Планирование групп, категорий и СДРес в Project Server
Сводка: в режиме разрешений Project Server безопасность Project Web App основана на пользователях, группах и категориях.
Область применения: Project Server по подписке, Project Server 2019, Project Server 2016, Project Server 2013
В этой статье рассматривается планирование групп и категорий в развертывании Project Server. Если в качестве модели безопасности используется режим разрешений SharePoint, см. статью Планирование групп SharePoint в Project Server.
В этой статье
Разрешения в Project Web App
Разрешение — это центр для выполнения определенного действия в контексте Project Server. Вы можете разрешить, запретить или не настраивать каждое разрешение в Project Server. Например, разрешение Изменить пароль можно разрешить или запретить для любого пользователя или группы.
В Project Server есть два типа разрешений.
Глобальные разрешения предоставляют пользователям и группам возможность выполнять действия в экземпляре Project Web App. Глобальные разрешения назначаются на уровне пользователей или групп.
Разрешения категорий дают пользователям возможность выполнять действия над определенными проектами и ресурсами. Разрешения категорий назначаются на уровне категорий.
Разрешения можно задать в нескольких разных местах в пределах Project Web App. Можно разрешить или запретить разрешения, установив флажки в столбцах Разрешить и Отказать. Если флажки Разрешить и Отказать не установлены, по умолчанию применяется состояние "Не разрешено". Состояние "Не разрешено" не запрещает пользователям доступ к возможностям, если им предоставлено такое разрешение иным способом. Например, пользователь может принадлежать группе, для которой разрешение не настроено ("Не разрешено"), но он может получить такое разрешение, являясь участником группы, для которой это разрешение включено. Однако если где-либо в доступе отказано в явном виде, разрешение конкретному пользователю или группе не предоставляется нигде.
Вы можете настроить все разрешения Project Server, выбрав Project Web App Параметры в меню Project Web App Параметры. Разрешения можно настроить следующим образом.
Разрешить. Разрешает пользователям или участникам группы выполнять действия, связанные с данным разрешением.
Отрицать Запрещает пользователю или группе выполнять действия, связанные с разрешением. Будьте внимательны при включении отказа в разрешениях. Обратите внимание, что, если пользователю отказано в определенном разрешении, параметр отказа отменяет любые параметры разрешения, которые могли быть применены к другим группам, к которым принадлежит пользователь. Никакие разрешения не имеют настройку по умолчанию "Отказать".
Запретить Если для разрешения выбраны варианты "Не разрешать " или "Запретить ", по умолчанию будет задано состояние "Не разрешить". Если пользователь принадлежит нескольким группам и для одной группы разрешение имеет состояние "Не разрешено", а для другой — Разрешить (но не Отказать), в этом случае пользователь может выполнять действия, связанные с данным разрешением.
Важно внимательно рассмотреть назначение для разрешения параметра Отказать, так как параметр Отказать отменяет все параметры Разрешить, которые применяются к пользователю для этого разрешения в связи с участием в других группах. Ограничение использования параметра Отказать может упростить управление разрешениями для больших групп пользователей.
Примечание.
Параметр Отказать позволяет отказать в доступе к функциональным возможностям, так как он отменяет параметр Разрешить. В связи с этим будьте внимательны при установке флажка Отказать. Установите флажок Запретить , чтобы запретить пользователю за пределами организации доступ к объектам безопасности Project Server или запретить функциональность пользователю или группе).
Для организаций с большим числом пользователей назначение разрешений и их администрирование на индивидуальном уровне может оказаться невыполнимой задачей. Чтобы назначить разрешения нескольким пользователям с помощью одного действия, можно использовать группы. Создайте группы и определите набор разрешений для связывания с группами в рамках первоначального процесса планирования развертывания Project Server, прежде чем назначать пользователей группам, а группы — категориям. После определения групп, связанных с группами разрешений и членства в группах, повседневное администрирование пользователей, групп и категорий включает добавление в группы безопасности или удаление из них пользователей. Это помогает снизить объем повседневных требований административных задач и упрощает устранение неполадок.
Группы в Project Web App
Группы содержат наборы пользователей со схожими функциональными потребностями. Например, каждому руководителю проектов в определенном подразделении в вашей организации может потребоваться один и тот же набор разрешений Project Server, в то время как руководители или руководители ресурсов могут иметь разные потребности.
Определите группы, определив общие потребности на основе областей Project Web App, к которым пользователям в вашей организации требуется доступ. После определения групп к ним можно добавлять пользователей и предоставлять разрешения; разрешения, назначенные группам, применяются ко всем пользователям в данной группе. Использование групп для управления разрешениями Project Web App упрощает администрирование безопасности в Project Web App. Членство в группах может меняться часто, однако требования к доступу для групп меняются редко.
Примечание.
В группах могут состоять только пользователи. Группы не могут содержать другие группы.
Пользователи могут принадлежать нескольким группам в соответствии с их ролями в организации и их требованиями к доступу. Следующие группы по умолчанию доступны в каждом экземпляре Project Web App, который находится в режиме разрешений Project Server. Каждому экземпляру назначается набор предварительно определенных категорий и разрешений.
| Group | Описание |
|---|---|
| Администраторы |
Пользователи обладают всеми глобальными разрешениями и разрешениями категорий благодаря категории "Моя организация". Это позволяет им получить полный доступ ко всему на данном экземпляре Project Web App. |
| Обозреватели портфелей |
Пользователи имеют разрешения на просмотр данных проекта и Project Web App. Эта группа предназначена для пользователей верхнего звена, которым требуется возможность просмотра проектов, но при этом сами они не выполняют задачи по проектам. |
| Руководители портфелей проектов |
Пользователи обладают различными разрешениями для создания проектов и участия в командной работе. Эта группа предназначена для менеджеров групп проектов верхнего звена. |
| Руководители проектов |
Пользователи обладают основными глобальными разрешениями и разрешениями на уровне категорий, а также ограниченными разрешениями по работе с ресурсами. Эта группа предназначена для пользователей, ежедневно работающих с графиками проектов. |
| Руководители ресурсов |
Пользователи обладают основными глобальными разрешениями и разрешениями на уровне категорий. Эта группа предназначена для пользователей, управляющих и назначающих ресурсы, а также изменяющих данные ресурсов. |
| Ведущие сотрудники групп |
Пользователи с ограниченными разрешениями для создания задач и отчетов о состоянии. Эта группа предназначена для пользователей, участвующих в основной нагрузке, но без регулярных заданий по проекту. |
| Участники групп |
Пользователи имеют общие разрешения на использование Project Web App, но ограниченные разрешения на уровне проекта. Эта группа предназначена для предоставления всем базовым доступом к Project Web App. Все новые пользователи автоматически добавляются в группу "Участники групп". |
Администраторы, как правило, назначают разрешения путем добавления учетной записи пользователя одной из встроенных групп или создавая новую группу и назначая отдельные разрешения этой группе.
Категории в Project Web App
Категории — это наборы проектов, ресурсов и представлений. Категории определяют область информации, доступной определенному пользователю. Категория похожа на группу тем, что также предоставляет пользователям разрешения. В отличие от глобальных разрешений, разрешения на уровне категорий связаны с определенными проектами и ресурсами. Кроме того, в категории входят фильтры проектов и ресурсов, которые можно использовать для определения того, к каким проектам и ресурсам применяются данные разрешения.
Группы и категории связаны друг с другом для обеспечения полного набора разрешений для каждого пользователя. Любую группу можно связать с одной или несколькими категориями, а любая категория может предоставлять участникам этой группы различный набор разрешений на уровне проекта или ресурса применительно к проектам этой категории.
В экземпляре Project Web App по умолчанию включены следующие категории.
| Категория | Описание |
|---|---|
| Мои подчиненные |
Дает пользователям разрешение утверждать расписания для прямых потомков в удаленном хранилище больших двоичных объектов. Эта категория предназначена для менеджеров, утверждающих расписания. |
| Моя организация |
Содержит все проекты и ресурсы, дает различные уровни разрешений по категориям в зависимости от связанной группы. Также предоставляет полный доступ ко всем представлениям. Эта категория предназначена для того, чтобы пользователи могли просматривать все данные на экземпляре Project Web App. |
| Мои проекты |
Фильтры дают разрешения пользователям, имеющим собственные проекты или являющимся управляющими назначениями в проекте, а также пользователям, чьи потомки в удаленном хранилище больших двоичных объектов назначены проекту. Эта категория используется для того, чтобы пользователи могли видеть весь проект, с которым связаны они и их потомки в удаленном хранилище больших двоичных объектов. |
| Мои ресурсы |
Дает почти все разрешения на уровне ресурсов, фильтруется по ресурсам, являющимся потомками пользователя в удаленном хранилище больших двоичных объектов. Эта категория используется для того, чтобы пользователи могли управлять ресурсами, как это определено в структуре удаленного хранилища больших двоичных объектов. |
| Мои задачи |
Позволяет пользователям просматривать проекты, к которым они приписаны. Эта категория связана с группой "Участники группы" и предназначена для всех пользователей, которые должны просматривать проекты, к которым они приписаны. |
Можно создать пользовательские категории, чтобы предоставить новый способ доступа к данным для проектов, ресурсов и представлений. Управлять большим количеством категорий может быть трудно. Рекомендуется использовать категории экономно.
Шаблоны безопасности в Project Web App
Шаблоны безопасности является предварительно определенными наборами разрешений. Используйте шаблоны безопасности для упрощения процесса предоставления разрешений группам пользователей, которые нуждаются в доступе к одним и тем же данным. Каждый экземпляр Project Web App включает следующие шаблоны безопасности по умолчанию:
Администратор
Обозреватель портфелей
Руководитель портфеля
Руководитель проектов
Рецензент предложений
Руководитель ресурсов
Ведущий сотрудник групп
Участник группы
Шаблоны безопасности предоставляют средство для быстрого применения или сброса предварительно определенных профилей разрешений для новых или существующих пользователей, групп и категорий. С помощью шаблонов безопасности можно легко стандартизировать разрешения, назначаемые в соответствии с ролью пользователя в организации. Шаблоны безопасности по умолчанию соответствуют стандартным группам в Project Web App. Эти шаблоны безопасности можно изменять или создавать новые в соответствии с потребностями.
Примечание.
При внесении изменений в настройки шаблона безопасности эти изменения не применяются автоматически к пользователям и группам, для которых использовался шаблон.
Создание настраиваемых шаблонов безопасности требует планирования. Сначала необходимо определить распространенные Project Web App шаблоны использования в организации, которые не отражены в шаблонах безопасности по умолчанию. Это помогает определить требования к настраиваемым шаблонам безопасности. Затем определите разрешения, необходимые пользователям, которые совместно используют общие Project Web App шаблонов использования. Этим определяется шаблон безопасности. Далее, определите набор проектов, ресурсов, представлений и т. д., к которым требуется доступ пользователей и групп; этим определяется категория безопасности. Создайте настраиваемый шаблон безопасности и примените его к группе пользователей, которые будут обращаться к данным в соответствии с общим шаблоном использования.
Структура декомпозиции ресурсов в Project Web App
Структура декомпозиции ресурсов (СДРес) — это иерархическая структура безопасности, которая обычно основана на корпоративной структуре отчетности управления, хотя она может быть организована и по-другому. RBS может быть важным элементом модели безопасности Project Web App, если она используется для определения отношений отчетности между пользователями и проектами в организации. При указании значения RBS для каждого пользователя Project Web App можно воспользоваться преимуществами динамических параметров безопасности, которые можно определить для каждой категории безопасности.
Структура RBS определяется путем добавления значений в настраиваемую таблицу подстановки RBS, встроенную в Project Web App. После определения структуры можно задавать значения СДРес отдельным пользователям, устанавливая свойство СДРес на странице параметров учетной записи пользователя.
После настройки СДРес категории могут использовать коды СДРес для динамического определения того, какие проекты и ресурсы определенный пользователь может просматривать и применять. В следующих таблицах перечислены параметры безопасности, использующие структуру СДРес, доступную в каждой категории.
Параметры безопасности для проектов
| Вариант | Описание |
|---|---|
| Пользователь является владельцем проекта или управляющим назначениями в рамках проекта |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, в которых они являются владельцем проекта или управляющим назначениями |
| Пользователь входит в рабочую группу этого проекта |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, в которых они являются ресурсами |
| Владелец проекта является потомком пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, которые принадлежат их потомкам в структуре СДРес |
| Один из ресурсов, входящих в группу проекта, является потомком пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, в которых их потомки в структуре СДРес являются ресурсами |
| Владелец проекта имеет такое же значение СДРес, как и пользователь |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, которые принадлежат другим пользователям с тем же значением СДРес |
Примечание.
Первые два параметра ( Пользователь является владельцем проекта или управляющим назначениями в рамках проекта и Пользователь входит в рабочую группу этого проекта) не связаны с СДРес, но они обеспечивают аналогичный метод фильтрации того, какие проекты может видеть пользователь.
Параметры безопасности для ресурсов
| Вариант | Описание |
|---|---|
| Пользователь является ресурсом |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать себя как ресурс |
| Они являются участниками рабочей группы проекта, которым владеет пользователь |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать ресурсы, назначенные проектам, которые им принадлежат |
| Они являются потомками пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать своих потомков в структуре СДРес |
| Они являются прямыми потомками пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать своих прямых потомков в структуре СДРес |
| Они имеют такое же значение СДРес, как и пользователь |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать других пользователей с тем же значением СДРес |
Примечание.
Первые два параметра ( Пользователь является ресурсом и Они являются участниками рабочей группы проекта, которым владеет пользователь) не связаны с СДРес, но они обеспечивают аналогичный метод фильтрации того, какие ресурсы может видеть пользователь.
Параметры, указанные в таблицах выше, можно настроить при создании или изменении категории.
См. также
Серия видеороликов: принципы действия разрешений безопасности на сервере Project Server