Управление доступом к функциональным областям
Вы можете настраивать начальные параметры безопасности для следующих функциональных областей командного проекта: командных запросов, Team Foundation (подсистема контроля версий), Team Foundation Build и Visual Studio Lab Management. Шаблоны процессов для Microsoft Solutions Framework (MSF) назначают некоторые разрешения группам безопасности по умолчанию. Вы можете изменить эти назначения, настроив файл подключаемого модуля для соответствующей функциональной области.
Сведения о настройке групп безопасности для Visual Studio Team Foundation Server см. в статье Настройка начальных групп, команд, членов и разрешений.
Дополнительные сведения об администрировании пользователей и групп, а также об управлении доступом к Visual Studio Application Lifecycle Management (ALM) см. в статье Управление пользователями или группами в TFS.
Назначение разрешений для функциональных областей
С помощью функционального элемента permission вы можете предоставлять или отменять разрешения для функциональных областей для группы безопасности в Team Foundation Server, группы Windows или удостоверения Windows. Этот элемент используется в файлах подключаемых модулей для отслеживания рабочих элементов, Team Foundation (подсистема контроля версий), Team Foundation Build и Lab Management. Вы должны инкапсулировать элемент разрешения в соответствующий контейнер: элемент permissions. Для функционального элемента permission используется следующая синтаксическая структура:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
В следующей таблице описываются атрибуты для функционального элемента permission.
Атрибут |
Описание |
|---|---|
allow |
Определяет предоставляемые разрешения. Разрешения указываются в виде текста с разделителями-запятыми. Имена разрешений, определенных для каждой функциональной области, см. в следующих разделах этой статьи:
|
deny |
Определяет отзываемые разрешения. Разрешения указываются в виде текста с разделителями-запятыми. Примечание Отозванные разрешения имеют приоритет над предоставленными разрешениями. |
identity |
Указывает группу безопасности в Team Foundation Server, группу Windows или удостоверение Windows, к которым применяются разрешения. Формат, который должен использоваться для указания групп, см. в разделе "Группы по умолчанию, определенные в Team Foundation Server" статьи Настройка начальных групп, команд, членов и разрешений. |
В следующем примере показано, как предоставить разрешения, позволяющие группе Участники просматривать сборки и определения сборок, а также ставить сборки в очередь и редактировать качество сборок.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
Примечание
Если во время выполнения не удается найти разрешение для удостоверения, то выполняется поиск разрешения в других группах, к которым принадлежит это удостоверение.Если разрешение не удается найти, по умолчанию это разрешение отклоняется.
Назначение разрешений для запросов рабочих элементов
В файле подключаемого модуля рабочих элементов можно назначать разрешения, управляющие доступом к папкам командных запросов. Разрешения папок запросов относятся к запросам и папкам запросов. Вы можете предоставлять доступ пользователям и группам в Windows или группам по умолчанию, заданным для Team Foundation Server.
Эти разрешения назначаются с использованием функционального элемента permission, как показано в следующем примере:
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
Примечание
После создания командного проекта вы можете устанавливать разрешения, щелкнув правой кнопкой мыши папку запроса или запрос в Team Explorer, а затем выбрав пункт Безопасность.Для получения дополнительной информации см. Установка разрешений для очередей.
В следующей таблице описываются разрешения, управляющие доступом к папкам запросов и запросам. В таблице также указываются назначения по умолчанию, которые делаются в шаблонах процессов MSF. По умолчанию создатели или владельцы запросов и папок запросов имеют полный контроль над управлением запросами, создателями или владельцами которых они являются.
Разрешение |
Описание |
Читатели, участники, конструкторы |
Создатели-владельцы, группа администраторов проекта, администраторы коллекций проектов |
|---|---|---|---|
Read |
Чтение. Можно просматривать и выполнять запрос или просматривать папку запросов и ее содержимое |
.png "флажок"){kind=icon} |
|
Contribute |
Участие. Можно просматривать и изменять запрос или папку запросов и ее содержимое |
|
|
Delete |
Удаление. Можно просматривать, изменять и удалять запрос или папку запросов и ее содержимое |
|
|
ManagePermissions |
Управление разрешениями. Можно управлять разрешениями для запроса или папки запросов и ее содержимого |
|
|
FullControl |
Полный доступ. Можно просматривать, изменять, удалять, а также управлять разрешениями для запроса или папки запросов и ее содержимого |
|
Назначение разрешений для управления версиями
Вы можете назначать разрешения, управляющие доступом к файлам и папкам исходного кода, изменяя файл подключаемого модуля для управления версиями. Разрешения системы управления версиями применяются к файлам и папкам исходного кода. Вы можете предоставлять доступ пользователям и группам в Windows или группам по умолчанию, заданным для Team Foundation Server.
Эти разрешения назначаются с использованием функционального элемента permission, как показано в следующем примере:
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Примечание
После создания командного проекта вы можете установить эти разрешения, щелкнув правой кнопкой мыши папку или файл в обозревателе управления исходным кодом, выбрав пункт Свойства и перейдя на вкладку Безопасность.На этой вкладке можно щелкнуть пользователя или группу, для которых вы хотите изменить разрешения, а затем отредактировать разрешения, перечисленные в разделе Разрешения.Вы также можете устанавливать эти разрешения с помощью программы командной строки tf для управления версиями или программы командной строки TFSSecurity.Для получения дополнительной информации см. Справочник по разрешениям Team Foundation Server.
В следующей таблице описываются разрешения, управляющие доступом к файлам и папкам исходного кода. В таблице также указываются назначения по умолчанию, которые делаются в шаблонах процессов MSF.
Разрешение |
Описание |
Читатели |
Участники |
Конструкторы |
Группа администраторов проекта |
|---|---|---|---|---|---|
Read |
Чтение. Можно читать содержимое файла или папки. Если у пользователя есть разрешения на чтение для папки, но не для файлов, которые в ней содержатся, то пользователь может просматривать имена и свойства этих файлов, но не может открывать их. |
|
|
|
|
PendChange |
Извлечение. Можно извлекать и вносить ожидающее изменение в элемент. Примеры ожидающих изменений: добавление, изменение, переименование, отмена удаления, ветвление и слияние файла. |
|
|
|
|
Merge |
Слияние. Можно объединять изменения в путь, для которого имеются разрешения. |
|
|
|
|
Checkin |
Возврат. Могут возвращать элементы и проверять все комментарии к зафиксированным наборам изменений. Ожидающие изменения фиксируются, когда пользователь возвращает элемент. |
|
|
|
|
Label |
Метка. Могут помечать элементы. |
|
|
|
|
Lock |
Блокировка. Можно блокировать элемент, чтобы другие пользователи не могли его обновлять. |
|
|
|
|
ReviseOther |
Пересмотр изменений другого пользователя. Можно изменять содержимое комментариев к набору изменений и примечаний при возврате другого пользователя. |
|
|||
UnlockOther |
Разблокирование изменений другого пользователя. Можно удалять блокировку другого пользователя. |
|
|||
UndoOther |
Отмена изменений другого пользователя. Можно отменять ожидающие изменения другого пользователя. |
|
|||
LabelOther |
Администрирование меток. Можно изменять метку другого пользователя. |
|
|||
AdminProjectRights |
Управление разрешениями. Можно настраивать параметры безопасности для управления версиями. |
|
|||
CheckinOther |
Возврат изменений другого пользователя. Можно выполнять возврат от имени другого пользователя. Это разрешение требуется для служебных программ преобразования. |
|
|||
ManageBranch |
Управление ветвями. Пользователи с таким разрешением для определенного пути могу выполнять преобразование любой папки по этому пути в ветвь. Пользователи, имеющие это разрешение для ветви, могут также изменять ее свойства, изменять ее родительский объект и преобразовывать ее в папку. Пользователи с таким разрешением могут разветвлять эту ветвь, только если они уже имеют разрешение Объединить для целевого пути. Пользователи не могут создавать ответвления от ветви, для которой они не имеют разрешения Управление ветвями. |
|
Назначение разрешений для сборки
Вы можете назначать разрешения, управляющие доступом к действиям сборки, изменяя файл подключаемого модуля сборки. Доступ можно предоставлять пользователям и группам в Windows, а также группам в Team Foundation Server. Сведения о формате, который должен использоваться при указании групп, см. в разделе "Группы по умолчанию, определенные в Team Foundation Server" статьи Настройка начальных групп, команд, членов и разрешений.
Эти разрешения назначаются с использованием функционального элемента permission, как показано в следующем примере:
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Примечание
После создания командного проекта вы можете устанавливать эти разрешения, открыв проект в Team Explorer, щелкнув правой кнопкой мыши элемент Сборки и выбрав пункт Безопасность.Разрешения можно применять к конкретному определению сборки, щелкнув это определение сборки правой кнопкой мыши и выбрав пункт Безопасность.Если вы хотите применить разрешения к папке сборки, щелкните ее правой кнопкой мыши и выберите пункт Безопасность.Кроме того, данные разрешения можно настроить с помощью программы командной строки TFSSecurity.Для получения дополнительной информации см. Справочник по разрешениям Team Foundation Server.
В следующей таблице описываются разрешения, которые вы можете назначать для управления доступом к функциям сборки командного проекта. В таблице также указанные назначения по умолчанию для шаблонов процессов MSF.
Примечание
Разрешение Переопределение проверки возврата по сборке следует назначать только учетным записям служб для служб сборки и администраторам сборки, ответственным за качество кода.Для получения дополнительной информации см. Возврат ожидающих изменений под управлением построения с условным возвратом.
Разрешение |
Описание |
Читатели |
Участники |
Администраторы сборки |
Администраторы проектов |
Администраторы коллекций проектов |
|---|---|---|---|---|---|---|
ViewBuildDefinition |
Просмотр определения сборки. Могут просматривать определения сборок, созданные для командного проекта. |
|
|
|
|
|
ViewBuilds |
Просмотр сборок. Могут просматривать сборки в очереди и завершенные сборки командного проекта. |
|
|
|
|
|
EditBuildQuality |
Редактирование качества сборки. Можно добавлять сведения о качестве сборки через интерфейс для Team Foundation Build. |
|
|
|
|
|
QueueBuilds |
Постановка сборок в очередь. Можно добавлять сборку в очередь с помощью интерфейса для Team Foundation Build или в командной строке. |
|
|
|
|
|
DeleteBuildDefinition |
Удаление определения сборки. Можно удалять определения сборок. |
|
|
|
||
DeleteBuilds |
Удаление сборок. Могут удалять завершенные сборки. |
|
|
|
||
DestroyBuilds |
Уничтожение сборок. Могут безвозвратно удалять завершенные сборки. |
|
|
|
||
EditBuildDefinition |
Редактирование определения сборки. Можно создавать и изменять определения сборок. |
|
|
|
||
ManageBuildQualities |
Управление качествами сборок. Можно добавлять или удалять качества сборок, такие как Готово к развертыванию, Отклонено или Исследуется. Для получения дополнительной информации см. Добавление и удаление значений качества сборки. |
|
|
|
||
ManageBuildQueue |
Управление очередью сборок. Могут отменять, изменять приоритет и откладывать сборки в очереди. |
|
|
|
||
RetainIndefinitely |
Хранить бессрочно. Могут помечать сборку, чтобы она не удалялась автоматически соответствующей политикой хранения. |
|
|
|
||
StopBuilds |
Останавливать сборки. Можно останавливать выполняющуюся сборку. |
|
|
|
||
OverrideBuildCheckInValidation |
Переопределение проверки возврата по сборке. Можно фиксировать набор изменений, влияющий на условное определение сборки, без того чтобы система вначале включила эти изменения в набор отложенных изменений и выполнила их сборку. Для получения дополнительной информации см. Возврат ожидающих изменений под управлением построения с условным возвратом. |
|
||||
UpdateBuildInformation |
Обновление сведений о сборке. Можно добавлять сведения о качестве сборки. Данное разрешение должно присваиваться только учетным записям служб. |
Назначение разрешений для Lab Management
Вы можете управлять доступом к действиям в Lab Management путем изменения файла подключаемого модуля Lab. Разрешения для Lab Management относятся к виртуальным машинам, средам и другим ресурсам. Доступ можно предоставлять пользователям и группам в Windows, а также группам в Team Foundation Server. Эти разрешения назначаются с использованием функционального элемента permission, как показано в следующем примере:
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Примечание
Вы можете устанавливать разрешения для Lab Management с помощью программы командной строки TFSLabConfig.Для просмотра сведений об определенном ресурсе лаборатории вы должны иметь разрешение на чтение этого ресурса.Чтобы удалить расположение, вы должны иметь разрешение Удаление расположений лаборатории для этого расположения. Дополнительные сведения см. в статье Команда Permissions TFSLabConfig.
В следующей таблице описываются разрешения, которые вы можете назначать для управления доступом к Visual Studio Lab Management. В таблице также указанные назначения по умолчанию для шаблонов процессов MSF.
Разрешение |
Описание |
Читатели |
Участники |
Группа учетных записей службы сборок коллекции проектов |
Группа администраторов командных проектов |
Группа администраторов коллекции проектов |
|---|---|---|---|---|---|---|
Read |
Просмотр ресурсов лаборатории. Можно просматривать информацию по различным ресурсам для Lab Management, которая включает группы узлов коллекции, группы узлов проекта и среды. |
|
|
|
|
|
Create |
Импорт виртуальной машины. Можно импортировать виртуальную машину из общей папки библиотеки Virtual Machine Manager (VMM). Это разрешение отличается от разрешения на запись, поскольку пользователи могут создавать объект в Lab Management, но не записывать что-либо в группу узлов VMM или в общую папку библиотеки. |
|
|
|
||
Write |
Запись сред и виртуальных машин. Можно создавать среды. Пользователи с этим разрешением для общей папки библиотеки проекта могут сохранять среды и виртуальные машины. |
|
|
|
|
|
Edit |
Изменение сред и виртуальных машин. Можно изменять среды и виртуальные машины. Это разрешение проверяется для изменяемого объекта. |
|
|
|
|
|
Start |
Запуск. Могут запускать среду. |
|
|
|
|
|
Stop |
Остановка. Могут останавливать среду. |
|
|
|
|
|
Pause |
Приостановка. Могут приостанавливать среду. |
|
|
|
||
ManageSnapshots |
Управление моментальными снимками. Можно выполнять все задачи управления моментальными снимками, включая создание снимка, возврат к снимку, переименование снимка, удаление снимка и чтение снимка. |
|
|
|
|
|
Delete |
Удаление сред и виртуальных машин. Можно удалять среды и виртуальные машины. Это разрешение проверяется для удаляемого объекта. |
|
|
|||
ManageLocation |
Управление расположениями лаборатории. Можно изменять расположения ресурсов для Lab Management, включая группы узлов коллекции, проекты библиотек коллекции, группы узлов проекта и общие папки библиотек проекта. Это разрешение для расположений уровня коллекции (групп узлов коллекции и общих папок библиотек коллекции) также позволяет создавать расположения уровня проекта (группы узлов проекта и общие папки библиотек проекта). |
|
|
|||
DeleteLocation |
Удаление расположений лаборатории. Можно удалять расположения ресурсов для Lab Management, включая группы узлов коллекции, общие папки библиотек коллекции, группы узлов проекта и общие папки библиотек проекта. |
|
|
|||
ManageChildPermissions |
Управление разрешениями дочерних объектов. Можно изменять разрешения всех дочерних объектов Lab Management. Например, если пользователь имеет это разрешение для группы узлов командного проекта, то он может изменять разрешения для всех сред этой группы. |
|
|
|||
ManagePermissions |
Управление разрешениями. Можно изменять разрешения для объекта Lab Management. Это разрешение проверяется для объекта, разрешения которого изменяются. |
|
||||
EnvironmentOps |
Операции среды. Могут запускать, останавливать, приостанавливать и контролировать снимки, а также выполнять другие операции в среде. |