽入項(xiàng)并修訂任何提交的變更集注釋。簽入時將提交掛起的更改。
|
|
標(biāo)簽
|
tf:Label
|
具有該權(quán)限的用戶可以對項(xiàng)進(jìn)行標(biāo)簽。
|
|
鎖定
|
tf:Lock
|
具有該權(quán)限的用戶可以鎖定或取消鎖定文件夾或文件。
|
|
修訂其他用戶的更改
|
tf:ReviseOther
|
即使其他用戶簽入了文件,具有該權(quán)限的用戶仍可以編輯該簽入文件上的注釋。
|
|
取消鎖定其他用戶的更改
|
tf:UnlockOther
|
具有該權(quán)限的用戶可以取消鎖定其他用戶鎖定的文件。
|
|
撤消其他用戶的更改
|
tf:UndoOther
|
具有該權(quán)限的用戶可以撤消其他用戶所做的掛起的更改。
|
|
管理標(biāo)簽
|
tf:LabelOther
|
具有該權(quán)限的用戶可以編輯或刪除其他用戶創(chuàng)建的標(biāo)簽。
|
|
操作安全設(shè)置
|
tf:AdminProjRights
|
具有該權(quán)限的用戶可以設(shè)置這些文件和文件夾的權(quán)限。
|
|
簽入其他用戶的更改
|
tf:CheckinOther
|
具有該權(quán)限的用戶可以簽入其他用戶所做的更改。簽入時將提交掛起的更改。
|