Team Foundation Server에 대한 사용 권한 참조

권한에 따라 사용자가 수행할 수 있는 작업과 수행할 수 없는 작업이 결정됩니다. 사용자에게 TFS(Team Foundation Server) 리소스 및 팀 프로젝트에 대한 액세스 권한을 부여하려면 팀 프로젝트 또는 TFS 그룹에 해당 사용자를 추가해야 합니다. TFS에서 멤버 자격, 권한 및 액세스를 관리하는 방법에 대한 개요는 TFS에서 사용자 및 그룹 관리를 참조하세요.

이 항목에서는 TFS 권한과 각 기본 제공 TFS 그룹에 대한 기본 권한 할당에 대해 설명합니다. 또한 권한을 설정하는 데 사용할 수 있는 도구를 설명합니다. 세 가지 범주의 기본 제공 그룹, 네 가지 권한 수준 및 다섯 가지 권한 상태가 있습니다. 기능 작업에 대한 각 사용자의 액세스는 해당 사용자가 또는 해당 사용자가 속한 그룹에 할당된 명시적이거나 상속된 권한 상태에 따라 결정됩니다.

항목 내용 권한의 새로운 기능 권한을 설정하는 데 사용되는 도구 기본 제공 TFS 그룹 서버 수준 그룹 컬렉션 수준 그룹 프로젝트 수준 그룹 허용, 거부, 설정 안 함 및 기타 권한 상태 상속 권한을 설정할 때 해야 할 일과 해서는 안 되는 일 서버 수준 권한 컬렉션 수준 권한 프로젝트, 테스트 및 개체 수준 권한 프로젝트 및 테스트 수준 권한 빌드 수준 권한 작업 항목 쿼리 태그 지정 작업 항목 추적을 위한 영역 수준 작업 항목 추적을 위한 반복 수준 Team Foundation 버전 제어 Git 리포지토리 Lab Management 릴리스 관리

SharePoint 제품 또는 SQL Server Reporting Services에 대한 권한을 할당하려면 팀 프로젝트에 사용자 추가 및 TFS에서 보고서를 보거나 만들 수 있는 권한 부여를 참조하세요.

권한의 새로운 기능

TFS 권한 모델의 추가 및 변경 사항이 다음 표에 나와 있습니다. 이 내용은 응용 프로그램 계층 서버에 설치한 버전을 기반으로 합니다.

TFS 버전	새 권한 또는 변경된 권한
TFS 2013.3	테스트 도구 모음 관리 권한이 추가되었으며, 테스트 계획 관리 권한의 범위가 테스트 계획만 관리하도록 다시 지정되었습니다. 이러한 권한은 영역 경로에 대해 설정됩니다. 이전에 이 권한은 테스트 계획과 테스트 도구 모음 모두의 권한 관리에 적용되었습니다.
TFS 2013.2	태그 지정 권한이 추가되었습니다.
TFS 2013	Git 리포지토리 권한이 추가되었습니다.

권한을 설정하는 데 사용되는 도구

다음 표에 나와 있는 도구를 사용하여 권한을 설정할 수 있습니다. 권한을 설정하는 수준이 서버인지, 컬렉션인지 또는 프로젝트인지에 따라 서로 다른 도구가 사용됩니다. 사용자 및 그룹이 팀 프로젝트에 액세스할 수 있는 대부분의 권한은 TWA(Team Web Access)를 사용하여 설정합니다.

권한 수준	TWA 관리 페이지 또는 개체 수준 보안	팀 탐색기(참고 1)	Team Foundation 관리 콘솔	TFSSecurity 명령줄 도구	Tf 명령줄 도구	TFSLabConfig 명령줄 도구
서버 수준
컬렉션 수준
프로젝트 및 테스트 수준
빌드 수준
작업 항목 쿼리
태그 지정
작업 항목 추적을 위한 영역 수준
작업 항목 추적을 위한 반복 수준
Team Foundation 버전 제어
Git 리포지토리
Lab Management
Release Management(2)

참고

1. 팀 탐색기에서 일부 권한 옵션에 액세스한 경우 Team Web Access의 사용자 인터페이스가 열립니다.

2. 배포 환경에 Release Management를 추가하면 Release Management, TFS 또는 Active Directory에서 정의하는 그룹을 사용하여 사용 권한을 관리할 수 있습니다. Release Management 클라이언트에서 권한을 관리합니다.

그룹 내 사용자 멤버 자격을 관리하는 데 사용할 수 있는 또 다른 도구는 CodePlex의 TFSAdmin 도구입니다.

명령줄 도구, 네임스페이스 및 권한 이름

TFSSecurity 명령줄 도구를 실행하여 권한을 관리하는 경우 네임스페이스와 권한 이름을 지정해야 합니다. 아래 섹션에 네임스페이스와 명령 이름이 나와 있습니다. 네임스페이스 그룹에는 프로젝트 컬렉션과 서버의 두 가지 그룹이 있습니다. TFSSecurity /a 명령을 사용하여 네임스페이스를 나열할 수 있습니다. 네임스페이스에서 설정할 수 있는 권한 집합을 가져오려면 TFSSecurity /a Namespace /collection:CollectionNameURL을 사용합니다.

프로젝트 컬렉션 네임스페이스

서버 네임스페이스

TFSSecurity /a /collection:CollectionNameURL Build BuildAdministration Chat Collection CSS Discussion Threads EventSubscription Git Repositories Identity Iteration Job Project ProjectServerAdministration Registry Server ServiceHooks StrongBox Tagging TeamLabSecurity VersionControlItems VersionControlPrivileges WorkItemQueryFolders WorkItemTrackingAdministration WorkItemTrackingProvision Workspaces

TFSSecurity /a /server:ServerNameURL Catalog CollectionManagement Diagnostic EventSubscription Feature Availability HostingAccount Identity Job Lab Registry Server StrongBox Warehouse WebAccess

기본 제공 TFS 그룹

TFS를 설치하면 4개의 그룹이 서버 수준에서 정의됩니다. 프로젝트 컬렉션을 만들면 7개의 그룹이 컬렉션 수준에서 만들어지며, 만든 각 팀 프로젝트에 대해 해당 팀 프로젝트로 범위가 지정된 6개의 그룹이 만들어집니다. 이러한 각 그룹은 기본 권한 집합과 연결되어 있습니다. Team Foundation Administrators 그룹과 같은 기본 서버 수준 그룹은 제거하거나 삭제할 수 없습니다.

서버 수준	컬렉션 수준	프로젝트 수준
SharePoint Web Application Services Team Foundation Administrators Team Foundation Service Accounts Team Foundation Valid Users	Project Collection Administrators Project Collection Build Administrators Project Collection Build Service Accounts Project Collection Service Accounts Project Collection Proxy Service Accounts Project Collection Test Service Accounts Project Collection Valid Users(참고 1)	빌드 관리자 참가자 Project Administrators Project Valid Users(참고 1) Readers TeamProject 그룹(참고 2)

참고:

1. Valid Users 그룹에 대한 자세한 내용을 보려면 이 Valid User란 무엇입니까? Valid Users 그룹은 어떻게 채워집니까? 섹션으로 건너뛰세요.

2. 팀 그룹은 팀 프로젝트 이름으로 만들어집니다. 예를 들어 "Code Sample"이라는 팀 프로젝트를 만든 경우 "Code Sample Team"이라는 이름의 팀 그룹도 만들어집니다. 이 팀의 이름을 바꿀 수 있습니다.

   또한 추가 팀을 만들면 각 팀의 팀 그룹이 만들어집니다.

서버 수준 그룹에는 서버 수준 권한이 할당됩니다. 컬렉션 수준 그룹에는 컬렉션, 프로젝트 및 개체에 대해 정의된 권한이 할당됩니다. 또한 프로젝트 수준 그룹에 할당되는 권한은 프로젝트 수준과 개체 수준을 둘 다 포함합니다.

예를 들어 다음 그림에는 프로젝트 수준 Contributors 그룹에 할당된 권한이 나와 있습니다.

Project Administrators 그룹 권한에는 Contributors 그룹에 할당된 권한과 몇 가지 추가 권한이 포함됩니다.

서버 수준 그룹

TFS를 설치하면 기본적으로 응용 프로그램 계층의 서버 수준에 다음과 같은 그룹이 만들어집니다.

그룹 이름(접두사: Team Foundation\)	사용 권한	기본 사용자 계정
Team Foundation Administrators	TFS에 대한 모든 작업을 수행할 수 있습니다. 이 그룹은 TFS에 대한 전반적인 관리 제어가 필요한 소수의 사용자로만 제한해야 합니다.	Team Foundation 응용 프로그램 서비스를 호스팅하는 모든 서버의 Local Administrators 그룹(BUILTIN\Administrators) Server\Team Foundation Service Accounts 그룹과 \Project Server Integration Service Accounts 그룹의 멤버
Team Foundation Valid Users	소스 코드, 작업 항목 및 빌드 정의에 대한 읽기 권한이 있습니다. TWA 기능 액세스는 할당된 액세스 수준 그룹 또는 라이선스에 따라 달라집니다. 중요 이 그룹에 대해 인스턴스 수준 정보 보기 권한을 거부 또는 설정 안 함으로 설정하면 어떤 사용자도 배포에 액세스할 수 없게 됩니다.	TFS 내의 모든 곳에서 추가된 모든 사용자 및 그룹을 포함합니다. 이 그룹의 멤버 자격은 수정할 수 없습니다.
Team Foundation Service Accounts	TFS에 대한 서비스 수준 권한이 있습니다.	설치 중에 제공된 서비스 계정을 포함합니다. 이 그룹은 서비스 계정만 포함해야 하고 사용자 계정이나 사용자 계정이 속한 그룹은 포함하면 안 됩니다. 기본적으로 이 그룹은 Team Foundation Administrators의 멤버입니다.
Project Server Integration Service Accounts	TFS와 상호 운용되도록 구성된 Project Server 배포에 대한 서비스 수준 권한이 있습니다. 또한 이 그룹의 멤버는 일부 TFS 서비스 수준 권한도 가집니다.	이 그룹은 서비스 계정만 포함해야 하고 사용자 계정이나 사용자 계정이 속한 그룹은 포함하면 안 됩니다. 기본적으로 이 그룹은 Team Foundation Administrators의 멤버입니다.
SharePoint Web Application Services	TFS와 함께 사용하도록 구성된 SharePoint 웹 응용 프로그램에 대한 서비스 수준 권한 및 일부 TFS 서비스 수준 권한이 있습니다.	이 그룹은 서비스 계정만 포함해야 하고 사용자 계정이나 사용자 계정이 속한 그룹은 포함하면 안 됩니다. Service Accounts 그룹과 달리 이 그룹은 Team Foundation Administrators의 멤버가 아닙니다.
Team Foundation Proxy Service Accounts	이 그룹의 멤버는 Team Foundation Server Proxy에 대한 서비스 수준 권한 및 일부 TFS 서비스 수준 권한을 가집니다.	이 그룹은 서비스 계정만 포함해야 하고 사용자 계정이나 사용자 계정이 속한 그룹은 포함하면 안 됩니다.

컬렉션 수준 그룹

컬렉션을 구성하면 기본적으로 컬렉션 수준에 다음과 같은 그룹이 만들어집니다.

그룹 이름(접두사: TeamProjectCollectionName\)	그룹 수준 권한	계정 할당
Project Collection Administrators	팀 프로젝트 컬렉션에 대한 모든 작업을 수행할 수 있습니다.	TFS의 응용 프로그램 계층 서비스가 설치된 서버에 대한 Local Administrators 그룹(BUILTIN\Administrators)을 포함합니다. 또한 TeamProjectCollectionName\Service Accounts 그룹의 멤버를 포함합니다. 이 그룹은 컬렉션에 대한 전반적인 관리 제어를 책임져야 할 소수의 사용자로만 제한해야 합니다.
Project Collection Valid Users	컬렉션에 대해 정의된 팀 프로젝트에 액세스할 수 있습니다. 중요 이 그룹에 대해 컬렉션 수준 정보 보기 권한을 거부 또는 설정 안 함으로 설정하면 어떤 사용자도 해당 컬렉션에 액세스할 수 없게 됩니다.	팀 프로젝트 컬렉션 내의 모든 곳에서 추가된 모든 사용자 및 그룹을 포함합니다. 이 그룹의 멤버 자격은 수정할 수 없습니다.
Project Collection Service Accounts	컬렉션 및 TFS에 대한 서비스 수준 권한이 있습니다.	설치 중에 제공된 서비스 계정을 포함합니다. 이 그룹은 서비스 계정 및 서비스 계정만 포함된 그룹만을 포함해야 합니다. 기본적으로 이 그룹은 Team Foundation Administrators 및 Team Foundation Service Accounts의 멤버입니다.
Project Collection Build Administrators	컬렉션의 빌드 리소스 및 권한을 관리할 수 있습니다.	이 그룹은 이 컬렉션의 빌드 서버와 서비스 전체를 관리해야 하는 가능한 최소 사용자 수로 제한해야 합니다.
Project Collection Build Service Accounts	컬렉션의 빌드 서비스를 실행하는 데 필요한 권한이 있습니다.	이 그룹은 서비스 계정과 이러한 서비스 계정만 포함하는 그룹으로 제한해야 합니다.
Project Collection Proxy Service Accounts	컬렉션의 프록시 서비스를 실행하는 데 필요한 권한이 있습니다.	이 그룹은 서비스 계정과 이러한 서비스 계정만 포함하는 그룹으로 제한해야 합니다.
Project Collection Test Service Accounts	컬렉션에 대한 테스트 서비스 권한이 있습니다.	이 그룹은 서비스 계정과 이러한 서비스 계정만 포함하는 그룹으로 제한해야 합니다.

프로젝트 수준 그룹

팀 프로젝트를 만들면 기본적으로 다음과 같은 그룹이 만들어집니다. 이러한 그룹의 권한 범위는 프로젝트 수준으로 지정됩니다.

그룹(접두사: ProjectName\)	그룹 수준 권한	추가 참고 사항
Project Administrators	프로젝트를 만들 수는 없지만 팀 프로젝트의 모든 사항을 관리할 수 있습니다.	사용자 권한을 관리하거나, 팀을 만들거나, 영역 및 반복 경로를 정의하거나, 작업 항목 추적을 사용자 지정할 사용자에게 할당합니다.
Build Administrators	프로젝트의 빌드 리소스 및 빌드 권한을 관리할 수 있습니다. 여기에 속하는 멤버는 테스트 환경을 관리하고, 테스트 실행을 만들고, 빌드를 관리할 수 있습니다.
Contributors	프로젝트 코드베이스 및 작업 항목 추적에 완전히 참가할 수 있으며,	기본적으로 팀 프로젝트를 만들 때 생성된 팀 그룹이 이 그룹에 추가되고 팀에 추가하는 모든 사용자는 이 그룹의 멤버가 됩니다. 또한 팀 프로젝트를 위해 만드는 모든 팀은 목록에서 다른 그룹을 선택하지 않는 경우 기본적으로 이 그룹에 추가됩니다.
Readers	프로젝트를 볼 수 있지만 수정할 수는 없습니다.	진행 중인 작업을 볼 수 있기를 원하는 관련자에게 할당합니다.
TeamName	Contributors 그룹에 할당된 권한을 그대로 상속합니다. 프로젝트 코드베이스 및 작업 항목 추적에 완전히 참가할 수 있으며,	팀 프로젝트를 만들 때 기본 팀 그룹이 생성되며 기본적으로 팀 프로젝트의 Contributors 그룹에 추가됩니다. 새로 만드는 모든 팀에 대한 그룹도 생성되어 Contributors 그룹에 추가됩니다.

이러한 프로젝트 수준 그룹 외에도 다음 두 가지 컬렉션 수준 그룹이 TFS의 모든 프로젝트에 표시됩니다.

• TeamProjectCollectionName**\Project Collection Administrators**

  이 컬렉션 수준 그룹의 권한은 변경할 수 없습니다.

• TeamProjectCollectionName**\Project Collection Build Service Accounts**

  이 그룹에 대해 프로젝트 수준 정보 보기 권한을 제거하거나 이 권한을 Deny로 설정하지 말아야 합니다.

허용, 거부, 설정 안 함 및 기타 권한 상태

TFS에서는 보안 권한에 최소 허용 모델을 사용합니다. 즉, 사용자가 두 그룹에 속해 있고 동일한 권한에 대해 한 그룹에는 허용, 다른 그룹에는 거부가 할당된 경우 거부가 허용보다 우선합니다. Project Collection Administrators 및 Team Foundation Server Administrators 그룹에 속한 사용자의 경우 이 규칙에 대한 몇 가지 예외가 적용됩니다.

권한에 대해 거부와 허용이라는 두 가지 명시적 권한 부여 상태를 지정할 수 있습니다. 또한 상속된 항목 허용, 상속된 항목 거부 및 설정 안 함이라는 세 가지 다른 상태도 있습니다. 설정 안 함은 암시적 거부 상태입니다.

권한	권한 부여
Allow	사용자가 특정 권한과 연관된 작업을 수행할 수 있도록 명시적으로 허용합니다. 허용은 일반적으로 그룹 멤버 자격에서 상속됩니다. 사용자가 작업에 액세스하려면 연관된 권한이 허용 또는 상속된 항목 허용으로 설정되어야 합니다.
Deny	사용자가 특정 권한과 연관된 작업을 수행하는 것을 명시적으로 금지합니다. 거부는 일반적으로 그룹 멤버 자격에서 상속됩니다.
상속된 항목 허용/상속된 항목 거부	사용자가 속한 그룹에 대해 설정된 권한에 따라 사용자가 특정 권한과 연관된 작업을 수행하는 것을 허용하거나 거부합니다.
설정 안 함	사용자가 특정 권한과 연관된 작업을 수행하는 것을 암시적으로 금지합니다. 그러나 권한이 명시적으로 거부 또는 허용으로 설정된 것은 아니므로 사용자나 그룹이 속해 있는 다른 그룹에서 해당 권한이 상속될 수도 있습니다. 기본적으로 대부분의 권한은 거부 또는 허용으로 설정되지 않습니다. 설정 안 함 상태로 유지됩니다.

권한 상태는 다음 우선 순위 설정을 따릅니다.

• 거부 권한은 허용을 비롯한 다른 모든 권한 설정보다 우선합니다. 예를 들어 사용자가 프로젝트의 두 그룹에 속해 있는 상황에서 한 그룹의 테스트 결과 게시 권한은 거부로 설정되어 있고 다른 그룹에서는 해당 권한이 허용으로 설정되어 있는 경우에는 거부 설정이 우선하므로 사용자는 테스트 결과를 게시할 수 있는 권한이 없습니다.

  이 규칙의 예외는 다음과 같습니다.

  • 권한이 계층적 부모로부터 상속된 경우에는 우선 순위가 다른 권한 설정보다 높지 않습니다. 계층적 권한 설정을 지원하는 기능은 다음과 같습니다.

    • Team Foundation 버전 제어에 대한 소스 제어 폴더

    • Git 리포지토리

    • 작업 항목 추적을 위한 영역 또는 반복 노드

    • 작업 항목 공유 쿼리 및 쿼리 폴더

    소스 제어 폴더, 리포지토리 또는 영역 자식 노드와 같은 특정 개체에 설정된 명시적 권한은 부모 개체에서 상속된 권한을 재정의합니다. 예를 들어 소스 제어 폴더에 설정된 거부는 해당 하위 폴더 중 하나에 설정된 허용을 재정의하지 않습니다.

  • 사용자가 Project Collection Administrators 또는 Team Foundation Administrators 그룹과 같은 Administrators 그룹에 속해 있고 권한 설명에 별도로 지정된 사항이 없는 경우

• 상속된 항목 허용은 설정 안 함보다 우선합니다.

상속

TFS 내의 권한은 상속될 수 있으므로 사용자나 그룹의 권한이 설정 안 함인 경우 해당 사용자나 그룹이 속해 있는 다른 그룹에 대한 명시적 권한 상태의 영향을 받을 수 있습니다. 예를 들어, 사용자 또는 그룹의 권한을 검토할 때 권한에 대해 설정된 허용 및 상속된 항목 허용이 모두 표시될 수 있습니다. 두 번째 사용 권한은 사용자 또는 그룹이 속한 다른 그룹에서 상속됩니다. 이 예제에서 사용자는 프로젝트 수준의 그룹 및 프로젝트 내 컬렉션 수준의 그룹에 속할 수 있습니다. 이러한 그룹 중 하나에서 특정 권한이 명시적으로 허용으로 설정되고 다른 그룹에서 같은 권한이 설정 안 함인 경우 사용자는 해당 권한으로 제어되는 작업을 수행할 수 있는 상속된 항목 허용 권한을 갖습니다. 사용자는 두 그룹에서 모두 권한을 상속하며 허용 권한이 설정 안 함 권한보다 우선합니다.

권한이 상속되는 이유를 이해하려면 권한 설정 위에서 일시 중지한 다음 이유를 선택합니다. 새 창이 열립니다. 이 창에는 해당 권한의 상속 정보가 표시됩니다.

일부 개체 수준 보안 대화 상자에서는 상속 설정/해제 옵션을 제공합니다. 이 옵션을 사용하여 폴더, 공유 쿼리 및 기타 개체에 대한 상속을 사용하지 않도록 설정할 수 있습니다.

권한을 할당할 때 해야 할 일과 해서는 안 되는 일

해야 할 일:

• 많은 사용자를 관리할 경우 Windows 그룹을 사용합니다.

• 프로젝트에 대한 작업 항목 쿼리를 만들고 공유할 수 있는 권한이 필요한 사용자 또는 그룹에 참가 권한을 부여하는 것이 좋습니다.

• 많은 팀을 추가할 때는 TFS에서 Team Administrators 그룹을 만들어 Project Administrators 그룹에서 사용할 수 있는 권한의 하위 집합을 할당하는 것이 좋습니다.

• 팀을 추가할 때는 팀 리더, 스크럼 마스터 및 그 밖에 영역 경로, 반복 경로, 쿼리 등을 만들고 수정해야 할 수 있는 팀 멤버에게 어떤 권한을 할당할지 고려해야 합니다.

해서는 안 되는 일:

• Project Administrators 그룹에 추가한 계정을 Readers 그룹에 추가하지 마세요. Readers 그룹에 계정을 추가하면 여러 권한에 거부 상태가 할당됩니다.

• Valid Users 그룹에 적용된 기본 할당을 변경하지 마세요. Valid Users 그룹 중 하나에 대해 인스턴스 수준 정보 보기 권한을 제거하거나 거부로 설정하면, 설정한 그룹에 따라 해당 그룹의 사용자가 팀 프로젝트, 컬렉션 또는 배포에 액세스할 수 없게 됩니다.

• '서비스 계정에만 할당'이라고 명시된 권한을 사용자 계정에 할당하지 마세요.

서버 수준 권한

서버 수준 권한은 배포의 모든 프로젝트 및 컬렉션에 영향을 줄 수 있는 권한을 부여합니다. Team Foundation 관리 콘솔 또는 TFSSecurity 명령줄 도구를 사용하여 서버 수준 권한을 설정할 수 있습니다.

Team Foundation Administrators와 같은 서버 수준 사용자 및 그룹과 직접 추가한 서버 수준 사용자 지정 그룹에 대해 이러한 권한을 설정할 수 있습니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	SharePoint Web Application Services	Team Foundation Administrators	Team Foundation Service Accounts
웨어하우스 관리(참고 1)	관리	Warehouse	Warehouse Control 웹 서비스를 사용하여 데이터 웨어하우스 또는 SQL Server Analysis 큐브에 대한 설정을 처리하거나 변경할 수 있습니다.
팀 프로젝트 컬렉션 만들기	CreateCollection	CollectionManagement	팀 프로젝트 컬렉션을 만들고 관리할 수 있습니다.
팀 프로젝트 컬렉션 삭제(참고 2)	DeleteCollection	CollectionManagement	팀 프로젝트 컬렉션을 배포에서 삭제할 수 있습니다.
인스턴스 수준 정보 편집(참고 3)	GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections	서버	TFS 사용자 및 그룹의 서버 수준 권한을 편집할 수 있으며, 서버 수준 그룹을 추가하거나 컬렉션에서 제거할 수 있습니다.
다른 사용자 대신 요청	Impersonate	서버	다른 사용자 또는 서비스를 대신해 작업을 수행할 수 있습니다. 서비스 계정에만 할당됩니다.
이벤트 트리거	TRIGGER_EVENT	서버	TFS 경고 이벤트를 트리거할 수 있습니다. 서비스 계정과 Team Foundation Administrators 그룹 멤버에게만 할당됩니다.
전체 웹 액세스 기능 사용(참고 4)	FullAccess	서버	모든 TWA 기능을 사용할 수 있습니다.
인스턴스 수준 정보 보기(참고 5)	GENERIC_READ	서버	서버 수준 그룹 멤버 자격 및 해당 사용자의 권한을 볼 수 있습니다.

참고:

1. 데이터 웨어하우스 및 Analysis 큐브를 다시 빌드하거나 완전히 처리하려면 추가 권한이 필요할 수도 있습니다.

2. 팀 프로젝트 컬렉션을 삭제하더라도 SQL Server에서 컬렉션 데이터베이스가 삭제되지는 않습니다.

3. 인스턴스 수준 정보 편집은 해당 인스턴스에 대해 정의된 모든 프로젝트 컬렉션에 정의되어 있는 모든 팀 프로젝트에서 다음 작업을 수행할 수 있는 권한을 포함합니다.

   • 팀 및 모든 팀 관련 기능 추가 및 관리

   • 영역 및 반복 만들기 및 수정

   • 체크 인 정책 편집

   • 공유 작업 항목 쿼리 편집

   • 프로젝트 수준 및 컬렉션 수준 권한 ACL 편집

   • 전역 목록 만들기 및 수정

   • 이벤트 구독(전자 메일 또는 SOAP) 편집

   메뉴를 사용하여 인스턴스 수준 정보 편집 권한을 설정하면 버전 제어 권한을 수정할 수 있는 자격도 사용자에게 암시적으로 부여됩니다. 명령 프롬프트에서 이러한 권한을 모두 부여하려면 tf.exe Permission 명령을 사용하여 GENERIC_WRITE 이외에 AdminConfiguration 및 AdminConnections 권한도 부여해야 합니다.

4. 전체 웹 액세스 기능 사용 권한이 거부로 설정되어 있으면 제한됨 그룹에 허용된 기능만 사용자에게 표시됩니다(액세스 수준 변경 참조). 거부는 Team Foundation Administrators와 같은 관리자 그룹의 멤버인 계정에 대해서도 모든 암시적 허용을 재정의합니다.

5. 인스턴스 수준 정보 보기 권한은 Team Foundation Valid Users 그룹에도 할당됩니다.

컬렉션 수준 권한

컬렉션 수준 권한은 다음 사용자 및 그룹에 대해 설정할 수 있는 컬렉션 수준의 작업에 대한 권한을 부여합니다.

• 컬렉션 수준 사용자 및 그룹(예: Project Collection Administrators)

• 컬렉션에 추가한 프로젝트 수준 그룹

• 컬렉션에 추가한 사용자 지정 그룹

컬렉션의 TWA 관리 페이지, Team Foundation 관리 콘솔, TFSSecurity 명령줄 도구 또는 tf 명령줄 도구를 사용하여 컬렉션 수준 권한을 설정할 수 있습니다. 모든 권한은 해당 권한이 설정된 특정 컬렉션으로 범위가 지정됩니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	Project Collection Service Accounts	Project Collection Build Service Accounts	Project Collection Build Administrators	Project Collection Administrators(참고 1)
빌드 리소스 권한 관리	AdministerBuildResourcePermissions	BuildAdministration	빌드 리소스에 대한 권한을 수정할 수 있습니다.
Project Server 통합 관리	AdministerProjectServer	ProjectServerAdministration	TFS와 Project Server의 통합을 구성하여 두 서버 제품 간에 데이터 동기화를 사용하도록 설정할 수 있습니다.
보류된 변경 내용 관리	AdminShelvesets tf: AdminShelvesets	VersionControlPrivileges	다른 사용자가 만든 보류 집합을 삭제할 수 있습니다.
작업 영역 관리	AdminWorkspaces tf: AdminWorkspaces	VersionControlPrivileges	다른 사용자를 위한 작업 영역을 만들고 다른 사용자가 만든 작업 영역을 삭제할 수 있습니다.
추적 설정 변경	DIAGNOSTIC_TRACE	컬렉션	TFS 웹 서비스에 대한 보다 자세한 진단 정보를 수집하기 위해 추적 설정을 변경할 수 있습니다.
작업 영역 만들기(참고 2)	tf: CreateWorkspace	VersionControlPrivileges	버전 제어 작업 영역을 만들 수 있습니다.
새 프로젝트 만들기(참고 3)	CREATE_PROJECTS	컬렉션	팀 프로젝트 컬렉션에서 프로젝트를 만들 수 있습니다.
팀 프로젝트 삭제(참고 4)	삭제	Project	팀 프로젝트를 삭제할 수 있습니다.
컬렉션 수준 정보 편집(참고 5)	GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections	컬렉션 VersionControlPrivileges	사용자 및 그룹을 추가하고 사용자 및 그룹의 컬렉션 수준 권한을 편집할 수 있습니다.
다른 사용자 대신 요청	Impersonate	서버	다른 사용자 또는 서비스를 대신해 작업을 수행할 수 있습니다. 서비스 계정에만 할당됩니다.
빌드 리소스 관리	ManageBuildResources	BuildAdministration	빌드 컴퓨터, 빌드 에이전트 및 빌드 컨트롤러를 관리할 수 있습니다.
프로세스 템플릿 관리	MANAGE_TEMPLATE	컬렉션	프로세스 템플릿을 다운로드, 생성, 편집 및 업로드할 수 있습니다.
테스트 컨트롤러 관리	MANAGE_TEST_CONTROLLERS	컬렉션	테스트 컨트롤러를 등록 및 등록 취소할 수 있습니다.
이벤트 트리거(참고 6)	TRIGGER_EVENT	컬렉션	컬렉션 내에서 프로젝트 경고 이벤트를 트리거할 수 있습니다. 서비스 계정에만 할당됩니다.
빌드 리소스 사용	UseBuildResources	BuildAdministration	빌드 에이전트를 예약 및 할당할 수 있습니다. 빌드 서비스에 대해 서비스 계정에만 할당됩니다.
빌드 리소스 보기	ViewBuildResources	BuildAdministration	컬렉션에 대해 구성된 빌드 컨트롤러 및 빌드 에이전트를 볼 수 있지만 사용할 수는 없습니다.
컬렉션 수준 정보 보기	GENERIC_READ	컬렉션	컬렉션 수준 그룹 멤버 자격 및 권한을 볼 수 있습니다.
시스템 동기화 정보 보기	SYNCHRONIZE_READ	컬렉션	동기화 응용 프로그래밍 인터페이스를 호출할 수 있습니다. 서비스 계정에만 할당됩니다.

참고:

1. 또한 다음과 같이 TFS 그룹에 기본 할당이 적용됩니다.

   • Project Collection Valid Users 그룹: 작업 영역 만들기, 빌드 리소스 보기 및 컬렉션 수준 정보 보기

   • Project Collection Proxy Service Accounts: 작업 영역 만들기, 빌드 리소스 보기 및 컬렉션 수준 정보 보기

   • Project Collection Test Service Accounts: 작업 영역 만들기, 테스트 컨트롤러 관리, 빌드 리소스 보기 및 컬렉션 수준 정보 보기

2. 작업 영역 만들기 권한은 Project Collection Valid Users 그룹의 모든 사용자에게 해당 멤버 자격의 일부로 부여됩니다.

3. 배포에 따라 추가 권한이 필요할 수도 있습니다. 또한 새 팀 프로젝트 만들기 마법사를 성공적으로 완료하려면 Visual Studio 또는 팀 탐색기를 관리자 권한으로 실행해야 합니다.

4. 팀 프로젝트를 삭제하면 프로젝트와 관련된 데이터가 모두 삭제됩니다. 프로젝트를 삭제하기 직전의 시점으로 컬렉션을 복원하는 방법을 제외하고는 팀 프로젝트 삭제를 실행 취소할 수 없습니다.

5. 컬렉션 수준 정보 편집은 컬렉션에 정의된 모든 팀 프로젝트에서 다음 작업을 수행할 수 있는 권한을 포함합니다.

   • 팀 및 모든 팀 관련 기능 추가 및 관리

   • 영역 및 반복 만들기 및 수정

   • 체크 인 정책 편집

   • 공유 작업 항목 쿼리 편집

   • 프로젝트 수준 및 컬렉션 수준 권한 ACL 편집

   • 전역 목록 만들기 및 수정

   • 프로젝트 또는 컬렉션 수준 이벤트에 대한 이벤트 구독(전자 메일 또는 SOAP) 편집

   TWA를 통해 컬렉션 수준 정보 편집을 허용으로 설정하면 사용자가 컬렉션 수준 TFS 그룹을 추가하거나 제거할 수 있으며, 이러한 사용자가 버전 제어 권한을 수정하도록 명시적으로 허용됩니다. 명령 프롬프트에서 이러한 권한을 모두 부여하려면 tf.exe Permission 명령을 사용하여 GENERIC_WRITE 이외에 AdminConfiguration 및 AdminConnections 권한도 부여해야 합니다.

6. 이 권한을 가진 사용자는 Project Collection Administrators와 같은 기본 제공 컬렉션 수준 그룹을 제거할 수 없습니다.

7. 다른 사용자에게 이 권한을 추가하면 서비스 거부 공격에 노출될 가능성이 있습니다.

프로젝트, 테스트 및 개체 수준 권한

프로젝트 수준 권한은 단일 프로젝트의 사용자 및 그룹과 관련됩니다. 프로젝트 내에서 영역, 반복, 소스 제어 폴더, 쿼리 및 쿼리 폴더, 빌드 정의 등 해당 프로젝트를 위해 만들어진 개체에 대한 권한을 설정할 수 있습니다. 팀 프로젝트나 컬렉션에 추가한 사용자 및 그룹에 대한 프로젝트 및 개체 수준 권한을 설정할 수 있습니다.

다음 기본 제공 프로젝트 수준 및 컬렉션 수준 그룹에는 많은 기본 권한이 할당됩니다.

• 프로젝트 수준 그룹: Builders, Contributors, Project Administrators 및 Readers

• 컬렉션 수준 그룹: Project Collection Administrators, Project Collection Build Service Accounts, Project Collection Proxy Service Accounts 및 Project Collection Test Service Accounts

프로젝트 및 테스트 수준 권한

프로젝트에 대한 TWA 관리 페이지 또는 TFSSecurity 명령줄 도구를 사용하여 프로젝트 수준 권한을 설정할 수 있습니다. 모든 프로젝트 수준 권한은 사용자에게 해당 사용자가 설정된 특정 팀 프로젝트에 대한 권한을 부여합니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	Build Administrators, Contributors 및 Teams	Project Administrators(참고 1)
태그 정의 만들기	Create	태그 지정	작업 항목 폼을 통해 태그를 추가할 수 있습니다.
테스트 실행 만들기	PUBLISH_TEST_RESULTS	Project	테스트 결과를 추가 및 제거하고 테스트 실행을 추가하거나 수정할 수 있습니다.
팀 프로젝트 삭제	Delete	Project	TFS에서 팀 프로젝트를 삭제할 수 있습니다.
테스트 실행 삭제	DELETE_TEST_RESULTS	Project	예약된 테스트를 삭제할 수 있습니다.
프로젝트 수준 정보 편집(참고 2)	GENERIC_WRITE	Project	사용자 및 그룹에 대한 프로젝트 수준 권한을 편집할 수 있습니다.
테스트 구성 관리	MANAGE_TEST_CONFIGURATIONS	Project	테스트 구성을 만들고 삭제할 수 있습니다.
테스트 환경 관리	MANAGE_TEST_ENVIRONMENTS	Project	이 권한이 있는 사용자는 테스트 환경을 만들고 삭제할 수 있습니다.
프로젝트 수준 정보 보기	GENERIC_READ	Project	프로젝트 수준 그룹 멤버 자격 및 권한을 볼 수 있습니다.
테스트 실행 보기	VIEW_TEST_RESULTS	Project	팀 프로젝트 영역 경로 아래의 테스트 계획을 볼 수 있습니다.

참고:

1. 또한 다음과 같이 TFS 그룹에 기본 할당이 적용됩니다.

   • Readers: 태그 정의 만들기, 프로젝트 수준 정보 보기, 테스트 실행 보기

   • Project Collection Administrators: 테스트 실행 삭제를 제외하고 Project Administrators와 동일한 권한

   • Project Collection Build Administrators: 테스트 실행 삭제를 제외하고 Project Administrators와 동일한 권한

   • Project Collection Build Service Accounts: 테스트 실행 만들기, 테스트 구성 관리, 테스트 환경 관리, 프로젝트 수준 정보 보기, 테스트 실행 보기

   • Project Collection Test Service Accounts: 테스트 실행 만들기, 테스트 구성 관리, 테스트 환경 관리, 프로젝트 수준 정보 보기

2. 프로젝트 수준 정보 편집은 팀 프로젝트에서 다음 작업을 수행할 수 있는 권한을 포함합니다.

   • 팀 및 모든 팀 관련 기능 추가 및 관리

   • 영역 및 반복 만들기 및 수정

   • 체크 인 정책 편집

   • 공유 작업 항목 쿼리 편집

   • 프로젝트 수준 권한 ACL 편집

   • 전역 목록 만들기 및 수정

   • 프로젝트 수준 이벤트에 대한 이벤트 구독(전자 메일 또는 SOAP) 편집

빌드 수준 권한

TWA 또는 팀 탐색기의 빌드 정의에 대한 상황에 맞는 메뉴 또는 TFSSecurity 명령줄 도구를 사용하여 모든 빌드 또는 빌드 정의에 대한 빌드 수준 권한을 설정할 수 있습니다.

권한 이름(UI)	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	참가자	Build Definition Authors 또는 Builders	빌드 관리자	Project Administrators(참고 1)
빌드 권한 관리	AdministerBuildPermissions	빌드	다른 사용자의 빌드 권한을 관리할 수 있습니다.
빌드 정의 삭제	DeleteBuildDefinition	빌드	이 프로젝트에 대한 빌드 정의를 삭제할 수 있습니다.
빌드 삭제	DeleteBuilds	빌드	완료된 빌드를 삭제할 수 있습니다.
빌드 제거	DestroyBuilds	빌드	완료된 빌드를 영구적으로 삭제할 수 있습니다.
빌드 정의 편집(참고 2)	EditBuildDefinition	빌드	이 프로젝트에 대한 빌드 정의를 만들고 수정할 수 있습니다.
빌드 품질 편집	EditBuildQuality	빌드	팀 탐색기 또는 Team Web Access를 통해 빌드 품질 정보를 추가할 수 있습니다.
빌드 품질 관리	ManageBuildQualities	빌드	빌드 품질을 추가하거나 제거할 수 있습니다.
빌드 큐 관리	ManageBuildQueue	빌드	큐에 대기 중인 빌드를 취소, 우선 순위 변경 또는 연기할 수 있습니다.
빌드의 체크 인 유효성 검사 재정의(참고 3)	OverrideBuildCheckInValidation	빌드	보류할 시스템을 트리거하지 않은 채 제어된 빌드 정의에 영향을 주는 변경 집합을 커밋하여 해당 변경 내용을 먼저 빌드할 수 있습니다.
큐에 빌드 대기	QueueBuilds	빌드	Team Foundation Build의 인터페이스나 명령 프롬프트를 통해 빌드를 큐에 배치할 수 있습니다. 대기 상태의 빌드를 중지할 수도 있습니다.
무기한 보존	RetainIndefinitely	빌드	빌드가 어떠한 관련 보존 정책에 의해서도 자동으로 삭제되지 않도록 표시할 수 있습니다.
빌드 중지	StopBuilds	빌드	다른 사용자에 의해 시작 및 큐에 대기 중인 빌드를 포함하여 진행 중인 모든 빌드를 중지할 수 있습니다.
빌드 정보 업데이트	UpdateBuildInformation	빌드	시스템에 빌드 정보 노드를 추가할 수 있으며 빌드 품질에 대한 정보를 추가할 수도 있습니다. 서비스 계정에만 할당됩니다.
빌드 정의 보기	ViewBuildDefinition	빌드	팀 프로젝트에 대해 만든 빌드 정의를 볼 수 있습니다.
빌드 보기	ViewBuilds	빌드	이 팀 프로젝트에 대해 대기 중이거나 완료된 빌드를 볼 수 있습니다.

참고:

1. 또한 다음 기본 제공 그룹에 다음과 같은 기본 할당이 적용됩니다.

   • Readers: 빌드 정의 보기 및 빌드 보기

   • Project Collection Administrators: 빌드 정보 업데이트를 제외한 모든 권한

   • Project Collection Build Administrators: 빌드의 체크 인 유효성 검사 재정의 및 빌드 정보 업데이트를 제외한 모든 권한

   • Project Collection Build Service Accounts: 빌드 품질 편집, 빌드 큐 관리, 빌드 정보 업데이트, 빌드의 체크 인 유효성 검사 재정의, 큐에 빌드 대기, 빌드 정의 보기 및 빌드 보기

   • Project Collection Test Service Accounts: 빌드 정보 업데이트, 빌드 정의 보기 및 빌드 보기

2. 특정 빌드 정의에 대한 권한을 제어하려면 빌드 정의에 대한 상속을 해제합니다.

   상속을 설정하면 빌드 정의에서 프로젝트 수준에 정의된 빌드 권한을 사용자 또는 그룹에 적용합니다. 예를 들어 사용자 지정 Build Managers 그룹에는 Fabrikam 프로젝트의 빌드를 수동으로 큐에 대기시키도록 설정된 권한이 있습니다. 이 경우 Fabrikam 프로젝트에 대해 상속이 설정된 모든 빌드 정의는 Build Managers 그룹의 멤버가 빌드를 수동으로 대기시킬 수 있도록 허용합니다.

   그러나 Fabrikam 프로젝트에 대한 상속을 해제하면 특정 빌드 정의에 대해 Project Administrators만 빌드를 수동으로 큐에 대기시키도록 허용하는 권한을 설정할 수 있습니다. 그런 다음 해당 빌드 정의에 대한 권한을 구체적으로 설정할 수 있습니다.

3. 빌드의 체크 인 유효성 검사 재정의 권한은 빌드 서비스의 서비스 계정과 코드의 품질을 담당하는 빌드 관리자에게만 할당됩니다. 자세한 내용은 제어된 체크 인 빌드에 의해 제어되는 보류 중인 변경 내용 체크 인을 참조하십시오.

작업 항목 쿼리 권한

TWA 또는 팀 탐색기의 공유 쿼리에 대한 바로 가기 메뉴 또는 TFSSecurity 명령줄 도구를 사용하여 작업 항목 쿼리 권한을 설정할 수 있습니다. 모든 권한은 해당 권한이 설정된 특정 쿼리 또는 쿼리 폴더로 범위가 지정됩니다.

프로젝트에 대한 작업 항목 쿼리를 만들고 공유할 수 있는 권한이 필요한 사용자 또는 그룹에 참가 권한을 부여하는 것이 좋습니다. 쿼리 차트를 만들려면 고급 액세스 권한이 필요합니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	Readers, Contributors, Build Administrators	Creator Owners, Project Administrators, Project Collection Administrators
참가	CONTRIBUTE	WorkItemQueryFolders	이 쿼리 또는 쿼리 폴더를 보고 수정할 수 있습니다.
삭제	Delete	WorkItemQueryFolders	쿼리 또는 쿼리 폴더와 해당 내용을 삭제할 수 있습니다.
사용 권한 관리	MANAGEPERMISSIONS		이 쿼리 또는 쿼리 폴더의 권한을 관리할 수 있습니다.
읽기	READ	WorkItemQueryFolders	폴더에 있는 쿼리를 보고 사용할 수 있지만 해당 쿼리나 쿼리 폴더 내용을 수정할 수는 없습니다.
	FullControl	WorkItemQueryFolders	쿼리 또는 쿼리 폴더와 해당 내용에 대한 권한을 확인, 편집, 삭제 및 관리할 수 있습니다.

권한 태그 지정

태그를 사용하면 작업 항목을 신속하게 그룹화하거나 분류할 수 있습니다. 태그 지정 권한은 TFS 2013.2 이상이 설치된 온-프레미스 TFS 배포에서 사용할 수 있습니다. 태그 정의 만들기는 TWA 관리 보안 페이지에서 설정할 수 있으며, 나머지 권한은 모두 TFSSecurity 명령줄 도구를 사용하여 설정합니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	Readers	참가자	Project Administrators(참고 1)
태그 정의 만들기(참고 2)	CREATE	태그 지정	새 태그를 만들고 이를 작업 항목에 적용할 수 있습니다. 이 권한이 없는 사용자는 팀 프로젝트에 대한 기존의 태그 집합에서만 선택할 수 있습니다.
태그 정의 삭제(참고 3, 4)	Delete	태그 지정	해당 프로젝트에 사용 가능한 태그 목록에서 태그를 제거할 수 있습니다.
태그 정의 열거(참고 4, 5)	ENUMERATE	태그 지정	팀 프로젝트 내부의 작업 항목에 사용 가능한 태그 목록을 볼 수 있습니다. 이 권한이 없는 사용자는 작업 항목 양식 또는 쿼리 편집기에서 선택할 수 있는 태그 목록을 볼 수 없습니다.
태그 정의 업데이트(참고 4)	UPDATE	태그 지정	EST API를 사용하여 태그 이름을 바꿀 수 있습니다.

참고:

1. 또한 Project Collection Service Accounts 그룹에는 모든 태그 지정 권한이 명시적으로 할당됩니다.

2. Readers 및 Contributors는 태그 정의 만들기 권한이 Project Valid Users 그룹에 허용으로 명시적으로 설정되어 있으므로 이 권한을 상속합니다.

   팀 프로젝트 수준에서 태그 정의 만들기 권한이 보안 설정에 나타나더라도, 태그 지정 권한은 사용자 인터페이스에 나타날 때 실제로는 프로젝트 수준에서 범위가 지정되는 컬렉션 수준 권한입니다. TFSSecurity 명령을 사용할 때 태그 지정 권한의 범위를 단일 팀 프로젝트로 지정하려면 명령 구문의 일부로 프로젝트에 대한 GUID를 제공해야 합니다. 그렇지 않으면 변경 내용이 전체 팀 프로젝트 컬렉션에 적용됩니다. 이런 권한을 변경하거나 설정할 때 이 점을 명심하십시오.

3. UI에서는 태그 삭제를 지원하지 않습니다. 태그를 삭제하려면 태그와 연결된 할당을 제거하세요. TFS에서는 3일 동안 사용되지 않은 미할당 태그를 자동으로 삭제합니다.

4. UI에 나타나지 않습니다. TFSSecurity 명령으로만 설정할 수 있습니다.

5. Readers 및 Contributors에 대해 허용으로 설정된 프로젝트 수준 정보 보기는 이러한 그룹의 사용자가 기존 태그를 볼 수 있도록(태그 정의 열거 권한) 암시적으로 허용합니다.

작업 항목 추적을 위한 영역 수준 권한

영역 수준 권한은 영역 트리 계층 내 해당 위치에 따라 프로젝트에 정의된 작업 항목에 대한 액세스를 허용하거나 제한합니다.

영역에 대한 TWA 관리 페이지 또는 TFSSecurity 명령줄 도구를 사용하여 영역 수준 권한을 정의하고 설정할 수 있습니다. 모든 권한은 해당 권한이 설정된 특정 영역 경로로 범위가 지정됩니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	참가자	빌드 관리자	Project Collection Build Service Accounts(참고 1)
자식 노드 만들기(참고 2)	CREATE_CHILDREN	CSS	영역 노드를 만들 수 있습니다. 이 권한과 이 노드 편집 권한이 모두 있는 사용자는 모든 자식 영역 노드를 이동하거나 순서를 변경할 수 있습니다.
이 노드 삭제(참고 2)	Delete	CSS	이 권한과 함께 다른 노드에 대한 이 노드 편집 권한이 있는 사용자는 영역 노드를 삭제하고 해당 노드의 기존 작업 항목을 다시 분류할 수 있습니다. 삭제하려는 노드에 자식 노드가 있으면 해당 자식 노드도 함께 삭제됩니다.
이 노드 편집(참고 2)	GENERIC_WRITE	CSS	이 노드의 권한을 설정하고 영역 노드의 이름을 바꿀 수 있습니다.
이 노드의 작업 항목 편집(참고 3)	WORK_ITEM_WRITE	CSS	이 영역 노드의 작업 항목을 편집할 수 있습니다.
테스트 계획 관리(참고 4)	MANAGE_TEST_PLANS	CSS	빌드 및 테스트 설정과 같은 테스트 계획 속성을 수정할 수 있습니다.
테스트 도구 모음 관리(참고 4)	MANAGE_TEST_SUITES	CSS	테스트 도구 모음을 만들고 삭제하고, 테스트 도구 모음의 테스트 사례를 추가 및 제거하고, 테스트 도구 모음과 연결된 테스트 구성을 변경하고, 도구 모음 계층을 수정(테스트 도구 모음 이동)할 수 있습니다.
이 노드에 대한 사용 권한 보기	GENERIC_READ	CSS	이 노드의 보안 설정을 볼 수 있습니다.
이 노드의 작업 항목 보기(참고 5)	WORK_ITEM_READ	CSS	이 영역 노드의 작업 항목을 볼 수 있지만 이를 변경할 수는 없습니다.

참고:

1. 또한 다음 기본 제공 그룹에 다음과 같은 기본 할당이 적용됩니다.

   • Readers: 이 노드에 대한 권한 보기 및 보기 전용 권한

   • Project Collection Test Service Accounts: 보기 전용 권한

   • Team Foundation Administrators, Project Collection Administrators 및 Project Administrators: 모든 CSS 권한 인스턴스 수준 정보 편집, 컬렉션 수준 정보 편집 또는 프로젝트 수준 정보 편집 권한이 있는 사용자 또는 그룹은 영역 노드를 만들고 관리할 수 있습니다.

   • Project Collection Valid Users 또는 Project Valid Users의 멤버나 컬렉션 수준 정보 보기 또는 프로젝트 수준 정보 보기 권한이 있는 사용자 또는 그룹은 모든 영역 노드의 권한을 볼 수 있습니다.

2. 영역 노드를 삭제하거나 추가하거나 이름을 바꾸어야 할 수 있는 수동으로 추가한 사용자 또는 그룹에 이 권한을 추가하는 것이 좋습니다.

3. 영역 노드 아래의 작업 항목을 편집해야 할 수 있는 수동으로 추가한 사용자 또는 그룹에 이 권한을 추가하는 것이 좋습니다.

4. 테스트 도구 모음 관리 권한은 TFS 2013.3 업데이트에서 추가되었습니다. 이 영역 노드 아래의 테스트 계획 또는 테스트 도구 모음을 관리해야 할 수 있는 수동으로 추가한 사용자 또는 그룹에 이러한 권한을 추가하는 것이 좋습니다.

5. 이 노드의 작업 항목 보기를 거부로 설정하면 사용자가 이 영역 노드의 작업 항목을 볼 수 없게 됩니다. 거부는 Team Foundation Administrators와 같은 관리자 그룹의 멤버인 계정에 대해서도 모든 암시적 허용을 재정의합니다.

작업 항목 추적을 위한 반복 수준 권한

반복 수준 권한은 반복 경로를 만들고 관리할 수 있는 권한을 허용하거나 제한합니다.

반복에 대한 TWA 관리 페이지 또는 TFSSecurity 명령줄 도구를 사용하여 팀 프로젝트 또는 컬렉션에 추가한 사용자 및 그룹에 대한 반복 수준 권한을 설정할 수 있습니다. 모든 권한은 해당 권한이 설정된 특정 반복 경로로 범위가 지정됩니다.

일부 작업 항목 추적 작업을 수행하려면 여러 가지 권한이 있어야 합니다. 예를 들어 노드를 삭제하려면 여러 가지 권한이 필요합니다.

팀 관리자, 스크럼 마스터 또는 팀 리더에게 노드를 생성, 편집 또는 삭제할 권한을 부여하는 것이 좋습니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	Project Administrators(참고 1)
자식 노드 만들기(참고 2)	CREATE_CHILDREN	반복	반복 노드를 만들 수 있습니다. 이 권한과 이 노드 편집 권한이 모두 있는 사용자는 모든 자식 반복 노드를 이동하거나 순서를 변경할 수 있습니다.
이 노드 삭제(참고 2)	Delete	반복	이 권한과 함께 다른 노드에 대한 이 노드 편집 권한이 있는 사용자는 반복 노드를 삭제하고 해당 노드의 기존 작업 항목을 다시 분류할 수 있습니다. 삭제하려는 노드에 자식 노드가 있으면 해당 자식 노드도 함께 삭제됩니다.
이 노드 편집(참고 2)	GENERIC_WRITE	반복	이 노드의 권한을 설정하고 반복 노드의 이름을 바꿀 수 있습니다.
이 노드에 대한 권한 보기(참고 3)	GENERIC_READ	반복	이 노드의 보안 설정을 볼 수 있습니다.

참고:

1. Team Foundation Administrators 및 Project Collection Administrators에는 모든 반복 권한이 부여됩니다. 인스턴스 수준 정보 편집, 컬렉션 수준 정보 편집 또는 프로젝트 수준 정보 편집 권한이 있는 사용자 또는 그룹은 반복 노드를 만들고 관리할 수 있습니다.

2. 반복 노드를 삭제하거나 추가하거나 이름을 바꾸어야 할 수 있는 수동으로 추가한 사용자 또는 그룹에 이 권한을 추가하는 것이 좋습니다.

3. Project Collection Valid Users 또는 Project Valid Users의 멤버나 컬렉션 수준 정보 보기 또는 프로젝트 수준 정보 보기 권한이 있는 사용자 또는 그룹은 모든 반복 노드의 권한을 볼 수 있습니다.

TFVC(Team Foundation 버전 제어) 권한

TWA 또는 팀 탐색기의 파일 또는 폴더 정의에 대한 상황에 맞는 메뉴 또는 tf permission 명령줄 도구를 사용하여 TFVC 소스 코드 파일 및 폴더에 대한 권한을 설정할 수 있습니다. 이러한 권한은 TFVC를 소스 제어 시스템으로 사용하도록 설정된 팀 프로젝트에만 표시됩니다.

버전 제어 권한에서는 명시적 거부가 관리자 그룹 권한보다 우선적으로 적용됩니다.

권한 이름	TFSSecurity 동작 및 tf 권한	TFSSecurity 네임스페이스	설명	참가자	빌드 관리자	Project Collection Build Service Accounts	Project Administrators(참고 1)
레이블 관리	tf: LabelOther	VersionControlItems	다른 사용자가 만든 레이블을 편집하거나 삭제할 수 있습니다.
체크 인(참고 2)	tf: Checkin	VersionControlItems	항목을 체크 인하고 커밋된 변경 집합 주석을 수정할 수 있습니다. 보류 중인 변경 내용은 체크 인 시 커밋됩니다.
다른 사용자의 변경 내용 체크 인	tf: CheckinOther	VersionControlItems	다른 사용자가 수행한 변경 내용을 체크 인할 수 있습니다. 보류 중인 변경 내용은 체크 인 시 커밋됩니다.
체크 아웃(참고 2)	tf: PendChange	VersionControlItems	폴더에 있는 항목을 체크 아웃하고 항목에 대해 보류 중인 변경 작업을 수행할 수 있습니다. 보류 중인 변경 작업의 예로는 파일 추가, 편집, 이름 바꾸기, 삭제, 삭제 취소, 분기, 병합 등이 있습니다. 보류 중인 변경 내용을 체크 인해야 하므로 팀과 변경 내용을 공유하려면 체크 인 권한도 필요합니다.
레이블	tf: Label	VersionControlItems	항목의 레이블을 지정할 수 있습니다.
잠금	tf: Lock	VersionControlItems	폴더 또는 파일을 잠그거나 잠금을 해제할 수 있습니다.
분기 관리	tf: ManageBranch	VersionControlItems	분기의 속성을 편집하고, 해당 부모를 재지정하고, 분기를 폴더로 변환하는 작업을 수행할 수도 있습니다. 이 권한이 있는 사용자는 대상 경로에 대한 병합 권한이 있는 경우에만 이 분기를 분기할 수 있습니다. 사용자에게 분기 관리 권한이 없는 분기로부터는 분기를 만들 수 없습니다.
사용 권한 관리(참고 3)	tf: AdminProjectRights	VersionControlItems	버전 제어에서 폴더와 파일에 대한 다른 사용자의 권한을 관리할 수 있습니다.
병합(참고 4)	tf: Merge	VersionControlItems	변경 내용을 해당 경로에 병합할 수 있습니다.
읽기	tf: Read	VersionControlItems	파일이나 폴더의 내용을 읽을 수 있습니다. 폴더에 대한 읽기 권한이 있는 사용자는 파일을 여는 데 필요한 권한이 없더라도 폴더의 내용과 폴더에 있는 파일의 속성을 볼 수 있습니다.
다른 사용자의 변경 내용 수정(참고 5)	tf: ReviseOther	VersionControlItems	다른 사용자가 파일을 체크 인한 경우에도 해당 파일의 주석을 편집할 수 있습니다.
다른 사용자의 변경 내용 취소(참고 5)	tf: UndoOther	VersionControlItems	다른 사용자가 수행한 보류 중인 변경 내용을 취소할 수 있습니다.
다른 사용자의 변경 내용 잠금 해제(참고 5)	tf: UnlockOther	VersionControlItems	다른 사용자가 잠근 파일의 잠금을 해제할 수 있습니다.

참고:

1. 또한 Project Collection Administrators 및 Project Collection Service Accounts의 경우 모든 권한이 상속된 항목 허용으로 설정됩니다.

   Readers 그룹에는 보기 전용 권한, 즉 읽기 권한이 할당됩니다.

2. 프로젝트의 개발에 참가한 수동으로 추가한 사용자 또는 그룹과 변경 내용을 체크 인 및 체크 아웃하거나, 폴더의 항목에 대해 보류 중인 변경 작업을 수행하거나, 커밋된 변경 집합 주석을 수정할 수 있어야 하는 사용자에게 이러한 권한을 추가하는 것이 좋습니다.

3. 이 프로젝트의 개발에 참가하며 프로젝트가 보다 제한적인 개발 방법을 사용하지 않는 경우 개인 분기를 만들 수 있어야 하는 수동으로 추가한 사용자 또는 그룹에 이 권한을 추가하는 것이 좋습니다.

4. 이 프로젝트의 개발에 참가하며 프로젝트가 보다 제한적인 개발 방법을 사용하지 않는 경우 소스 파일을 병합할 수 있어야 하는 수동으로 추가한 사용자 또는 그룹에 이 권한을 추가하는 것이 좋습니다.

5. 프로젝트를 감독 또는 모니터링하며 다른 사용자가 파일을 체크 인했더라도 체크 인된 파일의 설명을 변경할 수 있거나 변경해야 하는 수동으로 추가한 사용자 또는 그룹에 이 권한을 추가하는 것이 좋습니다.

Git 리포지토리 권한

TWA의 상황에 맞는 메뉴 또는 관리 페이지, TFSSecurity 명령줄 도구를 사용하여 Git 프로젝트, 리포지토리 또는 분기에 대한 권한을 설정할 수 있습니다. 이러한 권한은 Git를 소스 제어 시스템으로 사용하도록 설정된 팀 프로젝트에만 표시됩니다.

프로젝트 또는 리포지토리에 대한 모든 권한을 설정할 수 있습니다. 분기에 대한 관리, 참가, 기록 다시 작성 및 제거(강제 보내기) 권한을 설정할 수 있습니다. 리포지토리 및 분기는 프로젝트 수준에서 만들어진 할당의 권한을 상속합니다.

기본적으로 프로젝트 수준 및 컬렉션 수준 Readers 그룹에는 읽기 권한만 부여됩니다.

권한 이름	TFSSecurity 동작	TFSSecurity 네임스페이스	설명	참가자	빌드 관리자	Project Administrators(참고 1)
관리(참고 2)	관리	GitRepositories	리포지토리의 이름을 바꾸고, 리포지토리를 추가하고, 데이터베이스를 확인하고, 분기에 대한 권한을 설정할 수 있습니다. 이 권한을 가진 사용자에게 강제 권한도 있는 경우 리포지토리를 삭제할 수 있습니다. 분기 수준에서 분기 및 분기 삭제에 대한 권한을 설정할 수 있습니다.
분기 만들기	CreateBranch	GitRepositories	리포지토리에 분기를 게시할 수 있습니다. 이 권한이 없다고 해서 로컬 리포지토리에 분기를 만들 수 없도록 제한되지는 않습니다. 단지 서버에 로컬 분기를 게시할 수 없도록 차단됩니다. 사용자가 서버에서 새 분기를 만드는 경우 기본적으로 해당 분기에 대한 관리, 참가 및 강제 권한을 갖게 됩니다.
참가	GenericContribute	GitRepositories	변경 내용을 리포지토리로 푸시할 수 있습니다. 분기 수준에서 변경 내용을 분기로 푸시할 수 있습니다.
메모 관리	ManageNote	GitRepositories	Git 메모를 리포지토리로 푸시하고 편집할 수 있습니다. 강제 권한이 있는 경우 항목에서 메모를 제거할 수도 있습니다. 메모에 대한 자세한 내용은 이 항목을 참조하세요.
읽기	GenericRead	GitRepositories	리포지토리의 내용을 복제, 페치, 끌어오기 및 탐색할 수 있지만 변경 내용을 리포지토리로 푸시할 수는 없습니다.
기록 다시 작성 및 제거(강제 보내기)	ForcePush	GitRepositories	강제로 업데이트할 수 있습니다. 즉 다른 사용자의 커밋을 덮어쓰거나 삭제할 수 있습니다. 커밋을 삭제하면 기록이 변경됩니다. 이 권한이 없는 사용자는 자신의 변경 내용을 삭제할 수 없습니다. 기록 다시 작성 및 제거는 분기를 삭제할 때도 필요합니다. 기록 다시 작성 및 제거를 사용하면 사용자가 기록을 변경하거나 기록에서 커밋을 제거할 수 있으므로 이 사용 권한을 가진 사용자가 변경 내용과 해당 기록을 서버에서 삭제할 수 있습니다. 또한 서버 리포지토리의 커밋 기록을 수정할 수 있습니다. 분기 수준에서 분기 기록을 다시 작성하거나 제거할 수 있습니다.
태그 만들기	CreateTag	GitRepositories	태그를 리포지토리로 푸시할 수 있으며, 강제 권한이 있는 경우 태그를 편집하거나 항목에서 제거할 수도 있습니다.

참고:

1. Project Collection Administrators 및 Project Collection Service Accounts의 경우 모든 권한이 상속된 항목 허용으로 설정됩니다.

   Readers 및 Project Collection Build Service Accounts 그룹에는 보기 전용 권한, 즉 읽기 권한이 할당됩니다.

2. 프로젝트의 개발에 참가한 수동으로 추가한 사용자 또는 그룹에 모든 권한을 추가하는 것이 좋습니다.

Lab Management 권한

Visual Studio Lab Management 권한은 가상 컴퓨터, 환경 및 기타 리소스에 적용됩니다. 또한 Lab Management에서 개체를 만든 작성자에게는 해당 개체에 대한 모든 권한이 자동으로 부여됩니다. TFSLabConfig permissions 명령줄 도구를 사용하여 이러한 권한을 설정할 수 있습니다.

기본적으로 프로젝트 수준 및 컬렉션 수준 Readers 그룹에는 랩 리소스 보기(읽기) 권한만 부여됩니다.

권한 이름	TFSLabConfig 권한	설명	Contributors(참고 1)	Project Administrators	Project Collection Build Service	Team Foundation Administrators, Project Collection Administrators
환경 및 가상 컴퓨터 삭제	삭제	환경 및 템플릿을 삭제할 수 있습니다. 삭제하려는 개체에 대해 이 권한이 있는지 여부가 확인됩니다.
랩 위치 삭제	DeleteLocation	컬렉션 호스트 그룹, 컬렉션 라이브러리 공유, 프로젝트 호스트 그룹, 프로젝트 라이브러리 공유 등 다양한 Lab Management 리소스의 위치를 삭제할 수 있습니다. 위치를 삭제하려면 해당 위치에 대한 랩 위치 삭제 권한이 있어야 합니다.
환경 및 가상 컴퓨터 편집	Edit	환경 및 템플릿을 편집할 수 있습니다. 편집하려는 개체에 대해 이 권한이 있는지 여부가 확인됩니다.
환경 작업	EnvironmentOps	스냅숏을 시작, 중지, 일시 중지 및 관리할 수 있으며, 환경에 대한 기타 작업을 수행할 수 있습니다.
가상 컴퓨터 가져오기	Create	VMM 라이브러리 공유 위치에서 가상 컴퓨터를 가져올 수 있습니다. 이 권한은 Lab Management에 개체를 만들 수만 있고 Virtual Machine Manager 호스트 그룹이나 라이브러리 공유 위치에 어떠한 개체도 쓸 수 없다는 점에서 쓰기 권한과 다릅니다.
자식 권한 관리	ManageChildPermissions	모든 자식 Lab Management 개체의 권한을 변경할 수 있습니다. 예를 들어 팀 프로젝트 호스트 그룹에 대한 자식 권한 관리 권한이 있는 사용자는 팀 프로젝트 호스트 그룹 아래 있는 모든 환경의 권한을 변경할 수 있습니다.
랩 위치 관리	ManageLocation	컬렉션 호스트 그룹, 컬렉션 라이브러리 공유, 프로젝트 호스트 그룹, 프로젝트 라이브러리 공유 등 다양한 Lab Management 리소스의 위치를 편집할 수 있습니다. 특정 위치를 편집하려면 해당 위치에 대한 랩 위치 관리 권한이 있어야 합니다. 컬렉션 수준 위치(컬렉션 호스트 그룹 및 컬렉션 라이브러리 공유 위치)에 대해 이 권한이 있으면 프로젝트 수준 위치(프로젝트 호스트 그룹 및 프로젝트 라이브러리 공유 위치)도 만들 수 있습니다.
사용 권한 관리	ManagePermissions	Lab Management 개체에 대한 권한을 수정할 수 있습니다. 해당 권한을 수정하려는 개체에 대해 이 권한이 있는지 여부가 확인됩니다.
스냅숏 관리	ManageSnapshots	스냅숏 만들기, 스냅숏 되돌리기, 스냅숏 이름 바꾸기, 스냅숏 삭제, 스냅숏 읽기 등 환경에 대한 모든 스냅숏 관리 작업을 수행할 수 있습니다.
환경 일시 중지	Pause	환경을 일시 중지할 수 있습니다.
시작	시작	환경을 시작할 수 있습니다.
중지	중지	환경을 중지할 수 있습니다.
랩 리소스 보기	읽기	컬렉션 호스트 그룹, 프로젝트 호스트 그룹, 환경 등 다양한 Lab Management 리소스에 대한 정보를 볼 수 있습니다. 특정 랩 리소스에 대한 정보를 보려면 해당 리소스에 대한 랩 리소스 보기 권한이 있어야 합니다.
환경 및 가상 컴퓨터 쓰기	Write	프로젝트 호스트 그룹에 대한 환경을 만들 수 있습니다. 프로젝트 라이브러리 공유에 대해 이 권한이 있는 사용자는 환경과 템플릿을 저장할 수 있습니다.

참고:

1. Readers 그룹에는 보기 전용 권한, 즉 읽기 권한이 할당됩니다.

Release Management 권한

Release Management에서 사용자에게 할당되는 역할에 따른 권한, 그룹에 할당되는 명시적인 직무상 권한, 또는 릴리스 개체의 특정 인스턴스에 할당되는 권한을 할당할 수 있습니다, 또한, 승인자 및 유효성 검사자를 릴리스 경로 내부의 특정 스테이지에 할당하여 배포되는 응용 프로그램이 품질 표준을 충족하도록 할 수 있습니다.

• 역할 기반: 릴리스 관리자와 서비스 사용자의 두 가지 역할이 있습니다. 릴리스 관리자는 자신이 연결되어 있는 그룹과는 상관없이 모든 기능을 관리할 수 있습니다. 서비스 사용자는 서비스 계정 역할에 해당합니다. 사용자의 액세스를 제한하려면 사용자를 어떤 역할에도 할당하지 마십시오. 대신, 연결된 그룹에 할당된 권한을 상속하도록 합니다.

• 그룹: 특정 기능 영역에 대한 액세스를 제한하려면 해당 그룹에서 허용되는 권한을 할당합니다. 해당 그룹의 멤버는 그룹에 할당된 권한을 상속합니다. 액세스를 제한하려면 기본적으로 모든 권한을 가진 모든 사용자 그룹에 부여된 권한을 변경해야 합니다.

• 개체: 역할 및 그룹 외에도, 액세스 권한을 릴리스 경로와 릴리스 템플릿의 보안을 편집하고 보고 관리하는 것으로 제한할 수 있습니다. 릴리스 경로의 보안 탭과 릴리스 템플릿의 속성 페이지를 통해 이 작업을 수행합니다.

• 승인자 및 유효성 검사자: 승인자와 유효성 검사자는 릴리스의 각 단계 또는 스테이지에서 로그오프해야 합니다. 릴리스 경로를 구성할 때 승인자와 유효성 검사자를 할당합니다. 모든 승인자 및 유효성 검사자는 Release Management에서 그룹의 멤버 또는 사용자로 추가되어야 합니다.

Release Management는 Release Management에 추가하는 모든 계정이 속한 단일 기본 그룹인 모든 사용자를 정의합니다. 또한, 릴리스 관리자 및 서비스 사용자 역할에 특정 권한이 할당됩니다.

Release Management 클라이언트에서 Release Management 사용 권한을 관리합니다. 설정 위치 열에 나열된 하위 메뉴를 열어 이런 권한을 설정할 수 있습니다. 이런 권한을 설정하는 방법에 대한 자세한 내용은 사용자 및 그룹 추가 및 Release Management 액세스 제어를 참조하세요. Release Management를 설치하려면 여기로 이동하십시오.

권한 이름 또는 사용자 역할	설정 위치	설명	모든 사용자	릴리스 관리자 역할	서비스 사용자 역할
릴리스 관리자	관리 > 내 프로필 및 새 사용자 페이지	Release Management 서버를 관리하고, TFS와 Release Management 사이의 연결을 관리하고, 다음 개체를 관리할 수 있습니다. 릴리스 경로에 정의된 릴리스 경로 및 스테이지 정보입니다. 릴리스 템플릿에 정의된 모든 스테이지에 대한 배포 시퀀스 및 구성 변수와 사용자 지정 도구 및 작업 추가를 포함한 릴리스 템플릿. 모든 기능 영역에 대한 보안. 이 권한을 추가할 대상: Release Management 서버를 관리할 사용자
서비스 사용자	관리 > 내 프로필 및 새 사용자 페이지	배포 또는 웹 응용 프로그램 풀을 관리할 수 있습니다. 이 권한을 추가할 대상: 서버 응용 프로그램 풀, 배포 에이전트의 Windows 서비스, Windows 서비스의 Release Management 모니터링을 실행하도록 할당된 서비스 계정 ID
보기	응용 프로그램 구성 > 릴리스 템플릿 > 속성 경로 구성 > 릴리스 경로	릴리스 템플릿 또는 릴리스 경로를 보고, 특정 릴리스 템플릿 및 릴리스 경로에 대한 보기 액세스를 특정 사용자에게 선택적으로 할당할 수 있습니다. 이 권한을 추가할 대상: 특정 릴리스 템플릿이나 릴리스 경로를 볼 필요가 있지만 편집은 하지 않아도 되는 사용자 또는 그룹
Edit	응용 프로그램 구성 > 릴리스 템플릿 > 속성 경로 구성 > 릴리스 경로	릴리스 템플릿 또는 릴리스 경로를 편집하고, 특정 사용자에 대한 특정 릴리스 템플릿 및 릴리스 경로를 편집할 수 있는 사용자를 선택할 수 있습니다. 이 권한을 추가할 대상: 특정 릴리스 템플릿이나 릴리스 경로를 편집해야 하는 사용자 또는 그룹
릴리스할 수 있음	응용 프로그램 구성 > 릴리스 템플릿 > 속성	릴리스를 시작하고 볼 수 있는 릴리스 템플릿에서 릴리스를 시작할 수 있는 사용자를 지정할 수 있습니다. 이 권한을 추가할 대상: 릴리스를 시작할 사용자 또는 그룹 이 권한이 있으면 자신이 볼 수 있는 릴리스 템플릿에서 릴리스를 시작할 수 있는 사용자를 지정할 수 있습니다.
보안 관리	응용 프로그램 구성 > 릴리스 템플릿 > 속성 경로 구성 > 릴리스 경로	릴리스 템플릿 또는 릴리스 경로 보기, 편집 또는 관리 권한이 있는 그룹을 관리할 수 있습니다. 이 권한을 추가할 대상: 릴리스 템플릿 또는 릴리스 경로 보기, 편집 또는 관리 권한이 있는 그룹을 관리할 사용자 또는 그룹 이 권한이 있으면 릴리스 템플릿 및 릴리스 경로의 작성자가 특정 템플릿 또는 경로를 보거나 편집하거나 릴리스할 수 있는 사용자를 관리할 수 있습니다.
릴리스 템플릿 만들기 가능	응용 프로그램 구성 > 릴리스 템플릿	릴리스 템플릿을 정의할 수 있습니다. 이 권한이 없으면 응용 프로그램 구성 > 릴리스 템플릿 탭의 새로 만들기 단추가 숨겨집니다. 이 권한을 추가할 대상: 릴리스를 만들거나 시작하거나 승인해야 하는 사용자 또는 그룹
릴리스 경로 만들기 가능	경로 구성 > 릴리스 경로	릴리스 경로의 스테이지, 승인 프로세스 및 보안을 정의할 수 있습니다. 이 권한이 없으면 경로 구성 > 릴리스 경로 탭의 새로 만들기 단추가 숨겨집니다. 이 권한을 추가할 대상: 응용 프로그램 배포에 사용되는 릴리스 구성을 관리해야 하는 사용자 또는 그룹
환경 관리 가능	경로 구성 > 환경	각 스테이지에 대한 릴리스 경로와 서버 및 보안으로 구성되는 스테이지를 정의할 수 있습니다. 이 권한이 없으면 경로 구성 > 환경 탭이 숨겨집니다. 이 권한을 추가할 대상: 릴리스 경로를 정의하는 데 사용되는 서버와 환경을 관리해야 하는 사용자 또는 그룹
서버 관리 가능	경로 구성 > 서버	시스템에 응용 프로그램을 배포하기 위한 릴리스 경로를 정의할 수 있습니다. 이 권한은 테스트, 스테이지 및 프로덕션 서버에 응용 프로그램을 배포하는 서버 사용의 정의에 액세스할 수 있도록 지원합니다. 이 권한이 없으면 경로 구성 > 서버 탭이 숨겨집니다. 이 권한을 추가할 대상: 시스템에 응용 프로그램을 배포하기 위한 릴리스 경로를 정의할 사용자 또는 그룹 이 권한은 테스트, 스테이지 및 프로덕션 서버에 응용 프로그램을 배포하는 데 사용되는 서버의 정의에 액세스할 수 있도록 지원합니다.
인벤토리 관리 가능	인벤토리 > 작업 및 도구	시스템에 응용 프로그램을 배포하기 위한 사용자 지정 도구 또는 작업을 정의할 수 있습니다. 이 권한이 있으면 작업과 도구를 보고 편집하고 만들 수 있습니다. Release Management용 앱을 배포하는 릴리스 작업을 참조하세요. 이 권한이 없으면 인벤토리 탭이 숨겨집니다. 이 권한을 추가할 대상: 시스템에 응용 프로그램을 배포하기 위한 사용자 지정 도구 또는 작업을 정의할 사용자 또는 그룹 이 권한이 있으면 응용 프로그램 배포에 사용되는 작업과 도구를 보고 편집하고 만들 수 있습니다.
작업 및 구성 요소에서 사용자 지정 도구 사용 가능	응용 프로그램 구성 > 구성 요소 > 배포 응용 프로그램 구성 > 릴리스 템플릿 > 구성 요소 > 배포	도구 없음이 선택되어 있을 때 명령 및 인수 필드를 편집할 수 있습니다. 이 권한이 없는 사용자는 이런 필드를 편집할 수 없습니다. 이 권한을 추가할 대상: 릴리스 경로 또는 릴리스 템플릿을 정의하거나 릴리스를 시작할 사용자 또는 그룹 이를 통해 도구 없음이 선택되어 있을 때 명령 및 인수 필드를 편집할 수 있습니다.
값 및 대상 서버 편집	응용 프로그램 구성 > 릴리스 템플릿	특정 릴리스 또는 스테이지에 대한 배포 시퀀스와 구성 변수를 편집할 수 있습니다. 이 권한이 없으면 스테이지 정보는 읽기 전용입니다. 이 권한을 추가할 대상: 릴리스 경로 또는 릴리스 템플릿을 정의하거나 릴리스를 시작할 사용자 또는 그룹 이를 통해 특정 릴리스 또는 스테이지에 대한 배포 시퀀스와 구성 변수를 편집하도록 허용할 수 있습니다.
승인 및 환경 편집	경로 구성 > 릴리스 경로 > 스테이지	특정 스테이지에 대한 승인 및 환경을 편집할 수 있습니다. 이 권한이 없으면 스테이지 정보는 읽기 전용입니다. 이 권한을 추가할 대상: 릴리스 경로 또는 릴리스 템플릿을 정의할 사용자 또는 그룹 이를 통해 특정 스테이지에 대한 승인 및 환경을 편집하도록 허용합니다. 이 권한이 없을 경우 스테이지 정보는 읽기 전용입니다.

Q & A

Q: 권한과 액세스 수준 간의 차이점은 무엇입니까?

A: TFS의 특정 기능은 해당 기능에 적합한 라이선스 수준을 가진 사용자만 사용할 수 있습니다. 이러한 기능에 대한 액세스는 사용 권한이 아니라 Team Web Access에 대한 라이선스 그룹의 멤버 자격에 의해 제어됩니다. 액세스 수준 변경을 참조하세요.

Q: 팀 관리자에게 할당되는 권한은 무엇입니까?

A: 팀 관리자에게는 여기에 설명된 여러 가지 역할 기반 권한이 부여됩니다.

Q: 경고와 관련된 권한은 무엇입니까?

A: TWA를 통해 구독할 수 있는 경고와 관련된 UI 권한은 없습니다.

기본적으로 모든 Contributors는 자신에 대한 경고를 구독할 수 있습니다. Project Collection Administrators 및 Project Administrators나 컬렉션 수준 정보 편집 또는 프로젝트 수준 정보 편집 권한이 있는 사용자 또는 그룹 멤버는 다른 사용자 또는 팀에 대한 경고를 설정할 수 있습니다.

컬렉션 수준에서 TFSSecurity를 사용하여 경고 권한을 관리할 수 있습니다. Team Foundation Event service는 유연하고 확장 가능하도록 설계되었습니다.

TFSSecurity 동작	TFSSecurity 네임스페이스	설명	Project Collection Administrators 및 Project Collection Service Accounts
CREATE_SOAP_SUBSCRIPTION	EventSubscription	SOAP 기반 웹 서비스 구독을 만들 수 있습니다.
GENERIC_READ	EventSubscription	팀 프로젝트에 대해 정의된 구독 이벤트를 볼 수 있습니다.
GENERIC_WRITE	EventSubscription	다른 사용자 또는 팀에 대한 경고를 만들 수 있습니다.
UNSUBSCRIBE	EventSubscription	이벤트 구독에서 구독을 취소할 수 있습니다.

Q: 그룹을 참조하는 추가 기능 또는 도구는 무엇입니까?

A: 다음 기능은 기본 제공 및 사용자 지정(직접 만든) TFS 그룹을 참조합니다.

• 작업 항목 쿼리: 그룹에 포함, 그룹에 포함되지 않음 연산자

• 필드(정의) 자식 XML 요소 특성: for 및 not 특성

• 필드(워크플로) 자식 XML 요소 특성: for 및 not 특성

• 액세스 수준

Q: Valid User란 무엇입니까?Valid Users 그룹은 어떻게 채워집니까?

A: 사용자 계정을 TFS 그룹에 직접 추가하거나 Windows 그룹을 통해 추가한 경우 Valid Users 그룹 중 하나에 자동으로 추가됩니다.

• Server\Team Foundation Valid Users: 서버 수준 그룹에 추가된 모든 멤버

• ProjectCollectionName\Project Collection Valid Users: 프로젝트-컬렉션 수준 그룹에 추가된 모든 멤버

• TeamProjectName\Project Valid Users: 프로젝트 수준 그룹에 추가된 모든 멤버

이러한 그룹에 할당되는 기본 권한은 주로 빌드 리소스 보기, 프로젝트 수준 정보 보기 및 컬렉션 수준 정보 보기와 같은 읽기 권한으로 제한됩니다.

이는 하나의 팀 프로젝트에 추가한 모든 사용자는 컬렉션 내의 다른 팀 프로젝트에 있는 개체를 볼 수 있음을 의미합니다. 보기 권한을 제한해야 하는 경우 영역 경로 노드를 통해 제한을 설정할 수 있습니다. 추가 방법은 기능 및 작업에 대한 액세스 제한을 참조하세요.

Valid Users 그룹 중 하나에 대해 인스턴스 수준 정보 보기 권한을 제거하거나 거부로 설정하면, 설정한 그룹에 따라 해당 그룹의 사용자가 팀 프로젝트, 컬렉션 또는 배포에 액세스할 수 없게 됩니다.

또한 VALIDUSER 요소를 사용하여 작업 항목 추적 권한을 허용하거나 제한할 수 있습니다.

Q: 보고서 또는 프로젝트 포털에 액세스할 수 있는 권한을 관리하려면 어떻게 해야 합니까?

A: TFS에서 Reporting Services 및 SharePoint 제품에 대한 사용자 권한을 설정하는 방법에 대한 자세한 내용은 팀 프로젝트 컬렉션에 대한 관리자 권한 설정 및 Team Foundation Server에서 관리자 권한 설정을 참조하세요.

사용자 지정 그룹을 만들고 리소스에 대한 액세스를 제어하는 권한을 구성하는 방법과 기타 옵션에 대한 단계별 예제는 기능 및 작업에 대한 액세스 제한을 참조하세요.