Team Foundation Server-Berechtigungen
Aktualisiert: November 2007
Die Autorisierungen für Benutzeraktionen wie Arbeitsbereichsverwaltung und Projekterstellung werden durch Berechtigungen festgelegt. Wenn Sie in Team Foundation Server ein Projekt erstellen, werden unabhängig von der ausgewählten Prozessvorlage für dieses Projekt vier Standardgruppen erstellt. Jede dieser Gruppen verfügt standardmäßig über eine Reihe von Berechtigungen, die für sie definiert wurden. In diesen Berechtigungen wird festgelegt, welche Mitglieder dieser Gruppen zu welchen Aktionen autorisiert sind.
Project Administrators
Contributors
Readers
Build Services
Um Standardgruppen zu verwalten und benutzerdefinierte Gruppen zu erstellen, müssen die Administratoren die Bedeutung der Berechtigungen und die Auswirkungen der expliziten Festlegung von Berechtigungen auf die Sicherheit kennen.
.gif "Hinweis") Hinweis: |
|---|
In diesem Thema werden keine Berechtigungen für Windows SharePoint Services oder SQL Reporting Services erläutert. In diesem Thema werden ausschließlich in Team Foundation Server festgelegte Berechtigungen erläutert. |
Berechtigungseinstellungen
Es gibt zwei explizite Autorisierungseinstellungen für Berechtigungen in Team Foundation Server: Verweigern und Zulassen. Weiterhin ist eine implizite Autorisierung verfügbar, mit der die Berechtigung weder auf Zulassen noch auf Verweigern festgelegt wird. Diese Autorisierung ist eine implizite Verweigern-Einstellung, die als nicht festgelegt bezeichnet wird.
Verweigern
Durch die Einstellung Verweigern wird dem Benutzer oder der Gruppe die Berechtigung zum Ausführen der Aktionen verweigert, die in der Berechtigungsbeschreibung aufgeführt werden. Verweigern ist die Berechtigungseinstellung mit höchster Priorität in Team Foundation Server. Wenn ein Benutzer zu einer Team Foundation Server-Gruppe gehört, für die eine bestimmte Berechtigung auf Verweigern festgelegt ist, kann der Benutzer diese Funktion nicht anwenden. Dies ist auch dann der Fall, wenn der Benutzer zu einer anderen Gruppe gehört, für die diese Berechtigung auf Zulassen festgelegt ist. Die einzige Ausnahme von dieser Regel sind Benutzer, die entweder Mitglied der Gruppe Projektadministratoren für ein Projekt oder Mitglied der Gruppe Team Foundation-Administratoren sind. Wenn ein Benutzer Mitglied der Gruppe Projektadministratoren für ein Projekt ist, werden für diesen Benutzer Autorisierungseinstellungen, die im Projekt explizit auf Verweigern festgelegt sind, durch die Berechtigungen dieser Gruppe überschrieben. Entsprechend werden für Mitglieder der Gruppe Team Foundation-Administratoren Autorisierungseinstellungen, die für diese Benutzer in Team Foundation Server explizit auf Verweigern festgelegt sind, durch die Berechtigungen dieser Gruppe überschrieben.
Zulassen
Durch die Einstellung Zulassen wird dem Benutzer oder der Gruppe die Berechtigung zum Ausführen der Aktionen erteilt, die in der Berechtigungsbeschreibung aufgeführt werden. Zulassen ist die Berechtigungseinstellung mit der zweithöchsten Priorität in Team Foundation Server. Diese Berechtigungseinstellung wird am häufigsten verwendet. Wenn Sie eine Berechtigung nicht explizit auf Zulassen festlegen, kann der Benutzer oder die Gruppe die betreffende Aktion in Team Foundation Server nicht ausführen.
Nicht festgelegt
Standardmäßig sind die meisten Berechtigungen in Team Foundation Server weder auf Verweigern noch auf Zulassen festgelegt. Die Berechtigungen werden als nicht festgelegt beibehalten, wodurch sowohl den Benutzern als auch den Gruppen die Berechtigung zum Ausführen der Aktionen gemäß der Berechtigungsbeschreibung implizit verweigert wird. Da die Berechtigung jedoch weder explizit auf Verweigern noch explizit auf Zulassen festgelegt ist, kann die Autorisierung für diese Berechtigung aus anderen Gruppen übernommen werden, in denen der Benutzer oder die Gruppe Mitglied ist.
Vererbung
Wenn eine Berechtigung für einen Benutzer oder eine Gruppe nicht festgelegt ist, kann für den Benutzer oder die Gruppe die explizite Einstellung für die Berechtigung der Gruppen gelten, in denen er bzw. sie Mitglied ist, da Berechtigungen in Team Foundation Server vererbbar sind. Beispiel: Wenn ein Benutzer zwei benutzerdefinierten Gruppen in einem Projekt zugewiesen ist und eine dieser Gruppen eine Berechtigung aufweist, die explizit auf Verweigern festgelegt ist, und dieselbe Berechtigung in der anderen Gruppe nicht festgelegt ist, kann der Benutzer die mit dieser Berechtigung gesteuerten Aktionen nicht ausführen. (Die Berechtigungen beider Gruppen werden übernommen, und die Einstellung Verweigern hat Vorrang vor der nicht festgelegten Einstellung.)
| Hinweis: |
|---|
Berechtigungen, die außerhalb von Team Foundation Server festgelegt werden, z. B. in Windows SharePoint Services, werden nicht in Team Foundation Server übernommen. Diese Berechtigungen werden in diesem Thema nicht erläutert. |
Bestimmte Autorisierungseinstellungen haben Vorrang gegenüber anderen Autorisierungseinstellungen. In Team Foundation Server hat die Berechtigung Verweigern Vorrang gegenüber allen anderen Berechtigungseinstellungen, einschließlich Zulassen. Angenommen, ein Benutzer gehört zu zwei Gruppen in einem Projekt. Für eine Gruppe ist die Berechtigung Testergebnisse veröffentlichen auf Verweigern festgelegt, für die andere Gruppe auf Zulassen. Die Einstellung Verweigern hat Vorrang, und der Benutzer ist somit nicht zum Veröffentlichen von Testergebnissen autorisiert. Die einzige Ausnahme von dieser Regel sind Benutzer, die entweder Mitglied der Gruppe Projektadministratoren für ein Projekt oder Mitglied der Gruppe Team Foundation-Administratoren sind. Wenn ein Benutzer Mitglied der Gruppe Projektadministratoren für ein Projekt ist, werden für diesen Benutzer Autorisierungseinstellungen, die im Projekt explizit auf Verweigern festgelegt sind, durch die Berechtigungen dieser Gruppe überschrieben. Entsprechend werden für Mitglieder der Gruppe Team Foundation-Administratoren Autorisierungseinstellungen, die für diese Benutzer in Team Foundation Server explizit auf Verweigern festgelegt sind, durch die Berechtigungen dieser Gruppe überschrieben.
Über die Team Foundation Server-Benutzeroberfläche und die Befehlszeile festgelegte Berechtigungen
Viele der Berechtigungen, die Sie für Team Foundation Server festlegen können, werden über die Team Foundation Server-Benutzeroberfläche gesteuert. Sie können diese Berechtigungen auf Serverbasis (Berechtigungen auf Serverebene) oder auf Projektbasis (Berechtigungen auf Projektebene) festlegen. Zudem können Sie Berechtigungen auf Bereichsebene zum Anzeigen und Interagieren mit Arbeitsaufgaben auf Projektbasis festlegen. Weitere Informationen darüber, welche Berechtigungen für welche Benutzer standardmäßig festgelegt werden und welche Berechtigungen für MSF for Agile Software Development-Gruppen oder MSF CMMI Process Improvement-Gruppen festgelegt werden, finden Sie unter Team Foundation Server: Standardgruppen, Berechtigungen und Rollen. Weitere Informationen über das Festlegen von Berechtigungen für Benutzer und Gruppen finden Sie unter Verwalten von Benutzern und Gruppen und Verwalten von Berechtigungen. Weitere Informationen über das Verwalten von Arbeitsaufgaben finden Sie unter Arbeiten mit Team Foundation-Arbeitsaufgaben.
Berechtigungen auf Serverebene
Berechtigungen auf Serverebene sind nicht projektspezifisch. Diese Berechtigungen werden auf einer serverweiten Basis festgelegt. Sie können diese Berechtigungen nur für drei Kategorien von Benutzern festlegen:
Benutzer und Gruppen auf Serverebene, z. B. Team Foundation-Administratoren
Gruppen auf Projektebene, die auf dem Team Foundation-Server zur Serverebene hinzugefügt wurden
Benutzerdefinierte Gruppen, die Sie erstellen und der Serverebene hinzufügen
Sie können diese Berechtigungen in Team Foundation Server festlegen, indem Sie in Team Explorer mit der rechten Maustaste auf den Server klicken und Sicherheit wählen. Sie können aber auch das TFSSecurity-Befehlszeilendienstprogramm verwenden, sofern es sich nicht um ein Befehlszeilendienstprogramm mit der Bezeichnung tf: handelt. Verwenden Sie für Programme mit der Bezeichnung tf: den Permission-Befehl des tf-Befehlszeilendienstprogramms für die Quellcodeverwaltung, um die Berechtigungen festzulegen. Weitere Informationen finden Sie unter Befehle des Befehlszeilendienstprogramms "TFSSecurity" und unter Befehl Permission.
Berechtigungsname |
Name in der Befehlszeile |
Beschreibung |
||
|---|---|---|---|---|
Abgelegte Änderungen verwalten |
tf: AdminShelvesets |
Benutzer mit dieser Berechtigung können von anderen Benutzern erstellte Shelvesets löschen. |
||
Warehouse verwalten |
ADMINISTER_WAREHOUSE |
Benutzer mit dieser Berechtigung können Warehouseeinstellungen mithilfe der ChangeSetting-Webmethode des Webdiensts WarehouseController.asmx ändern. Zum Beispiel können Sie zulassen, dass Benutzer das Aktualisierungsintervall zum Berechnen der OLAP-Cubes festlegen. |
||
Arbeitsbereiche verwalten |
tf: AdminWorkspaces |
Benutzer mit dieser Berechtigung können Arbeitsbereiche für andere Benutzer erstellen und von anderen Benutzern erstellte Arbeitsbereiche löschen. |
||
Arbeitsbereich erstellen |
tf: CreateWorkspace |
Benutzer mit dieser Berechtigung können in der Quellcodeverwaltung einen Arbeitsbereich erstellen. |
||
Neue Projekte erstellen |
CREATE_PROJECTS |
Benutzer mit dieser Berechtigung können in Team Foundation Server neue Projekte erstellen. Um erfolgreich neue Projekte erstellen zu können, müssen diese Benutzer Mitglied der Gruppe SharePoint-Zentraladministration in Windows SharePoint Server sein und in SQL Reporting Services über Inhalts-Manager-Berechtigungen verfügen. |
||
Serverebeneninformationen bearbeiten |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Benutzer mit dieser Berechtigung können Berechtigungen auf Serverebene für Benutzer und Gruppen in Team Foundation Server festlegen. Sie können Team Foundation Server-Anwendungsgruppen auf Serverebene in Team Foundation Server hinzufügen bzw. löschen. Durch Gewähren der Serverebeneninformation bearbeiten-Berechtigung über die Menüs erhält der Benutzer auch implizit die Berechtigung zum Ändern von Quellcodesteuerungs-Berechtigungen. Um alle oben beschriebenen Berechtigungen über die Befehlszeile zu gewähren, müssen Sie mit dem Befehl tf.exe Permission die AdminConfiguration-Berechtigung, die AdminConnections-Berechtigung sowie GENERIC_WRITE gewähren.
|
||
Ablaufverfolgungseinstellungen ändern |
DIAGNOSTIC_TRACE |
Benutzer mit dieser Berechtigung können die Ablaufverfolgungseinstellungen zum Erfassen genauerer Diagnoseinformationen über Team Foundation Server-Webdienste ändern. Weitere Informationen zur Ablaufverfolgung finden Sie unter Ablaufverfolgungseinstellungen für Team Foundation Server. |
||
Triggerereignisse |
TRIGGER_EVENT |
Benutzer mit dieser Berechtigung können Projektwarnungsereignisse in Team Foundation Server auslösen. Diese Berechtigung darf nur Dienstkonten zugewiesen werden. |
||
Prozessvorlage verwalten |
MANAGE_TEMPLATE |
Benutzer mit dieser Berechtigung können Prozessvorlagen herunterladen, erstellen, bearbeiten und in Team Foundation Server hochladen. |
||
Serverebeneninformationen anzeigen |
GENERIC_READ |
Benutzer mit dieser Berechtigung können die Gruppenmitgliedschaften auf Serverebene und die Berechtigungen der entsprechenden Benutzer anzeigen. |
||
Systemsynchronisierungsinformationen anzeigen |
SYNCHRONIZE_READ |
Benutzer mit dieser Berechtigung können Synchronisierungsereignisse auslösen. Diese Berechtigung darf nur Dienstkonten zugewiesen werden. |
Berechtigungen auf Projektebene
Berechtigungen auf Projektebene sind an die Benutzer und Gruppen eines einzelnen Projekts gebunden. Sie können diese Berechtigungen in Team Foundation Server festlegen, indem Sie in Team Explorer mit der rechten Maustaste auf das Projekt klicken und dann Teamprojekteinstellungen und anschließend Sicherheit wählen. Darüber hinaus können Sie diese Berechtigungen mithilfe des TFSSecurity-Befehlszeilendienstprogramms festlegen.
Berechtigungsname |
Name in der Befehlszeile |
Beschreibung |
|---|---|---|
Dieses Projekt löschen |
ENTFERNEN |
Benutzer mit dieser Berechtigung können das entsprechende Projekt auf dem Team Foundation Server löschen. |
Projektebeneninformationen bearbeiten |
GENERIC_WRITE |
Benutzer mit dieser Berechtigung können Berechtigungen auf Projektebene für Benutzer und Gruppen auf dem Team Foundation Server festlegen. |
Testergebnisse veröffentlichen |
PUBLISH_TEST_RESULTS |
Benutzer mit dieser Berechtigung können auf dem Teamprojektportal Testergebnisse und Testläufe hinzufügen oder entfernen. |
Projektebeneninformationen anzeigen |
GENERIC_READ |
Benutzer mit dieser Berechtigung können die Gruppenmitgliedschaften auf Projektebene und die Berechtigungen der entsprechenden Projektbenutzer anzeigen. |
Berechtigungen auf Buildebene
Berechtigungen auf Buildebene sind an die Benutzer und Gruppen eines einzelnen Projekts gebunden. Sie können diese Berechtigungen in festlegen, indem Sie in Team Explorer mit der rechten Maustaste auf das Projekt klicken und dann Teamprojekteinstellungen und anschließend Sicherheit wählen. Darüber hinaus können Sie diese Berechtigungen mithilfe des TFSSecurity-Befehlszeilendienstprogramms festlegen.
Berechtigungsname |
Name in der Befehlszeile |
Beschreibung |
|---|---|---|
Build verwalten |
ADMINISTER_BUILD |
Benutzer mit dieser Berechtigung können abgeschlossene Builds löschen und derzeit ausgeführte Builds stoppen. |
Buildqualität bearbeiten |
EDIT_BUILD_STATUS |
Benutzer mit dieser Berechtigung können über die Benutzeroberfläche von Team Foundation Build Informationen zur Qualität des Builds hinzufügen. Diese Informationen werden im Team Foundation Build-Datenbankspeicher gespeichert. |
Build starten |
START_BUILD |
Benutzer mit dieser Berechtigung können über die Benutzeroberfläche von Team Foundation Build oder die Befehlszeile einen Build starten. Diese Berechtigung ist auch erforderlich, um einen Build so zu konfigurieren, dass er unbegrenzt erhalten bleibt. |
In Buildbetriebsspeicher schreiben |
UPDATE_BUILD |
Diese Berechtigung muss dem Konto gewährt werden, unter dem der Builddienst ausgeführt wird, sodass der Team Foundation Build-Datenbankspeicher aktualisiert werden kann. Diese Berechtigung sollte nur Dienstkonten und nicht einzelnen Benutzern zugewiesen werden. |
Berechtigungen auf Bereichsebene zur Arbeitsaufgabenverfolgung
Berechtigungen auf Bereichsebene sind an die Benutzer und Gruppen eines einzelnen Projekts gebunden. Sie können diese Berechtigungen festlegen, indem Sie in Team Explorer mit der rechten Maustaste auf das Projekt klicken. Klicken Sie anschließend auf Bereiche und Iterationen, und klicken Sie auf der Registerkarte Bereich auf Sicherheit. Darüber hinaus können Sie diese Berechtigungen mithilfe des TFSSecurity-Befehlszeilendienstprogramms festlegen.
| Hinweis: |
|---|
Für einige Vorgänge in der Arbeitsaufgabenverfolgung sind mehrere Berechtigungen erforderlich. Zum Beispiel benötigen Sie mehrere Berechtigungen, um einen Knoten zu löschen. |
Berechtigungsname |
Name in der Befehlszeile |
Beschreibung |
|---|---|---|
Untergeordnete Knoten erstellen und anordnen |
CREATE_CHILDREN |
Benutzer mit dieser Berechtigung können neue Bereichsknoten erstellen. Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten können beliebige untergeordnete Bereichsknoten verschieben und neu anordnen. |
Diesen Knoten löschen |
ENTFERNEN |
Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten können Bereichsknoten löschen und vorhandene Arbeitsaufgaben aus dem gelöschten Knoten neu klassifizieren. Alle untergeordneten Knoten unter dem gelöschten übergeordneten Knoten werden ebenfalls gelöscht. |
Diesen Knoten bearbeiten |
GENERIC_WRITE |
Benutzer mit dieser Berechtigung können Bereichsknoten umbenennen. |
Arbeitsaufgaben in diesem Knoten bearbeiten |
WORK_ITEM_WRITE |
Benutzer mit dieser Berechtigung können Arbeitsaufgaben in diesem Bereichsknoten bearbeiten. |
Diesen Knoten anzeigen |
GENERIC_READ |
Benutzer mit dieser Berechtigung können die Sicherheitseinstellungen für diesen Knoten anzeigen. |
Arbeitsaufgaben in diesem Knoten anzeigen |
WORK_ITEM_READ |
Benutzer mit dieser Berechtigung können Arbeitsaufgaben in diesem Bereichsknoten anzeigen, aber nicht bearbeiten oder ändern. |
Berechtigungen auf Iterationsebene zur Arbeitsaufgabenverfolgung
Berechtigungen auf Iterationsebene sind an die Benutzer und Gruppen eines einzelnen Projekts gebunden. Sie können diese Berechtigungen festlegen, indem Sie in Team Explorer mit der rechten Maustaste auf das Projekt klicken. Klicken Sie anschließend auf Bereiche und Iterationen, und klicken Sie auf der Registerkarte Iterationen auf Sicherheit. Darüber hinaus können Sie diese Berechtigungen mithilfe des TFSSecurity-Befehlszeilendienstprogramms festlegen.
| Hinweis: |
|---|
Für einige Vorgänge in der Arbeitsaufgabenverfolgung sind mehrere Berechtigungen erforderlich. Zum Beispiel benötigen Sie mehrere Berechtigungen, um einen Knoten zu löschen. |
Berechtigungsname |
Name in der Befehlszeile |
Beschreibung |
|---|---|---|
Untergeordnete Knoten erstellen und anordnen |
CREATE_CHILDREN |
Benutzer mit dieser Berechtigung können neue Iterationsknoten erstellen. Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten können beliebige untergeordnete Iterationsknoten verschieben und neu anordnen. |
Diesen Knoten löschen |
ENTFERNEN |
Benutzer mit diesen beiden Berechtigungen und der Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten können Iterationsknoten löschen und vorhandene Arbeitsaufgaben aus dem gelöschten Knoten neu klassifizieren. Alle untergeordneten Knoten unter dem gelöschten übergeordneten Knoten werden ebenfalls gelöscht. |
Diesen Knoten bearbeiten |
GENERIC_WRITE |
Benutzer mit dieser Berechtigung können Iterationsknoten umbenennen. |
Diesen Knoten anzeigen |
GENERIC_READ |
Benutzer mit dieser Berechtigung können die Sicherheitseinstellungen für diesen Knoten anzeigen. |
Berechtigungen der Quellcodeverwaltung
Die Berechtigungen der Quellcodeverwaltung sind an Quellcodedateien und Quellcodeordner gebunden. Sie können diese Berechtigungen festlegen, indem Sie im Quellcodeverwaltungs-Explorer mit der rechten Maustaste auf den Ordner oder die Datei klicken. Klicken Sie auf Eigenschaften, und wählen Sie auf der Registerkarte Sicherheit den Benutzer oder die Gruppe aus, für den bzw. für die Berechtigungen geändert werden sollen. Bearbeiten Sie anschließend die unter Berechtigungen aufgelisteten Berechtigungen. Sie können diese Berechtigungen festlegen, indem Sie das tf-Befehlszeilendienstprogramm für die Quellcodeverwaltung verwenden.
Berechtigungsname |
Name in der Befehlszeile |
Beschreibung |
|---|---|---|
Lesen |
tf: Read |
Benutzer mit dieser Berechtigung können den Inhalt einer Datei oder eines Ordners lesen. Benutzer mit Lese-Berechtigungen für einen Ordner können den Inhalt des Ordners und die Eigenschaften der darin enthaltenen Dateien anzeigen. Dies ist auch dann der Fall, wenn der Benutzer nicht über die Berechtigungen zum Öffnen dieser Dateien verfügt. |
Auschecken |
tf: PendChange |
Benutzer mit dieser Berechtigung können Elemente in einem Ordner auschecken und ausstehende Änderungen an den Elementen in einem Ordner vornehmen. Beispiele für ausstehende Änderungen sind u. a. das Hinzufügen, Umbenennen, Löschen, Wiederherstellen, Verzweigen und das Zusammenführen einer Datei. |
Einchecken |
tf: Checkin |
Benutzer mit dieser Berechtigung können Elemente einchecken und alle übernommenen Changesetkommentare überarbeiten. Ausstehende Änderungen werden beim Einchecken übernommen. |
Bezeichnung |
tf: Label |
Benutzer mit dieser Berechtigung können Elemente beschriften. |
Sperren |
tf: Lock |
Benutzer mit dieser Berechtigung können Ordner oder Dateien sperren und entsperren. |
Änderungen anderer Benutzer überarbeiten |
tf: ReviseOther |
Benutzer mit dieser Berechtigung können die Kommentare zu eingecheckten Dateien bearbeiten. Dies ist auch dann möglich, wenn ein anderer Benutzer die Datei eingecheckt hat. |
Änderungen anderer Benutzer entsperren |
tf: UnlockOther |
Benutzer mit dieser Berechtigung können von anderen Benutzern gesperrte Dateien entsperren. |
Änderungen anderer Benutzer rückgängig machen |
tf: UndoOther |
Benutzer mit dieser Berechtigung können eine von einem anderen Benutzer vorgenommene ausstehende Änderung rückgängig machen. |
Bezeichnungen verwalten |
tf: LabelOther |
Benutzer mit dieser Berechtigung können von einem anderen Benutzer erstellte Bezeichnungen bearbeiten oder löschen. |
Sicherheitseinstellungen ändern |
tf: AdminProjRights |
Benutzer mit dieser Berechtigung können für diese Dateien und Ordner Berechtigungen festlegen. |
Änderungen anderer Benutzer einchecken |
tf: CheckinOther |
Benutzer mit dieser Berechtigung können von anderen Benutzern vorgenommene Änderungen einchecken. Beim Einchecken werden ausstehende Änderungen übernommen. |
Siehe auch
Aufgaben
Gewusst wie: Festlegen von Administratorberechtigungen für Team Foundation Server
Gewusst wie: Festlegen von Projektleiterberechtigungen für Team Foundation Server
Gewusst wie: Festlegen von Teilnehmerberechtigungen für Team Foundation Server
Gewusst wie: Festlegen von Leseberechtigungen für Team Foundation Server
Konzepte
Team Foundation Server: Standardgruppen, Berechtigungen und Rollen
Arbeiten mit Team Foundation-Arbeitsaufgaben
Weitere Ressourcen
Befehle des Befehlszeilendienstprogramms "TFSSecurity"
Befehlszeilenreferenz der Team Foundation-Versionskontrolle