Team Foundation Server のアクセス許可
配置内のユーザーとグループに割り当てられたアクセス許可について理解して構成することで、Visual Studio Team Foundation Server (TFS) の配置のチーム プロジェクトおよびチーム プロジェクト コレクションへのアクセスを制御できます。Team Foundation Server には、アクセス許可を表示して管理するのに役立つ複数のユーティリティが含まれています。個々のユーザーおよびグループの場合は、「View or change your permissions or join another team」の手順に従って Team Web Access を使用するか、「グループまたはユーザーのアクセス許可の変更」の手順に従ってチーム エクスプローラーを使用します。またこれらのツールを使用して、チーム プロジェクトへのユーザー アクセスを拒否することもできます。詳細については、「Restricting access to projects in the deployment」を参照してください。
[!メモ]
このトピックでは、SharePoint 製品 または SQL Server Reporting Services のアクセス許可については説明しません。このトピックでは、TFS で設定するアクセス許可についてのみ説明します。TFS のユーザーに Reporting Services および SharePoint 製品 でアクセス許可を設定する方法の詳細については、「チーム プロジェクトへのユーザーの追加、「チーム プロジェクト コレクションの管理アクセス許可の設定」、および「Team Foundation Server の管理アクセス許可の設定」を参照してください。
このトピックの内容
アクセス許可の新機能
既定のアクセス許可グループの概要
権限状態
拒否
許可
設定しない
継承
アクセス許可の設定
サーバーレベルのアクセス許可
コレクション レベルのアクセス許可
プロジェクト レベルのアクセス許可
ビルド レベルのアクセス許可
作業項目クエリのアクセス許可
作業項目トラッキングの区分レベルのアクセス許可
作業項目トラッキングのイテレーション レベルのアクセス許可
バージョン コントロールのアクセス許可
Lab Management のアクセス許可
アクセス許可の新機能
Team Foundation Server のこのリリースでは、アクセス許可の管理インターフェイスの大部分が Team Web Access に移りました。管理コンテキストで Team Web Access を開くと、サーバー レベルを除く任意のレベルでアクセス許可を表示および管理できます。さらに、ユーザーまたはグループに対して個別のアクセス許可が設定されている理由と、どのように設定されているかについて情報を表示するには、そのアクセス許可をポイントして [理由] オプションを選択します。
Team Foundation Server の今回のリリースでは、チーム プロジェクトの作成時に既定のチーム グループが作成されます。チーム グループには手動設定が可能なアクセス許可はありませんが、ユーザーが Team Web Access でチーム機能を使用するには、このグループのメンバーシップが必要です。さらに、この既定のチーム グループは、プロジェクトの既定のグループの **[投稿者]**に自動的に追加されます。変更を加えない限り、チームに追加したユーザーは全員、[投稿者] グループに属するすべてのアクセス許可を与えられます。
Team Web Access には、ユーザーが使用できる機能を表示するための新しいコントロールがあり、Team Web Access コントロールのアクセス グループのメンバーシップによって、ユーザーがこれらのコントロールを表示および使用できるかどうかが制御されます。グループやユーザーのアクセス レベルを設定するだけでなく、TFS の全配置環境の既定のレベルを設定することもできます。詳細については、「Team System Web Access の機能へのアクセス」を参照してください。
既定のアクセス許可グループの概要
ワークスペースの管理やプロジェクトの作成などのユーザーによる操作に対する承認は、アクセス許可によって決定されます。TFS でプロジェクトを作成すると、選択したプロセス テンプレートに関係なく、そのプロジェクト用に次の 5 つの既定のグループが作成されます。これらのグループのそれぞれについて、既定で一連のアクセス許可が定義されており、これによってグループのメンバーが実行を承認される操作が決定されます。
プロジェクト管理者
貢献者
読み取りユーザー
ビルド管理者
チームによって追加されたプロジェクトの名前が付けられた既定のチーム グループ。たとえば、"Code Sample" という名前のチーム プロジェクトを作成すると、チームのグループ名は "Code Sample チーム" となります。
チーム プロジェクトごとに作成される既定のグループに加えて、チーム プロジェクト コレクションを作成すると、選択したプロセス テンプレートにかかわらず、そのコレクション用に 7 つの既定のグループが作成されます。それらのグループにも、それぞれ一連のアクセス許可が定義されます。
プロジェクト コレクション管理者
プロジェクト コレクション サービス アカウント
プロジェクト コレクション ビルド管理者
プロジェクト コレクション ビルド サービス アカウント
プロジェクト コレクションの有効なユーザー
プロジェクト コレクション プロキシ サービス アカウント
プロジェクト コレクション テスト サービス アカウント
Team Foundation Server をインストールした時点で、4 つの既定のグループがサーバー レベルで作成されます。これらのグループには、それぞれ一連のアクセス許可が定義されます。
Team Foundation 管理者
Team Foundation サービス アカウント
Team Foundation 有効ユーザー
SharePoint Web アプリケーションのサービス
管理者がこれらの既定のグループのユーザー メンバーシップを効率的に管理したり、カスタムのグループを作成したりするには、まずアクセス許可の意味、およびセキュリティとの関連を理解して、明示的にアクセス許可を設定できるようにする必要があります。各グループに既定で割り当てられるアクセス許可の詳細については、「Team Foundation Server の既定のグループ、アクセス許可、およびロール」を参照してください。
.gif "ヒント") ヒント |
|---|
TFS の機能には、これらの機能を使用するための適切なライセンス レベルを持つユーザーのみが使用できるものもあります。それらの機能へのアクセスは、アクセス許可ではなく、Team Web Access のライセンス グループのメンバーシップによって制御されます。詳細については、「チーム プロジェクトへのユーザーの追加」、「Team System Web Access の機能へのアクセス」および Team Foundation Server のライセンスに関するホワイト ペーパーを参照してください。 |
権限状態
Team Foundation Server には、拒否および許可という 2 つの明示的なアクセス許可の承認状態を指定できます。また、アクセス許可を許可にも拒否にも設定しない暗黙の承認設定もあります。この承認設定は、設定なしと呼ばれる暗黙の拒否状態です。
.gif "ms252587.collapse_all(ja-jp,VS.110).gif")
拒否
拒否を使用すると、ユーザーまたはグループが、アクセス許可の説明で示された操作を実行するための承認が拒否されます。拒否は、TFS において最も影響力の強いアクセス許可状態です。特定のアクセス許可が [拒否] に設定されている TFS グループに所属しているユーザーは、そのアクセス許可が [許可] に設定されている別のグループに所属する場合でも、その機能を実行できません。この規則の唯一の例外が発生するのは、アクセス許可の説明に記載のない限り、ユーザーがチーム プロジェクト コレクションのプロジェクト コレクション管理者グループまたは Team Foundation 管理者グループのメンバーである場合です。既定では、管理者グループのメンバーであるユーザーについては、そのグループのアクセス許可の方が、Team Foundation Server でそのユーザーに明示的に設定した拒否よりも優先されます。アクセス許可の設定が既定の管理アクセス許可よりも優先される場合は、次の表のアクセス許可の説明に記します。
許可
許可を使用すると、ユーザーまたはグループが、アクセス許可の説明で示された操作を実行するための承認が付与されます。許可は TFS の 2 番目に影響力の強いアクセス許可状態であり、明示的に、および継承された許可への継承によって、最も頻繁に設定される状態です。アクセス許可を明示的に [許可] に設定しなかったり、既定のグループのメンバーシップで [継承された許可] が設定されていないと、ユーザーまたはグループは Team Foundation Server でその操作を実行できません。
設定しない
既定では、TFS のほとんどのアクセス許可は、[拒否] にも [許可] にも設定されていません。これらのアクセス許可は [設定なし] のままになっています。これにより、ユーザーおよびグループの両方について、アクセス許可の説明で示された操作を実行するための承認が暗黙的に拒否されます。ただし、アクセス許可が明示的に [拒否] にも [許可] にも設定されていないため、そのアクセス許可に対する承認を、そのユーザーまたはグループが所属している他のグループから継承できます。
継承
ユーザーまたはグループのアクセス許可が [設定なし] である場合、TFS 内のアクセス許可が継承されるため、そのユーザーまたはグループが所属する他のグループの明示的なアクセス許可の状態が適用されます。たとえば、ユーザーまたはグループのアクセス許可を確認するときに、アクセス許可に [許可] および [継承された許可] の両方が設定されている場合があります。継承された許可は、ユーザーまたはグループが属している他のグループから継承されたものです。この例では、ユーザーはプロジェクト レベルのグループと、プロジェクトのコレクション レベルのグループに属している可能性があります。それらのグループのいずれかでアクセス許可が明示的に [許可] に設定されており、もう一方のグループで同じアクセス許可が [設定なし] の場合、ユーザーには、[継承された許可] のアクセス許可が付与され、そのアクセス許可により制御される操作を実行できます。ユーザーは、両方のグループのアクセス許可を継承し、[許可] のアクセス許可が、[設定なし] のアクセス許可よりも優先されます。
アクセス許可が継承された理由を確認するには、アクセス許可の設定をポイントして、[理由] をクリックします。そのアクセス許可の継承情報を表示する新しいウィンドウが開きます。
.png "Team System Web Access のアクセス許可")
[!メモ]
SharePoint 製品 など TFS 以外で設定されたアクセス許可は、TFS 内では継承されません。これらについては、このトピックでは説明しません。
承認設定には、他の承認設定よりも優先するものがあります。TFS では、[拒否] のアクセス許可が、その明示的な構造体の他のすべてのアクセス許可設定 ([許可] を含む) よりも優先されます。[拒否] のアクセス許可は、バージョン コントロールなどの階層の親から継承されている場合は優先されません。たとえば、ユーザーがプロジェクト内の 2 つのグループに所属しているとします。一方のグループでは、[テスト結果の発行] のアクセス許可が [拒否] に設定されており、もう一方のグループでは、このアクセス許可が [許可] に設定されています。この場合、[拒否] の設定が優先されるため、ユーザーはテスト結果の発行を承認されません。この規則の唯一の例外が発生するのは、明示的な [拒否] が階層の親から継承された場合、またはユーザーが次のいずれかのグループのメンバーである場合です。
プロジェクト管理者
プロジェクト コレクション管理者
Team Foundation 管理者
バージョン コントロールや作業項目トラッキングなどの階層構造体では、特定のオブジェクトに設定された明示的なアクセス許可が、親オブジェクトから継承されたアクセス許可より優先されます。
アクセス許可の設定
TFS に設定する必要のあるアクセス許可の多くは、Team Web Access のユーザー インターフェイスを通じて制御されます。このインターフェイスは、Team Web Access から直接開くか、チーム エクスプローラーから開くことができます。アクセス許可は、コレクションごと (コレクション レベルのアクセス許可)、プロジェクトごと (プロジェクト レベルのアクセス許可)、またはユーザーをチーム グループに追加することでチームごとに設定できます (チーム レベルのアクセス許可は、チームのメンバーシップで暗黙的に設定され、直接設定することはできません)。また、プロジェクトごとに作業項目を表示または操作するための区分レベルおよびイテレーション レベルのアクセス許可も設定できます。ユーザーおよびグループにアクセス許可を設定する方法の詳細については、「チームとしての作業の開始」と「チーム プロジェクトへのユーザーの追加」を参照してください。
サーバーごとのアクセス許可 (サーバーレベルのアクセス許可) を設定するために、Team Web Access は使用できません。サーバーレベルのアクセス許可を設定するには、Team Foundation Server の管理コンソールを使用する必要があります。
サーバーレベルのアクセス許可
サーバー レベルのアクセス許可は、1 つのチーム プロジェクトやチーム プロジェクト コレクションに固有ではありません。これらは配置全体で設定され、配置内のすべてのプロジェクトおよびコレクションに影響を与える可能性のあるアクセス許可を付与します。
このアクセス許可は、次の 2 つのカテゴリのユーザーに対してのみ設定できます。
Team Foundation 管理者など、サーバー レベルのユーザーおよびグループ
サーバー レベルに作成および追加されたカスタム グループ
これらのアクセス許可は、Team Foundation の管理コンソールを開くことで設定できます。また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定することもできます。詳細については、「Team Foundation 管理コンソールを使用したサーバーの構成」および「TFSSecurity を使用したグループとアクセス許可の変更」を参照してください。
サーバー レベルの各アクセス許可とその目的に関する簡単な説明を次の表に示します。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
ウェアハウスの管理 |
ADMINISTER_WAREHOUSE |
このアクセス許可を持つユーザーは、WarehouseController.asmx Web サービスの ChangeSetting Web メソッドを使用して、ウェアハウスの設定を変更できます。たとえば、OLAP キューブの計算を更新する間隔の設定をユーザーに許可する場合に使用できます。 |
チーム プロジェクト コレクションの作成 |
CreateCollection |
このアクセス許可を持つユーザーは、Team Foundation Server でチーム プロジェクト コレクションを作成および管理できます。 |
チーム プロジェクト コレクションの削除 |
DeleteCollection |
このアクセス許可を持つユーザーは、配置からチーム プロジェクト コレクションを削除できます。 メモ
チーム プロジェクト コレクションを削除しても、コレクションのデータベースは SQL Server から削除されません。
|
インスタンスレベル情報の編集 |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
このアクセス許可を持つユーザーは、Team Foundation Server のユーザーおよびグループに対する、サーバー レベルのアクセス許可を編集できます。これらのユーザーは、コレクションでサーバー レベルのアプリケーション グループを追加または削除できます。[インスタンスレベル情報の編集] のアクセス許可をメニューから設定した場合、対象のユーザーには、バージョン コントロールのアクセス許可の変更も暗黙的に許可されます。これらのすべてのアクセス許可をコマンド プロンプトで付与するには、tf.exe Permission コマンドを使用して、AdminConfiguration および AdminConnections のアクセス許可と GENERIC_WRITE を付与する必要があります。 メモ Team Foundation 管理者など、既定のサーバー レベル グループは削除できません。 |
他のユーザーの代わりに要求 |
Impersonate |
このアクセス許可を持つユーザーは、他のユーザーまたはグループの代わりに操作を実行できます。このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。 |
トリガー イベント |
TRIGGER_EVENT |
このアクセス許可を持つユーザーは、Team Foundation Server 内で警告イベントを発生させることができます。このアクセス許可は、サービス アカウントと、Team Foundation 管理者グループのメンバーにのみ割り当てる必要があります。 |
Web Access のフル アクセス許可機能を使用します |
FullAccess |
このアクセス許可を持つユーザーは、Team System Web Access のすべての機能を使用できます。このアクセス許可が [拒否] に設定されている場合、ユーザーには、Team Web Access の制限付き グループに対して許可されている機能だけが表示されます (「Team System Web Access の機能へのアクセス」を参照)。[拒否] は暗黙的な許可よりも優先されます。Team Foundation 管理者などの管理グループ メンバーのアカウントであっても同じです。 |
インスタンスレベル情報の表示 |
GENERIC_READ |
このアクセス許可を持つユーザーは、サーバーレベルのグループのメンバーシップ、およびそれらのユーザーのアクセス許可を参照できます。 |
コレクション レベルのアクセス許可
コレクション レベルのアクセス許可は、単一のプロジェクトに固有ではありません。コレクション全体を対象に設定されます。このアクセス許可は、次の 3 つのカテゴリのユーザーに対してのみ設定できます。
プロジェクト コレクション管理者などのコレクション レベルのユーザーおよびグループ
Team Foundation を実行するサーバーでコレクション レベルに追加されたプロジェクト レベルのグループ
コレクション レベルに作成および追加されたカスタム グループ
これらのアクセス許可を設定するには、チーム エクスプローラー でコレクションを選択し、[チーム] メニューをクリックし、[チーム プロジェクト コレクションの設定] をポイントし、[セキュリティ] をクリックするか、管理モードで Team Web Access を開き、コレクション レベルに移動して、[セキュリティ] タブをクリックします。これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定することもできます。ただし、tf: が指定されたコマンド ライン ツールでは設定できません。ツールで tf: が指定されている場合は、バージョン コントロールのための tf コマンド ライン ユーティリティの Permission コマンドを使用してアクセス許可を設定します。詳細については、「TFSSecurity を使用したグループとアクセス許可の変更」および「Permission Command」を参照してください。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
ビルド リソースの管理のアクセス許可 |
このアクセス許可を持つユーザーは、ビルド リソースを管理できます。 |
|
Project Server の統合の管理 |
AdministerProjectServer |
このアクセス許可を持つユーザーは、2 つのサーバー製品間での同期をサポートするため Team Foundation Server と Project Server の統合を構成できます。 |
シェルブされた変更の管理 |
tf: AdminShelvesets |
このアクセス許可を持つユーザーは、他のユーザーが作成したシェルブセットを削除できます。 |
ワークスペースの管理 |
tf: AdminWorkspaces |
このアクセス許可を持つユーザーは、他のユーザーのためにワークスペースを作成したり、他のユーザーによって作成されたワークスペースを削除したりできます。 |
トレース設定の変更 |
DIAGNOSTIC_TRACE |
このアクセス許可を持つユーザーは、Team Foundation Server の Web サービスに関するより詳細な診断情報を収集するためのトレースの設定を変更できます。 |
ワークスペースの作成 |
tf: CreateWorkspace |
このアクセス許可を持つユーザーは、バージョン コントロールのワークスペースを作成できます。 |
新しいプロジェクトの作成 |
CREATE_PROJECTS |
このアクセス許可を持つユーザーは、チーム プロジェクト コレクションでプロジェクトを作成できます。 メモ
新しいチーム プロジェクト ウィザードの作成を正常に完了するには、管理者としてこのアクセス許可を持つだけでなく、Visual Studio を実行する必要があります。詳細については、「チーム プロジェクトの作成」を参照してください。
|
チーム プロジェクトの削除 |
Delete |
このアクセス許可を持つユーザーは、チーム プロジェクト コレクションでチーム プロジェクトを削除できます。 .gif "重要 :") 重要
チーム プロジェクトを削除すると、プロジェクトに関連付けられたすべてのデータが削除されます。プロジェクトが削除される前のポイントにコレクションを復元する以外に、チーム プロジェクトの削除を元に戻すことはできません。
|
コレクションレベル情報の編集 |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのユーザーおよびグループについて、コレクション レベルのアクセス許可を編集できます。これらのユーザーは、コレクションでコレクション レベルの Team Foundation Server アプリケーション グループを追加または削除できます。[コレクションレベル情報の編集] のアクセス許可をメニューから設定した場合、対象のユーザーには、バージョン コントロールのアクセス許可の変更も暗黙的に許可されます。これらのすべてのアクセス許可をコマンド プロンプトで付与するには、tf.exe Permission コマンドを使用して、AdminConfiguration および AdminConnections のアクセス許可と GENERIC_WRITE を付与する必要があります。 メモ
プロジェクト コレクション管理者など、既定のコレクション レベル グループは削除できません。
|
他のユーザーの代わりに要求 |
Impersonate |
このアクセス許可を持つユーザーは、他のユーザーまたはグループの代わりに操作を実行できます。このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。 |
ビルド リソースの管理 |
ManageBuildResources |
このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのビルド コンピューター、ビルド エージェント、およびビルド コントローラーを管理できます。これらのユーザーは、他のユーザーの [ビルド リソースの表示] および [ビルド リソースの使用] のアクセス許可を付与または拒否できます。 |
プロセス テンプレートの管理 |
MANAGE_TEMPLATE |
このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのプロセス テンプレートをダウンロード、作成、編集、およびアップロードできます。 |
テスト コントローラーの管理 |
MANAGE_TEST_CONTROLLERS |
このアクセス許可を持つユーザーは、チーム プロジェクト コレクションのテスト コントローラーを登録および登録解除できます。 |
作業項目リンクの種類の管理 |
WORK_ITEM_WRITE |
このアクセス許可を持つユーザーは、作業項目のリンクの種類を追加、削除、および変更できます。 |
イベントのトリガー |
TRIGGER_EVENT |
このアクセス許可を持つユーザーは、チーム プロジェクト コレクション内でプロジェクト警告イベントをトリガーできます。このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。 |
ビルド リソースの使用 |
UseBuildResources |
このアクセス許可を持つユーザーは、ビルド エージェントを予約したり、割り当てることができます。このアクセス許可は、ビルド サービスのサービス アカウントにのみ割り当てる必要があります。 |
ビルド リソースの表示 |
ViewBuildResources |
このアクセス許可を持つユーザーは、コレクションに構成されたビルド コントローラーとビルド エージェントを参照できます。それらのリソースを使用するには、追加のアクセス許可が必要です。 |
コレクションレベル情報の表示 |
GENERIC_READ |
このアクセス許可を持つユーザーは、コレクション レベルのグループのメンバーシップ、およびそれらのユーザーのアクセス許可を参照できます。 |
システムの同期情報の表示 |
SYNCHRONIZE_READ |
このアクセス許可を持つユーザーは、同期アプリケーション プログラミング インターフェイスを呼び出すことができます。このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。 |
プロジェクト レベルのアクセス許可
プロジェクトレベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。これらのアクセス許可を設定するには、チーム エクスプローラー でプロジェクトを選択し、[設定] を選択し、[セキュリティ] をクリックするか、管理モードで Team Web Access を開き、プロジェクトに移動して、[セキュリティ] タブをクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定することもできます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
テストの実行を作成 |
PUBLISH_TEST_RESULTS |
このアクセス許可を持つユーザーは、テスト結果を追加および削除したり、チーム プロジェクトのテストの実行を追加または変更したりできます。 |
チーム プロジェクトの削除 |
Del |
このアクセス許可を持つユーザーは、このアクセス許可の対象のプロジェクトを Team Foundation Server から削除できます。 |
テストの実行を削除します |
DELETE_TEST_RESULTS |
このアクセス許可を持つユーザーは、このチーム プロジェクトのスケジュールされたテストを削除できます。 |
プロジェクトレベル情報を編集します |
GENERIC_WRITE |
このアクセス許可を持つユーザーは、Team Foundation Server のユーザーおよびグループについて、プロジェクトレベルのアクセス許可を編集できます。 |
テスト構成の管理 |
MANAGE_TEST_CONFIGURATIONS |
このアクセス許可を持つユーザーは、このチーム プロジェクトのテスト構成を作成および削除できます。 |
テスト環境の管理 |
MANAGE_TEST_ENVIRONMENTS |
このアクセス許可を持つユーザーは、このチーム プロジェクトのテスト環境を作成および削除できます。 |
プロジェクトレベル情報を表示します |
GENERIC_READ |
このアクセス許可を持つユーザーは、プロジェクトレベルのグループのメンバーシップ、およびそれらのプロジェクト ユーザーのアクセス許可を参照できます。 |
テストの実行を表示する |
VIEW_TEST_RESULTS |
このアクセス許可を持つユーザーは、このノードでテスト計画を参照できます。 |
ビルド レベルのアクセス許可
ビルド レベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。ビルドのアクセス許可はチーム プロジェクト レベルで設定でき、特定のビルド定義にもアクセス許可を設定できます。これらのアクセス許可を設定するには、チーム エクスプローラー でプロジェクトを開き、[ビルド]、[アクション] で [セキュリティ] をクリックします。ビルド定義を選択し、[セキュリティ] をクリックすると、アクセス許可を特定のビルド定義に適用できます。ビルド フォルダーにアクセス許可を適用する場合は、そのフォルダーをサブメニューで選択してから [セキュリティ] をクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定できます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
ビルド管理のアクセス許可 |
このアクセス許可を持つユーザーは、他のユーザーのビルド アクセス許可を管理できます。 |
|
ビルドの表示 |
ViewBuilds |
このアクセス許可を持つユーザーは、このチーム プロジェクトのキューに入っているビルドと完了したビルドを参照できます。 |
ビルドの品質を編集します |
EditBuildQuality |
このアクセス許可を持つユーザーは、Team Foundation ビルドのユーザー インターフェイスを通じて、ビルドの品質に関する情報を追加できます。 |
無期限に保持 |
RetainIndefinitely |
このアクセス許可を持つユーザーは、適用されるどのアイテム保持ポリシーによっても自動的に削除されないようにビルドをマークできます。 |
ビルドの削除 |
DeleteBuilds |
このアクセス許可を持つユーザーは、完了したビルドを削除できます。 |
ビルド品質評価の管理 |
ManageBuildQualities |
このアクセス許可を持つユーザーは、ビルド品質評価を追加または削除できます。 |
ビルドの破棄 |
DestroyBuilds |
このアクセス許可を持つユーザーは、完了したビルドを完全に削除できます。 |
ビルド情報の更新 |
UpdateBuildInformation |
このアクセス許可を持つユーザーは、システムにビルド情報ノードを追加したり、ビルドの品質に関する情報を追加することもできます。このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。 |
ビルドをキューに挿入 |
QueueBuilds |
このアクセス許可を持つユーザーは、Team Foundation ビルドのインターフェイス、またはコマンド プロンプトで、ビルドをキューに入れることができます。また、キューに入っているビルドも停止できます。 |
ビルド キューの管理 |
ManageBuildQueue |
このアクセス許可を持つユーザーは、キューに入っているビルドの取り消し、優先度の付け直し、または延期を行うことができます。 |
ビルドの停止 |
StopBuilds |
このアクセス許可を持つユーザーは、他のユーザーがキューに入れたビルドや開始したビルドも含め、実行中の任意のビルドを停止できます。 |
ビルド定義の表示 |
ViewBuildDefinition |
このアクセス許可を持つユーザーは、チーム プロジェクトに作成されたビルド定義を参照できます。 |
ビルド定義の編集 |
EditBuildDefinition |
このアクセス許可を持つユーザーは、このプロジェクトのビルド定義を作成および変更できます。 |
ビルド定義の削除 |
DeleteBuildDefinition |
このアクセス許可を持つユーザーは、このプロジェクトのビルド定義を削除できます。 |
ビルドによるチェックインの妥当性確認のオーバーライド |
OverrideBuildCheckInValidation |
このアクセス許可を持つユーザーは、最初にシステムをトリガーして変更をシェルブおよびビルドしなくても、ゲート ビルド定義に影響を与える変更セットをコミットできます。このアクセス許可は、ビルド サービスのサービス アカウントと、コードの品質を担当するビルド管理者にのみ割り当てる必要があります。詳細については、「ゲート チェックイン ビルドによって制御されている保留中の変更内容のチェックイン」を参照してください。 |
作業項目クエリのアクセス許可
作業項目クエリのアクセス許可は、作成するクエリおよびクエリ フォルダーに固有です。[チーム クエリ] の下に作成されたクエリおよびフォルダーに対するアクセス許可を設定して、アクセスを許可または制限できます。これらのアクセス許可を設定するには、チーム エクスプローラー でプロジェクトを選択し、作業項目を開き、アクセス許可を設定する対象のクエリまたはフォルダーのサブメニューを開き、[セキュリティ] をクリックします。Team Web Access のクエリでこれらのアクセス許可を設定することもできます。また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定できます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
投稿 |
CONTRIBUTE |
このアクセス許可を持つユーザーは、このクエリまたはクエリ フォルダーを表示および変更できます。 |
Delete |
Del |
このアクセス許可を持つユーザーは、クエリまたはクエリ フォルダーおよびその内容を削除できます。 |
権限の管理 |
MANAGEPERMISSIONS |
このアクセス許可を持つユーザーは、このクエリまたはクエリ フォルダーに対するアクセス許可を管理できます。 |
読み取り |
READ |
このアクセス許可を持つユーザーは、フォルダー内のクエリ (複数も可) を表示して使用できますが、そのクエリまたはクエリ フォルダーの内容は変更できません。 |
作業項目トラッキングの区分レベルのアクセス許可
区分レベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。これらのアクセス許可を設定するには、チーム エクスプローラー でプロジェクトを選択し、[選択]、[作業項目の区分] を順に選択し、下矢印、[セキュリティ] を順にクリックするか、管理コンテキストで Team Web Access を開き、プロジェクト レベルに移動し、[区分] タブ、下矢印、[セキュリティ] を順にクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定できます。
[!メモ]
作業項目トラッキングの操作には、複数のアクセス許可が必要なものもあります。たとえば、ノードの削除には複数のアクセス許可が必要です。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
子ノードを作成します |
CREATE_CHILDREN |
このアクセス許可を持つユーザーは、区分ノードを作成できます。このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、子区分ノードを移動したり並べ替えたりできます。 |
このノードを削除します |
Del |
このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、区分ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。削除されたノードに子ノードがある場合、それらのノードも削除されます。 |
このノードを編集します |
GENERIC_WRITE |
このアクセス許可を持つユーザーは、このノードにアクセス許可を設定して、区分ノードの名前を変更できます。 |
このノードの作業項目を編集します |
WORK_ITEM_WRITE |
このアクセス許可を持つユーザーは、この区分ノード内の作業項目を編集できます。 |
テスト計画の管理 |
MANAGE_TEST_PLANS |
このアクセス許可を持つユーザーは、このノードのテスト計画を作成および編集できます。テスト計画が実行されていない場合は、削除することもできます。 |
このノードのアクセス許可を表示します |
GENERIC_READ |
このアクセス許可を持つユーザーは、このノードのセキュリティ設定を参照できます。 |
このノードの作業項目を表示します |
WORK_ITEM_READ |
このアクセス許可を持つユーザーは、この区分ノード内の作業項目を参照できますが、変更はできません。このアクセス許可を [拒否] に設定した場合、ユーザーは、この区分ノードの作業項目を一切表示できません。A Deny will override any implicit allow, even for accounts that are members of administrative groups such as Team Foundation Administrators. |
作業項目トラッキングのイテレーション レベルのアクセス許可
イテレーションレベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。これらのアクセス許可を設定するには、チーム エクスプローラー でプロジェクトを選択し、[設定]、[作業項目のイテレーション] を順に選択し、下矢印、[セキュリティ] を順にクリックするか、管理コンテキストで Team Web Access を開き、プロジェクト レベルに移動し、[イテレーション] タブ、下矢印、[セキュリティ] を順にクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ツールを使用して設定できます。
[!メモ]
作業項目トラッキングの操作には、複数のアクセス許可が必要なものもあります。たとえば、ノードの削除には複数のアクセス許可が必要です。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
子ノードを作成します |
CREATE_CHILDREN |
このアクセス許可を持つユーザーは、イテレーション ノードを作成できます。このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードを移動したり並べ替えたりできます。 |
このノードを削除します |
Del |
このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。削除されたノードに子ノードがある場合、それらのノードも削除されます。 |
このノードを編集します |
GENERIC_WRITE |
このアクセス許可を持つユーザーは、このノードにアクセス許可を設定して、イテレーション ノードの名前を変更できます。 |
このノードのアクセス許可を表示します |
GENERIC_READ |
このアクセス許可を持つユーザーは、このノードのセキュリティ設定を参照できます。 |
バージョン コントロールのアクセス許可
バージョン コントロールのアクセス許可は、ソース コード ファイルおよびフォルダーに固有です。これらのアクセス許可を設定するには、ソース管理エクスプローラーでフォルダーまたはファイルのサブメニューを開き、[セキュリティ] をクリックします。これらのアクセス許可は、バージョン コントロール用の tf コマンド ライン ツールを使用して設定することもできます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
読み取り |
tf: Read |
このアクセス許可を持つユーザーは、ファイルまたはフォルダーの内容を参照できます。フォルダーに対して [読み取り] のアクセス許可を持つユーザーは、フォルダー内のファイルを開くためのアクセス許可を持っていなくても、そのフォルダーの内容と、フォルダーに含まれているファイルのプロパティを確認できます。 |
チェックアウト |
tf: PendChange |
このアクセス許可を持つユーザーは、フォルダー内の項目に対する保留中の変更をチェックアウトおよび作成できます。保留中の変更には、ファイルの追加、編集、名前の変更、削除、削除取り消し、分岐、マージなどが含まれます。保留中の変更もチェックインする必要があるので、ユーザーはチームと変更を共有するための [チェックイン] アクセス許可も必要になります。 |
チェックイン |
tf: Checkin |
このアクセス許可を持つユーザーは、項目をチェックインしたり、コミットされた変更セットのコメントを変更したりできます。保留中の変更は、チェックイン時にコミットされます。 |
ラベル |
tf: Label |
このアクセス許可を持つユーザーは、項目にラベルを付けることができます。 |
ロック |
tf: Lock |
このアクセス許可を持つユーザーは、フォルダーまたはファイルをロックしたり、ロックを解除したりできます。 |
他のユーザーの変更を編集 |
tf: ReviseOther |
このアクセス許可を持つユーザーは、他のユーザーがファイルをチェックインした場合でも、チェックインされたファイルのコメントを編集できます。 |
他のユーザーの変更のロック解除 |
tf: UnlockOther |
このアクセス許可を持つユーザーは、他のユーザーがロックしたファイルのロックを解除できます。 |
他のユーザーの変更を元に戻す |
tf: UndoOther |
このアクセス許可を持つユーザーは、他のユーザーが行った保留中の変更を元に戻すことができます。 |
ラベルの管理 |
tf: LabelOther |
このアクセス許可を持つユーザーは、他のユーザーが作成したラベルを編集または削除できます。 |
権限の管理 |
tf: AdminProjectRights |
このアクセス許可を持つユーザーは、バージョン コントロールでフォルダーおよびファイルに対する他のユーザーのアクセス許可を管理できます。 |
別のユーザーの変更をチェックインする |
tf: CheckinOther |
このアクセス許可を持つユーザーは、他のユーザーが行った変更をチェックインできます。保留中の変更は、チェックイン時にコミットされます。 |
マージ |
tf: Merge |
特定のパスに対してこのアクセス許可を持つユーザーは、そのパスに変更をマージできます。 |
分岐の管理 |
tf: ManageBranch |
特定のパスに対してこのアクセス許可を持つユーザーは、そのパスの下にある任意のフォルダーを分岐に変換できます。このアクセス許可を持つユーザーは、分岐に対してプロパティの編集、親の再設定、およびフォルダーへの変換の操作を実行することもできます。 このアクセス許可を持つユーザーは、対象のパスに対する [マージ] のアクセス許可も持っている場合にのみ、この分岐を分岐させることができます。ユーザーは、[分岐の管理] のアクセス許可を持たない分岐から分岐を作成することはできません。 |
Lab Management のアクセス許可
Visual Studio Lab Management のアクセス許可は、仮想マシン、環境、および他のリソースに固有です。これらのアクセス許可は、TFSLabConfig コマンド ライン ツールを使用して設定できます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
ラボ リソースの表示 |
Read |
このアクセス許可を持つユーザーは、コレクション ホスト グループ、プロジェクト ホスト グループ、環境など、さまざまな Lab Management リソースの情報を参照できます。特定のラボ リソースの情報を参照するには、そのリソースに対する [ラボ リソースの表示] のアクセス許可が必要です。 |
ラボの場所の管理 |
ManageLocation |
このアクセス許可を持つユーザーは、コレクション ホスト グループ、コレクション ライブラリ共有、プロジェクト ホスト グループ、プロジェクト ライブラリ共有など、Lab Management リソースの場所を編集できます。特定の場所を編集するには、その場所に対する [ラボの場所の管理] のアクセス許可が必要です。 コレクション レベルの場所 (コレクション ホスト グループとコレクション ライブラリ共有) に対してこのアクセス許可があると、プロジェクト レベルの場所 (プロジェクト ホスト グループとプロジェクト ライブラリ共有) を作成できます。 |
ラボの場所の削除 |
DeleteLocation |
このアクセス許可を持つユーザーは、コレクション ホスト グループ、コレクション ライブラリ共有、プロジェクト ホスト グループ、プロジェクト ライブラリ共有など、Lab Management リソースの場所を削除できます。場所を削除するには、その場所に対する [ラボの場所の削除] のアクセス許可が必要です。 |
環境と仮想マシンの書き込み |
Write |
プロジェクト ホスト グループに対してこのアクセス許可を持つユーザーは、環境を作成できます。プロジェクト ライブラリ共有に対してこのアクセス許可を持つユーザーは、環境およびテンプレートを保存できます。 |
環境と仮想マシンの編集 |
Edit |
このアクセス許可を持つユーザーは、環境およびテンプレートを編集できます。編集するオブジェクトに対してアクセス許可がチェックされます。 |
環境と仮想マシンの削除 |
Delete |
このアクセス許可を持つユーザーは、環境およびテンプレートを削除できます。削除するオブジェクトに対してアクセス許可がチェックされます。 |
仮想マシンのインポート |
Create |
このアクセス許可を持つユーザーは、VMM ライブラリ共有から仮想マシンをインポートできます。 このアクセス許可は、Lab Management でオブジェクトを作成するだけで、Virtual Machine Manager ホスト グループとライブラリ共有には何も書き込まないため、[書き込み] とは異なります。 |
権限の管理 |
ManagePermissions |
このアクセス許可を持つユーザーは、Lab Management オブジェクトのアクセス許可を変更できます。このアクセス許可は、アクセス許可を変更するオブジェクトに対してチェックされます。 |
子権限の管理 |
ManageChildPermissions |
このアクセス許可を持つユーザーは、すべての子 Lab Management オブジェクトのアクセス許可を変更できます。たとえば、ユーザーがチーム プロジェクト ホスト グループに対して [子権限の管理] を持っている場合、ユーザーはそのチーム プロジェクト ホスト グループにあるすべての環境のアクセス許可を変更できます。 |
開始 |
Start |
このアクセス許可を持つユーザーは、環境を開始できます。 |
停止 |
Stop |
このアクセス許可を持つユーザーは、環境を停止できます。 |
環境の一時停止 |
Pause |
このアクセス許可を持つユーザーは、環境を一時停止できます。 |
スナップショットの管理 |
ManageSnapshots |
このアクセス許可を持つユーザーは、スナップショットの取得、スナップショットへの復元、スナップショットの名前変更、スナップショットの削除、スナップショットの読み取りなど、環境のすべてのスナップショット管理タスクを実行できます。 |
参照
処理手順
概念
TFSLabConfig を使用した Lab Management の構成
その他の技術情報
シングルサーバー インストールでの準備と実行 (チュートリアル)
TFSSecurity を使用したグループとアクセス許可の変更