Steuern des Zugriffs auf Funktionsbereiche
Sie können die anfänglichen Sicherheitseinstellungen für die Funktionsbereiche eines Teamprojekts konfigurieren, z. B. Team Foundation-Versionskontrolle, Team Foundation Build und Visual Studio Lab Management. Die Prozessvorlagen für Microsoft Solutions Framework (MSF) weisen Standardsicherheitsgruppen mehrere Berechtigungen zu. Sie können diese Zuweisungen ändern, indem Sie die Plug-In-Datei für den entsprechenden Funktionsbereich anpassen.
Weitere Informationen zum Konfigurieren von Sicherheitsgruppen für Visual Studio Team Foundation Server finden Sie unter Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen.
Weitere Informationen zum Verwalten von Benutzern und Gruppen und zum Steuern des Zugriffs auf Visual Studio Application Lifecycle Management (ALM) finden Sie unter Verwalten von Benutzern und Gruppen in TFS.
Zuweisen von Berechtigungen zu Funktionsbereichen
Sie können mit dem permission-Funktionselement einer Sicherheitsgruppe in Team Foundation Server, einer Windows-Gruppe oder einer Windows-Identität Berechtigungen für Funktionsbereiche gewähren oder verweigern. Sie verwenden dieses Element in den Plug-In-Dateien für die Arbeitsaufgabennachverfolgung, Team Foundation-Versionskontrolle, Team Foundation Build und Lab Management. Das Berechtigungselement muss im entsprechenden Containerelement gekapselt werden: dem permissions-Element. Für das permission-Funktionselement wird folgende Syntaxstruktur verwendet:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
In der folgenden Tabelle werden die Attribute für das permission-Funktionselement beschrieben:
Attribut |
Beschreibung |
|---|---|
allow |
Bezeichnet die erteilten Berechtigungen. Sie geben Berechtigungen als durch Kommas getrennten Text an. Die Namen der Berechtigungen, die für die einzelnen Funktionsbereiche definiert wurden, finden Sie weiter unten in diesem Thema in den folgenden Abschnitten:
|
deny |
Bezeichnet die widerrufenen Berechtigungen. Sie geben Berechtigungen als durch Kommas getrennten Text an. Hinweis Verweigerte Berechtigungen haben Vorrang vor erteilten Berechtigungen. |
identity |
Gibt die Sicherheitsgruppe in Team Foundation Server, die Windows-Gruppe oder die Windows-Identität an, auf die diese Berechtigungen angewendet werden. Informationen zu dem beim Angeben von Gruppen zu verwendenden Format finden Sie in Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen unter "In Team Foundation Server definierte Standardgruppen". |
Im folgenden Beispiel wird gezeigt, wie der Gruppe Contributors Berechtigungen erteilt werden, um Builds und Builddefinitionen anzuzeigen, Builds zur Warteschlange hinzuzufügen und die Buildqualität zu bearbeiten.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
Hinweis
Wenn während der Laufzeit eine Berechtigung für eine Identität nicht gefunden wird, wird sie in allen anderen Gruppen gesucht, denen die Identität angehört.Wenn die Berechtigung nicht gefunden wird, wird sie standardmäßig verweigert.
Zuweisen von Berechtigungen für Arbeitsaufgabenabfragen
In der Plug-In-Datei "Arbeitsaufgaben" können Sie Berechtigungen zuweisen, die den Zugriff auf Teamabfrageordner steuern. Abfrageordnerberechtigungen sind für Abfragen und Abfrageordner spezifisch. Sie können Zugriff auf Benutzer und Gruppen in Windows oder auf Standardgruppen gewähren, die für Team Foundation Server definiert sind.
Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
Hinweis
Nach dem Erstellen des Teamprojekts können Sie Berechtigungen festlegen, indem Sie mit der rechten Maustaste zunächst auf einen Abfrageordner oder eine Abfrage in Team Explorer und dann auf Sicherheit klicken.Weitere Informationen finden Sie unter Festlegen von Berechtigungen für Abfragen.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die den Zugriff auf Abfrageordner und Abfragen steuern. In ihr werden außerdem die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind. Die Ersteller oder Besitzer von Abfragen und Abfrageordnern besitzen standardmäßig Vollzugriff auf die Verwaltung der Abfragen, die sie erstellt haben oder besitzen.
Berechtigung |
Beschreibung |
Leser, Mitwirkende, Generatoren |
Ersteller-Besitzer, Gruppe "Projektadministratoren", Projektauflistungsadministratoren |
|---|---|---|---|
Read |
Lesen. Anzeigen und Ausführen einer Abfrage oder Anzeigen eines Abfrageordners und seines Inhalts |
.png "Häkchen"){kind=icon} |
|
Contribute |
Mitwirken. Anzeigen und Bearbeiten einer Abfrage oder eines Abfrageordners und seines Inhalts |
|
|
Delete |
Löschen. Anzeigen, Bearbeiten und Löschen einer Abfrage oder eines Abfrageordners und seines Inhalts |
|
|
ManagePermissions |
Berechtigungen verwalten. Verwalten von Berechtigungen für eine Abfrage oder einen Abfrageordner und seinen Inhalt |
|
|
FullControl |
Vollzugriff. Anzeigen, Bearbeiten, Löschen und Verwalten von Berechtigungen für eine Abfrage oder einen Abfrageordner und seinen Inhalt |
|
Zuweisen von Berechtigungen für die Versionskontrolle
Sie können Berechtigungen zuweisen, die den Zugriff auf Quellcodedateien und -ordner steuern, indem Sie die Plug-In-Datei für die Versionskontrolle ändern. Die Berechtigungen der Versionskontrolle sind an Quellcodedateien und Quellcodeordner gebunden. Sie können Zugriff auf Benutzer und Gruppen in Windows oder Standardgruppen gewähren, die für Team Foundation Server definiert sind.
Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Hinweis
Nach dem Erstellen des Teamprojekts können Sie diese Berechtigungen festlegen, indem Sie im Quellcodeverwaltungs-Explorer mit der rechten Maustaste auf den Ordner oder die Datei klicken, Eigenschaften auswählen und die Registerkarte Sicherheit öffnen. Klicken Sie auf dieser Registerkarte auf den Benutzer oder die Gruppe, für den bzw. die Sie Berechtigungen ändern möchten, und bearbeiten Sie dann die unter Berechtigungen aufgeführten Berechtigungen.Sie können diese Berechtigungen auch mit dem tf-Befehlszeilentool für die Versionskontrolle oder dem TFSSecurity-Befehlszeilentool festlegen.Weitere Informationen finden Sie unter Berechtigungsreferenz für Team Foundation Server.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die den Zugriff auf Quellcodeverwaltungsdateien und -ordner steuern. In ihr werden außerdem die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind.
Berechtigung |
Beschreibung |
Leser |
Mitwirkende |
Generatoren |
Gruppe "Projektadministratoren" |
|---|---|---|---|---|---|
Read |
Lesen. Der Inhalt einer Datei oder eines Ordners kann angezeigt werden. Wenn ein Benutzer über die Berechtigung Lesen für einen Ordner, jedoch nicht für die in ihm enthaltenen Dateien verfügt, kann er die Namen und Eigenschaften dieser Dateien anzeigen, jedoch nicht die Dateien öffnen. |
|
|
|
|
PendChange |
Auschecken. Ein Element kann ausgecheckt werden, und es können ausstehende Änderungen an ihm vorgenommen werden. Beispiele für ausstehende Änderungen sind u. a. das Hinzufügen, Bearbeiten, Umbenennen, Löschen, Wiederherstellen, Verzweigen und Zusammenführen einer Datei. |
|
|
|
|
Merge |
Zusammenführen. Änderungen können mit dem Pfad zusammengeführt werden, für den Berechtigungen erteilt werden. |
|
|
|
|
Checkin |
Einchecken. Elemente können eingecheckt und Changesetkommentare mit ausgeführtem Commit überarbeitet werden. Für ausstehende Änderungen wird ein Commit ausgeführt, wenn der Benutzer das Element eincheckt. |
|
|
|
|
Label |
Bezeichnung. Elemente können mit Bezeichnungen versehen werden. |
|
|
|
|
Lock |
Sperren. Elemente können gesperrt werden, sodass sie nicht von anderen Benutzern aktualisiert werden können. |
|
|
|
|
ReviseOther |
Änderungen anderer Benutzer überarbeiten. Der Inhalt der Changesetkommentare und Eincheckhinweise eines anderen Benutzers können geändert werden. |
|
|||
UnlockOther |
Änderungen anderer Benutzer entsperren. Die Sperre eines anderen Benutzers kann aufgehoben werden. |
|
|||
UndoOther |
Änderungen anderer Benutzer rückgängig machen. Die ausstehenden Änderungen eines anderen Benutzers können rückgängig gemacht werden. |
|
|||
LabelOther |
Bezeichnungen verwalten. Die Bezeichnung eines anderen Benutzers kann geändert werden. |
|
|||
AdminProjectRights |
Berechtigungen verwalten. Die Sicherheitseinstellungen für die Versionskontrolle können konfiguriert werden. |
|
|||
CheckinOther |
Änderungen anderer Benutzer einchecken. Das Einchecken unter einem anderen Benutzernamen ist möglich. Diese Berechtigung ist für Konvertierungsdienstprogramme erforderlich. |
|
|||
ManageBranch |
Verzweigung verwalten. Benutzer mit dieser Berechtigung für einen angegebenen Pfad können alle Ordner in diesem Pfad in eine Verzweigung konvertieren. Darüber hinaus können Benutzer, die über diese Berechtigung für eine Verzweigung verfügen, deren Eigenschaften bearbeiten, eine neue Überordnung erstellen und sie in einen Ordner konvertieren. Benutzer mit dieser Berechtigung können diese Verzweigung nur verzweigen, wenn sie auch über die Berechtigung Zusammenführen für den Zielpfad verfügen. Benutzer können keine Verzweigungen aus einer Verzweigung erstellen, für die sie nicht die Berechtigung Verzweigung verwalten haben. |
|
Zuweisen von Buildberechtigungen
Sie können Berechtigungen zuweisen, die den Zugriff auf Buildaktivitäten steuern, indem Sie die Build-Plug-In-Datei ändern. Sie können Zugriff auf Benutzer und Gruppen in Windows und Gruppen in Team Foundation Server gewähren. Informationen zum beim Angeben von Gruppen zu verwendenden Format finden Sie in Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen unter "In definierte Team Foundation Server Standardgruppen".
Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Hinweis
Nach dem Erstellen des Teamprojekts können Sie diese Berechtigungen festlegen, indem Sie das Projekt in Team Explorer öffnen, mit der rechten Maustaste auf Builds klicken und dann auf Sicherheit klicken.Wenn Sie Berechtigungen auf einen Buildordner anwenden möchten, klicken mit der rechten Maustaste auf diesen Ordner, und klicken Sie dann auf Sicherheit.Wenn Sie Berechtigungen auf einen Buildordner anwenden möchten, klicken mit der rechten Maustaste auf diesen Ordner, und klicken Sie dann auf Sicherheit.Darüber hinaus können Sie diese Berechtigungen mithilfe des TFSSecurity-Befehlszeilentools festlegen.Weitere Informationen finden Sie unter Berechtigungsreferenz für Team Foundation Server.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die Sie zuweisen können, um den Zugriff auf die Buildfunktionen eines Teamprojekts zu steuern. In der Tabelle werden auch die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind.
Hinweis
Die Berechtigung Eincheckvalidierung durch Build überschreiben darf nur Dienstkonten für Builddienste und Buildadministratoren, die für die Qualität des Codes zuständig sind, erteilt werden. Weitere Informationen finden Sie unter Einchecken in einen Ordner, der von einem Buildprozess mit abgegrenztem Eincheckvorgang gesteuert wird.
Berechtigung |
Beschreibung |
Leser |
Mitwirkende |
Buildadministratoren |
Projektadministratoren |
Projektauflistungsadministratoren |
|---|---|---|---|---|---|---|
ViewBuildDefinition |
Builddefinition anzeigen. Es können alle Builddefinitionen angezeigt werden, die für das Teamprojekt erstellt wurden. |
|
|
|
|
|
ViewBuilds |
Builds anzeigen. Die in der Warteschlange stehenden und abgeschlossenen Builds für dieses Teamprojekt können angezeigt werden. |
|
|
|
|
|
EditBuildQuality |
Buildqualität bearbeiten. Es können Informationen zur Qualität des Builds über die Schnittstelle für Team Foundation Build hinzugefügt werden. |
|
|
|
|
|
QueueBuilds |
Builds zur Warteschlange hinzufügen. Über die Schnittstelle für Team Foundation Build oder an einer Eingabeaufforderung kann der Warteschlange ein Build hinzugefügt werden. |
|
|
|
|
|
DeleteBuildDefinition |
Builddefinition löschen. Builddefinitionen können gelöscht werden. |
|
|
|
||
DeleteBuilds |
Builds löschen. Ein fertig gestellter Build gelöscht werden. |
|
|
|
||
DestroyBuilds |
Builds zerstören. Ein abgeschlossener Build kann dauerhaft gelöscht werden. |
|
|
|
||
EditBuildDefinition |
Builddefinition bearbeiten. Builddefinitionen können erstellt und geändert werden. |
|
|
|
||
ManageBuildQualities |
Buildqualität verwalten. Buildqualitäten, z. B. Bereit für Bereitstellung, Abgelehnt oder Wird untersucht, können hinzugefügt oder entfernt werden. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Buildqualitätswerten. |
|
|
|
||
ManageBuildQueue |
Buildwarteschlange verwalten. Builds in der Warteschlange können abgebrochen oder verschoben werden, oder ihre Priorität kann geändert werden. |
|
|
|
||
RetainIndefinitely |
Unbegrenzt beibehalten. Ein Build kann gekennzeichnet werden, damit dieser nicht durch eine gültige Beibehaltungsrichtlinie automatisch gelöscht wird. |
|
|
|
||
StopBuilds |
Builds beenden. Ein Build, der ausgeführt wird, kann beendet werden. |
|
|
|
||
OverrideBuildCheckInValidation |
Eincheckvalidierung durch Build überschreiben. Es kann ein Commit für ein Changeset ausgeführt werden, das sich auf eine abgegrenzte Builddefinition auswirkt, ohne dass das System zunächst den Code ablegt und die Änderungen erstellt. Weitere Informationen finden Sie unter Einchecken in einen Ordner, der von einem Buildprozess mit abgegrenztem Eincheckvorgang gesteuert wird. |
|
||||
UpdateBuildInformation |
Buildinformationen aktualisieren. Es können Informationen über die Qualität eines Builds hinzugefügt werden. Diese Berechtigung darf nur Dienstkonten zugewiesen werden. |
Zuweisen von Berechtigungen für Lab Management
Sie können den Zugriff auf Aktivitäten in Lab Management steuern, indem Sie die Lab-Plug-In-Datei ändern. Berechtigungen für Lab Management gelten für bestimmte virtuelle Computer, Umgebungen und andere Ressourcen. Sie können Zugriff auf Benutzer und Gruppen in Windows und Gruppen in Team Foundation Server gewähren. Sie weisen diese Berechtigungen mit dem permission-Funktionselement zu, wie im folgenden Beispiel gezeigt:
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Hinweis
Sie können mit dem TFSLabConfig-Befehlszeilentool Berechtigungen für Lab Management festlegen.Um Informationen zu einer bestimmten Lab-Ressource anzuzeigen, müssen Sie über die Berechtigung Lesen für diese Ressource verfügen.Um einen Speicherort zu löschen, müssen Sie über die Berechtigung Lab-Speicherorte löschen für diesen Speicherort verfügen. Weitere Informationen finden Sie unter TFSLabConfig Permissions-Befehl.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die Sie für die Steuerung des Zugriffs auf Visual Studio Lab Management Management zuweisen können. In der Tabelle werden auch die Standardzuweisungen angegeben, die in den MSF-Prozessvorlagen festgelegt sind.
Berechtigung |
Beschreibung |
Leser |
Mitwirkende |
Gruppe "Builddienstkonten für die Projektauflistung" |
Gruppe "Teamprojektadministratoren" |
Gruppe "Projektauflistungsadministratoren" |
|---|---|---|---|---|---|---|
Read |
Lab-Ressourcen anzeigen. Es können Informationen zu den verschiedenen Ressourcen für Lab Management angezeigt werden, einschließlich Informationen zu Auflistungshostgruppen, Projekthostgruppen und Umgebungen. |
|
|
|
|
|
Create |
Virtuellen Computer importieren. Es kann ein virtueller Computer aus einer VMM (Virtual Machine Manager)-Bibliotheksfreigabe importiert werden. Diese Berechtigung unterscheidet sich von "Schreiben", da Benutzer in Lab Management ein Objekt erstellen können, jedoch nicht in die VMM-Hostgruppe oder die Bibliotheksfreigabe schreiben können. |
|
|
|
||
Write |
Umgebung und virtuelle Computer schreiben. Umgebungen können erstellt werden. Benutzer mit dieser Berechtigung für eine Projektbibliotheksfreigabe können Umgebungen und virtuelle Computer speichern. |
|
|
|
|
|
Edit |
Umgebung und virtuelle Computer bearbeiten. Umgebungen und virtuelle Computer können bearbeitet werden. Die Berechtigung wird für das zu bearbeitende Objekt überprüft. |
|
|
|
|
|
Start |
Starten. Umgebungen können gestartet werden. |
|
|
|
|
|
Stop |
Beenden. Umgebungen können beendet werden. |
|
|
|
|
|
Pause |
Anhalten. Umgebungen können angehalten werden. |
|
|
|
||
ManageSnapshots |
Momentaufnahmen verwalten. Es können alle Verwaltungsaufgaben für Momentaufnahmen ausgeführt werden, u. a. das Erstellen, Wiederherstellen, Umbenennen, Löschen und Lesen einer Momentaufnahme. |
|
|
|
|
|
Delete |
Umgebungen und virtuelle Computer löschen. Umgebungen und virtuelle Computer können gelöscht werden. Die Berechtigung wird für das zu löschende Objekt überprüft. |
|
|
|||
ManageLocation |
Lab-Speicherorte verwalten. Die Speicherorte von Lab Management-Ressourcen, einschließlich der Speicherorte für Auflistungshostgruppen, Auflistungsbibliotheksprojekte, Projekthostgruppen und Projektbibliotheksfreigaben, können bearbeitet werden. Diese Berechtigung für Speicherorte auf Auflistungsebene (Auflistungshostgruppen und Auflistungsbibliotheksfreigaben) ermöglicht es einem Benutzer außerdem, Speicherorte auf Projektebene (Projekthostgruppen und Projektbibliotheksfreigaben) zu erstellen. |
|
|
|||
DeleteLocation |
Lab-Speicherorte löschen. Die Speicherorte von Lab Management-Ressourcen, einschließlich der Speicherorte für Auflistungshostgruppen, Auflistungsbibliotheksfreigaben, Projekthostgruppen und Projektbibliotheksfreigaben, können gelöscht werden. |
|
|
|||
ManageChildPermissions |
Untergeordnete Berechtigungen verwalten. Die Berechtigungen aller untergeordneten Objekte von Lab Management können geändert werden. Wenn beispielweise ein Benutzer über diese Berechtigung für eine Teamprojekt-Hostgruppe verfügt, kann er die Berechtigungen für alle Umgebungen unterhalb dieser Gruppe ändern. |
|
|
|||
ManagePermissions |
Berechtigungen verwalten. Die Berechtigungen für ein Objekt von Lab Management können geändert werden. Diese Berechtigung wird für das Objekt überprüft, dessen Berechtigungen geändert werden. |
|
||||
EnvironmentOps |
Vorgänge in der Umgebung. Zusätzlich zum Ausführen von anderen Vorgängen in einer Umgebung können Momentaufnahmen gestartet, beendet, angehalten und verwaltet werden. |
Siehe auch
Konzepte
Konfigurieren von anfänglichen Gruppen, Teams, Mitgliedern und Berechtigungen