Configurar grupos equipos, miembros y permisos iniciales
Con el archivo de complemento para Grupos y Permisos, puede configurar los valores de seguridad iniciales de un proyecto de equipo. Para ello, debe definir las tareas que crean los grupos de seguridad, anidan grupos, definen grupos como equipos, configuran los valores de equipo iniciales, asignan miembros a grupos, y permiten o deniegan permisos específicos para cada grupo. Además de realizar estas tareas, puede especificar los valores de seguridad iniciales para las áreas de nivel de colección, nivel de proyecto y clasificación de proyecto.
Las plantillas de proceso de Microsoft asignan varios permisos a los grupos predeterminados. Puede modificar dichas asignaciones si personaliza el archivo de complemento para Grupos y Permisos. Para obtener más información sobre este complemento, vea Definir grupos, equipos y permisos mediante el complemento Grupos y permisos.
En este tema
Definir y asignar permisos a grupos
Macros de grupo y grupos predeterminados
Anidar grupos y asignar miembros a grupos
Definir un equipo
Asignar permisos de nivel de colección
Asignar permisos de nivel de proyecto
Asignar permisos para controlar las rutas de acceso de área
Asignar permisos para controlar las rutas de acceso de iteración
Para obtener más información sobre cómo configurar los valores de seguridad iniciales para las áreas funcionales de un proyecto de equipo, como Team Foundation Build, control de versiones de Team Foundation y Visual Studio Lab Management, vea Controlar el acceso a las áreas funcionales.
Para obtener más información sobre cómo personalizar los tipos de elementos de trabajo para permitir o denegar el acceso a grupos o usuarios, vea Aplicar una regla a un campo de elemento de trabajo.
Para obtener más información sobre cómo administrar usuarios y grupos, y cómo controlar el acceso de Visual Studio Application Lifecycle Management (ALM), vea Administrar usuarios o grupos en TFS.
Definir y asignar permisos a grupos
Puede usar los elementos group y member para especificar un nuevo grupo de seguridad en Team Foundation Server y agregar miembros a dicho grupo. Puede usar el elemento permission de grupo para asignar permisos a un grupo y a los miembros de dicho grupo. Debe encapsular cada uno de estos elementos en sus elementos contenedores correspondientes: groups, members y permissions. Use la estructura de sintaxis siguiente para cada uno de estos elementos:
<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>
En la tabla siguiente se describen los atributos de los elementos group, member y permission de grupo. Use estos elementos solamente en el archivo de complemento de Grupos y Permisos.
Elemento |
Atributo |
Descripción |
|---|---|---|
group |
name |
Especifica el nombre del grupo que está creando. |
isTeam |
Indica si el grupo es un equipo (verdadero) o no (false). |
|
description |
Describe a otros usuarios la finalidad del grupo. |
|
member |
name |
Especifica el nombre de un grupo que está agregando como miembro de otro grupo. Puede crear grupos y rellenarlos previamente con cualquiera de los siguientes tipos de miembros:
Para obtener información sobre el formato que debe usar al especificar los grupos predeterminados, consulte la sección Macros de grupos y grupos predeterminados más adelante en este tema. |
permission |
name |
Identifica qué permiso se aplica. Para ver una lista de los permisos admitidos, consulte las siguientes secciones más adelante en este tema:
|
class |
Identifica la clase, o el área, donde se concede el permiso de grupo. Valores válidos son:
|
|
allow |
Usa un valor true o false para indicar si se concede o se deniega el permiso. |
|
path |
Identifica el nodo de la ruta de acceso del área o de la iteración donde se aplica el permiso. Este atributo solo es válido cuando la class se establece en CSS_NODE o ITERATION_NODE. |
Macros de grupo y grupos predeterminados
En la tabla siguiente se enumeran las macros que puede usar para especificar un grupo predeterminado definido en Team Foundation Server.
Nota
Puede especificar las macros de la tabla siguiente solo en el complemento de Grupos y Permisos.No puede especificar estas macros si asigna permisos mediante los complementos para compilación, control de versiones y administración del laboratorio.
Grupos predeterminados |
Macro |
|---|---|
Project Collection Administrators |
[SERVER]\$$PROJECTCOLLECTIONADMINGROUP$$ [SERVER]\$$TEAMFOUNDATIONADMINGROUP$$ $$COLLECTIONADMINGROUP$$ |
Cuentas de servicio de la colección de proyectos |
[SERVER]\$$PROJECTCOLLECTIONSERVICESGROUP$$ |
Cuentas de servicio de compilación de la colección de proyectos |
[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ $$COLLECTIONBUILDSERVICESGROUP$$ |
Administradores de compilación de la colección de proyectos |
[SERVER]\$$PROJECTCOLLECTIONBUILDADMINSGROUP$$ $$COLLECTIONBUILDADMINISTRATORSGROUP$$ |
Project Administrators |
$$PROJECTADMINGROUP$$ [$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$ [$$PROJECTNAME$$]\Builders |
Creador del proyecto |
$$CREATOR_OWNER$$ @creator |
Equipo predeterminado |
@defaultTeam |
Ejemplo: anidar grupos y asignar miembros a grupos
El ejemplo siguiente muestra cómo configurar los grupos que se llamarán TestGroup1, TestGroup2 y TestGroup3. En este ejemplo, agregará el TestGroup1 como miembro del TestGroup2. Para que el código sea válido, debe definir el TestGroup1 antes de definir el TestGroup2.
<task id="GroupCreation1">
<taskXml>
<groups>
<group name="TestGroup1" description="Test group 1. Contains no members out of the box.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
</group>
<group name="TestGroup2" description="Test group 2. Contains TestGroup1 and Project Administrators.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="TestGroup1" />
<member name="$$PROJECTADMINGROUP$$" />
</members>
</group>
<group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="DOMAIN\USER" />
<member name="DOMAIN\GROUP" />
<member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
<member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
</members>
</group>
</groups>
</taskXml>
</task>
Definir un equipo
Además de crear grupos, puede asignar un grupo como equipo. Cuando se crea un proyecto de equipo, también se crea un equipo predeterminado. Si cuenta con varios equipos que desean organizar su trabajo de manera independiente de los demás equipos, puede definir dichos equipos en el archivo de complemento de Grupos y Permisos, o puede configurarlos después de crear el proyecto de equipo. Vea Agregar otro equipo o una jerarquía de equipos.
En el ejemplo siguiente se muestra cómo configurar un grupo como equipo. En este ejemplo, especifica como equipo el grupo llamado Dream Team y agrega al creador del proyecto de equipo como miembro del equipo. Independientemente de qué rutas de iteración especifique para el equipo, deben estar definidas en el archivo de complemento Clasificaciones. Vea Definir el complemento de clasificación.
<group name="Dream Team" isTeam="true" description="Next generation work">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
</permissions>
<members>
<member name="@creator"/>
</members>
<teamSettings areaPath="Area">
<iterationPaths backlogPath="Iteration">
<iterationPath path="Release 1\Sprint 1" />
<iterationPath path="Release 1\Sprint 2" />
<iterationPath path="Release 1\Sprint 3" />
<iterationPath path="Release 1\Sprint 4" />
<iterationPath path="Release 1\Sprint 5" />
<iterationPath path="Release 1\Sprint 6" />
</iterationPaths>
</teamSettings>
</group>
Asignar permisos de nivel de colección
Puede asignar permisos de nivel de colección mediante el elemento permission de grupo y la clase NAMESPACE. Estos permisos controlan el acceso a los recursos disponibles en los proyectos de equipo. Solo puede establecer permisos de nivel de colección para las siguientes categorías de usuarios:
Usuarios y grupos en el nivel de colección, como Administradores de la colección de proyectos
Grupos de nivel de proyecto que se han agregado al nivel de colección en un servidor que ejecuta Team Foundation
Grupos personalizados que se crean y agregan al nivel de colección
Para ver qué formato se debe usar al especificar grupos, consulte la sección Macros de grupo y grupos predeterminados anteriormente en este tema.
Nota
Puede establecer estos permisos haciendo clic con el botón secundario en el servidor en el Team Explorer y después haciendo clic en Seguridad, abriendo y usando la consola de administración de Team Foundation o usando las herramientas de línea de comandos TFSSecurity y tf.Para obtener más información, vea Grupos de nivel de colección, Cambiar grupos y permisos con TFSSecurity y Permission (Comando).
El ejemplo siguiente muestra cómo conceder permisos de nivel de colección a los administradores de un proyecto de equipo.
<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
<permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
<permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
<permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
<permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
</permissions>
</group>
En la tabla siguiente se describen los permisos de nivel de colección que puede asignar.
Nota
De manera predeterminada, no se asignan permisos de nivel de colección en las plantillas de proceso de MSF.
Permiso |
Descripción |
|---|---|
DIAGNOSTIC_TRACE |
Modificar la configuración de seguimiento. Se puede cambiar la configuración de seguimiento para recopilar información de diagnóstico más detallada sobre los servicios web de Team Foundation Server. |
CREATE_PROJECTS |
Crear nuevos proyectos. Pueden crear proyectos en la colección de proyectos de equipo. |
GENERIC_WRITE |
Editar información de nivel de colección. Se pueden editar los permisos de nivel de colección para los usuarios y los grupos de la colección de proyectos de equipo. Los usuarios con este permiso pueden realizar las tareas siguientes:
Además, los usuarios que disponen de este permiso pueden modificar los permisos para el control de versiones, y tienen acceso de escritura a todos los archivos del control de versiones, a menos que otros permisos les denieguen explícitamente el acceso. |
MANAGE_TEMPLATE |
Administrar plantillas de proceso. Se pueden descargar, crear, editar y cargar plantillas de proceso en la colección de proyectos de equipo. |
MANAGE_TEST_CONTROLLERS |
Administrar controladores de pruebas. Se pueden registrar y eliminar del registro controladores de pruebas para la colección de proyectos de equipo. |
MANAGE_LINK_TYPES |
Administrar tipos de vínculo de los elementos de trabajo. Se pueden agregar, quitar y cambiar los tipos de vínculos para los elementos de trabajo. |
GENERIC_READ |
Ver información de nivel de colección. Se puede ver la pertenencia a grupos de nivel de colección y los permisos de esos usuarios. |
Asignar permisos de nivel de proyecto
Puede asignar permisos de nivel de proyecto en el archivo de complemento de Grupos y Permisos. Asigne estos permisos mediante el elemento permission de grupo y la clase PROJECT. Estos permisos controlan el acceso a los recursos de un solo proyecto. Puede conceder acceso a los usuarios y grupos de Windows, a grupos de Team Foundation y a los grupos que haya definido previamente en el archivo de complemento de Grupos y Permisos. Para ver qué formato se debe usar al especificar grupos, consulte la sección Macros de grupo y grupos predeterminados anteriormente en este tema.
El ejemplo siguiente muestra cómo conceder varios permisos al grupo Colaboradores de un proyecto de equipo.
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="PROJECT" allow="true" />
<permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
<permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
<permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
</permissions>
</group>
En la tabla siguiente se describen los permisos de nivel de proyecto que puede asignar y se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Permiso |
Descripción |
Lectores |
Contributors |
Administradores de compilación |
|---|---|---|---|---|
GENERIC_READ |
Ver información de nivel de proyecto. Se puede ver la pertenencia a grupos de nivel de proyecto y los permisos de esos miembros. |
.png "marca de verificación"){kind=icon} |
|
|
VIEW_TEST_RESULTS |
Ver ejecuciones de pruebas. Se pueden ver los planes de pruebas en este nodo. |
|
|
|
MANAGE_TEST_CONFIGURATIONS |
Administrar configuraciones de prueba. Se pueden crear y eliminar las configuraciones de prueba del proyecto de equipo. |
|
|
|
MANAGE_TEST_ENVIRONMENTS |
Administrar entornos de prueba. Se pueden crear y eliminar los entornos de prueba del proyecto de equipo. |
|
|
|
PUBLISH_TEST_RESULTS |
Crear ejecuciones de pruebas. Se pueden agregar y quitar resultados de pruebas y agregar o modificar ejecuciones de pruebas del proyecto de equipo. |
|
|
|
DELETE_TEST_RESULTS |
Eliminar ejecuciones de pruebas. Se puede eliminar una prueba programada para el proyecto de equipo. |
|
|
|
DELETE |
Eliminar proyecto de equipo. Se puede eliminar de Team Foundation Server el proyecto para el que se ha concedido el permiso al usuario. |
|||
GENERIC_WRITE |
Editar información de nivel de proyecto. Se pueden editar permisos de nivel de proyecto para usuarios y grupos de Team Foundation Server. |
Asignar permisos para controlar las rutas de acceso de área
Puede asignar permisos que controlan el acceso a definiciones de área mediante el elemento permission de grupo y la clase CSS_NODE. Estos permisos controlan el acceso a la estructura de clasificación de un solo proyecto. Puede conceder acceso a los usuarios y grupos de Windows, a grupos de Team Foundation y a los grupos que haya definido previamente en el archivo de complemento de Grupos y Permisos. Para obtener información sobre qué formato usar al especificar grupos, consulte la sección Macros de grupo y grupos predeterminados anteriormente en este tema.
El ejemplo siguiente muestra cómo conceder varios permisos al grupo Colaboradores de un proyecto de equipo.
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
<permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
<permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
<permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
</permissions>
</group>
En la tabla siguiente se describen los permisos que puede asignar para controlar el acceso a la estructura jerárquica de los nodos de área e iteración del proyecto. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Nota
Algunas operaciones para realizar un seguimiento de elementos de trabajo requieren varios permisos.Por ejemplo, necesitará varios permisos para eliminar un nodo.
Permiso |
Descripción |
Lectores |
Contributors |
Administradores de compilación |
|---|---|---|---|---|
GENERIC_READ |
Ver este nodo. Se puede ver la configuración de seguridad de un nodo de área. |
|
|
|
WORK_ITEM_READ |
Ver los elementos de trabajo en este nodo. Se pueden ver, pero no cambiar, los elementos de trabajo asignados a un nodo de área. |
|
|
|
WORK_ITEM_WRITE |
Editar elementos de trabajo de este nodo. Se pueden editar los elementos de trabajo asignados a un nodo de área. |
|
|
|
MANAGE_TEST_PLANS |
Administrar planes de pruebas. Se pueden crear y editar los planes de pruebas asignados a un nodo de área. Si no se han ejecutado planes de pruebas, también se pueden eliminar. |
|
|
|
CREATE_CHILDREN |
Crear y ordenar los nodos secundarios. Pueden crear nodos de áreas. Los usuarios que tienen este permiso y el permiso GENERIC_WRITE pueden mover o cambiar el orden de cualquier nodo de área secundario. |
|||
DELETE |
Eliminar este nodo. Se pueden eliminar nodos de área. Los usuarios que tienen este permiso y el permiso GENERIC_WRITE para otro nodo pueden eliminar nodos de área y volver a clasificar los elementos de trabajo existentes del nodo eliminado. Si el nodo eliminado tiene nodos secundarios, también se eliminarán. |
|||
GENERIC_WRITE |
Editar este nodo. Se pueden establecer permisos para los nodos de área y cambiar el nombre de los nodos. |
Asignar permisos para controlar las rutas de acceso de iteración
Puede asignar permisos que controlan el acceso a rutas de acceso de iteración mediante el elemento permission de grupo y la clase ITERATION_NODE. Estos permisos controlan el acceso a iteraciones o versiones hito de un solo proyecto. Puede conceder acceso a los usuarios y grupos de Windows, a grupos de Team Foundation y a los grupos que haya definido previamente en el archivo de complemento de Grupos y Permisos. Para obtener información sobre qué formato usar al especificar grupos, consulte la sección Macros de grupo y grupos predeterminados anteriormente en este tema.
El ejemplo siguiente muestra cómo conceder varios permisos al grupo Colaboradores de un proyecto de equipo:
<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
<permissions>
<permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
<permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
<permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
</permissions>
</group>
En la tabla siguiente se describen los permisos que puede asignar para controlar el acceso a la estructura jerárquica de los nodos de iteración del proyecto. Dado que las plantillas de proceso de MSF no especifican ningún permiso de ITERATION_NODE, todos los miembros del equipo pueden crear, ver y eliminar nodos de iteración.
Nota
Algunas operaciones para realizar un seguimiento de elementos de trabajo requieren varios permisos.Por ejemplo, necesitará varios permisos para eliminar un nodo.
Permiso |
Descripción |
|---|---|
GENERIC_READ |
Ver este nodo. Se puede ver la configuración de seguridad de un nodo. |
CREATE_CHILDREN |
Crear y ordenar los nodos secundarios. Pueden crear nodos de iteración. Los usuarios que tienen este permiso y el permiso GENERIC_WRITE pueden mover o cambiar el orden de cualquier nodo de iteración. |
DELETE |
Eliminar este nodo. Se pueden eliminar nodos de iteración. Los usuarios que tienen este permiso y el permiso GENERIC_WRITE para otro nodo pueden eliminar nodos de iteración y volver a clasificar los elementos de trabajo existentes del nodo eliminado. Si el nodo eliminado tiene nodos secundarios, también se eliminarán. |
GENERIC_WRITE |
Editar este nodo. Se pueden establecer permisos para nodos de iteración y cambiar el nombre de los nodos. |
Vea también
Conceptos
Definir grupos, equipos y permisos mediante el complemento Grupos y permisos
Controlar el acceso a las áreas funcionales