在 Project Server 中規劃群組、類別及 RBS
摘要:在 Project Server 權限模式中,Project Web App 安全性是以使用者、群組及類別為基礎。
適用于:Project Server 訂閱版本、Project Server 2019、Project Server 2016、Project Server 2013
本文說明如何規劃 Project Server 部署中的群組和類別。 如果您使用 SharePoint 許可權模式作為安全性模型,請參閱 在 Project Server 中規劃 SharePoint 群組。
本文內容:
Project Web App 中的權限
許可權是在 Project Server 內容中執行特定動作的授權單位。 您可以允許、拒絕或未在 Project Server 中設定每個許可權。 例如,可針對任何特定使用者或群組來允許或拒絕 [變更密碼] 權限。
Project Server 有兩種權限:
全域許可權會授與使用者和群組在整個Project Web App實例中執行動作的能力。 「通用權限」是在使用者或群組層級指派。
「類別權限」授與使用者和群組能夠在特定專案和資源上執行動作。 「類別權限」是在類別層級指派。
許可權可以在Project Web App內的多個不同位置設定。 您可以選取 [允許 ] 和 [ 拒絕] 資料行中的核取方塊,以允許或 拒絕 許可權。 如果未選取 [ 允許 ] 或 [ 拒絕 ] 核取方塊,則預設狀態為 [不允許]。 [不允許] 狀態不會防止使用者以其他方式授與許可權,而無法存取與許可權相關聯的功能。 例如,使用者可能屬於一個未設定許可權的群組 (不允許) ,但可能會透過允許許可權的群組中的成員資格來授與許可權。 不過,如果在任何地方明確拒絕許可權,特定使用者或群組的許可權會在任何地方遭到拒絕。
您可以從 [Project Web App 設定] 功能表選擇[Project Web App設定],以設定所有 Project Server 權限。 權限的設定方式如下:
允許:可讓使用者或群組成員執行與權限相關聯的動作。
否認 防止使用者或群組執行與許可權相關聯的動作。 拒絕許可權時請小心。 請注意,如果使用者被拒絕特定許可權,則拒絕設定會取代任何可能套用至使用者所屬之其他群組的 Allow 設定。 預設不會將任何許可權設定為 [拒絕]。
不允許 如果您未選取 [允許] 或 [ 拒絕 ] 作為許可權,則預設狀態為 [不允許]。 如果使用者屬於多個群組,且某個群組的許可權設定為 [不允許],而且設定為 [ 允許 (但不允許另 一個群組的) ],則允許使用者執行與許可權相關聯的動作。
請務必仔細考量是否要將權限設定為 [拒絕],因為 [拒絕] 設定會取代使用者透過其他群組成員資格獲得權限而套用的任何 [允許] 設定。 限制使用 [拒絕] 設定將可簡化大量使用者的權限管理。
注意事項
[ 拒絕 ] 設定可讓您拒絕存取功能,因為此設定會覆寫 [ 允許] 設定。 因此,選取 [ 拒絕 ] 核取方塊時請小心。 選取 [ 拒絕 ] 核取方塊,以防止組織外部的使用者存取 Project Server 安全性物件,或拒絕使用者或群組) 的功能。
對於有大量使用者的組織而言,個別指派及管理權限會是一項繁重的工作。 您可以使用群組,只要一個動作就能將權限指派給多個使用者。 在您將使用者指派給群組和群組至類別之前,請先建立群組,並定義要在初始 Project Server 部署規劃程式中與群組相關聯的許可權集。 定義了群組、與群組產生關聯的權限以及群組成員資格之後,使用者、群組和類別的日常管理工作就會只剩下將使用者新增至安全性群組或從安全性群組中移除使用者。 這有助於減輕日常所需的管理工作量,同時也能簡化權限問題的疑難排解工作。
Project Web App 中的群組
群組包含了一組組具有類似功能需求的使用者。 例如,組織內特定部門中的每個專案經理可能需要相同的 Project Server 許可權集合,而主管或資源管理員可能有不同的需求。
根據組織中使用者需要存取的Project Web App區域來識別常見需求,以定義您的群組。 定義群組之後,您可以將使用者加入至群組,並對群組授與權限;指派給群組的權限會套用至群組內的所有使用者。 使用群組來控制Project Web App許可權可簡化Project Web App中的安全性管理。 群組成員資格可以經常變更,不過,群組的存取需求卻少有變更。
注意事項
群組成員資格僅包含使用者。 群組不能包含其他群組。
使用者可以依照其在組織中的角色與存取需求,而同時屬於多個群組。 下列預設群組適用于處於 Project Server 許可權模式的每個Project Web App實例。 每個群組都有一組預先定義的類別和權限。
| 群組 | 說明 |
|---|---|
| 系統管理員 |
這些使用者透過 [我的組織] 類別,而具有所有通用權限和所有類別權限。 這可讓他們完整存取指定實例上的所有Project Web App。 |
| 組合檢視者 |
使用者有權檢視專案和Project Web App資料。 此群組適用於需要瞭解專案、但本身並非擔任專案任務的高階使用者。 |
| 公事包管理員 |
這些使用者擁有各種建立專案和建立小組的權限。 此群組適用於擁有多組專案的高階經理。 |
| 專案經理 |
這些使用者擁有大部分的通用權限和類別層級專案權限,以及有限的資源權限。 此群組適用於每天維護專案排程的使用者。 |
| 資源管理員 |
這些使用者擁有大部分的通用權限和類別層級資源權限。 此群組適用於管理和指派資源、編輯資源資料的使用者。 |
| 小組負責人 |
這些使用者擁有有限的建立任務和狀態報表權限。 此群組適用於擔任管理職、但在專案中沒有固定工作分派的人。 |
| 小組成員 |
這些使用者擁有 Project Web App 一般使用權限,以及有限的專案層級權限。 此群組適用於對每個人提供基本的 Project Web App 存取權。 所有新使用者都會自動新增至 [小組成員] 群組。 |
管理員通常指派權限的方式,是將使用者帳戶新增至其中一個內建群組,或是建立新的群組,再將特定權限指派給該群組。
Project Web App 中的類別
類別是專案、資源和檢視的集合。 類別定義給定使用者可存取的資訊範圍。 類別類似于群組,因為它會提供許可權給使用者。 不同于全域許可權,類別許可權與特定專案和資源相關。 此外,類別包括專案和資源篩選準則,可用來判斷指定許可權套用至哪些專案和資源。
「群組」和「類別」在彼此產生關聯後可為每位使用者提供一組完整的權限。 每個「群組」可與一或多個「類別」產生關聯,而每個「類別」可為該群組的成員提供該類別中之專案的不同專案和資源層級權限組。
每個 Project Web App 執行個體都包括下列預設類別:
| 類別 | 說明 |
|---|---|
| 我的直屬員工 |
允許使用者可核准其 RBS 中之直屬下階的時程表。 此類別適用於需要權限以核准時程表的管理者。 |
| 我的組織 |
包含所有專案和資源,並可視相關聯的群組管理方式,而允許不同層級的類別權限。 此外,此類別也提供所有檢視的完整存取權。 此類別旨在讓使用者能夠看到Project Web App實例上的所有專案。 |
| 我的專案 |
此可篩選出擁有專案的使用者、專案狀態管理員、指派為專案之資源、或 RBS 中之下階指派至專案的使用者,讓他們擁有類別權限。 此類別適用於允許使用者瞭解所有與其相關聯、或與其 RBS 中之下階相關聯的專案。 |
| 我的資源 |
此會篩選出使用者在 RBS 中的下階資源,讓使用者擁有大部分的資源層級類別權限。 此類別適用於允許使用者管理其在 RBS 結構中所列的資源。 |
| 我的任務 |
允許使用者看見被指派的專案。 此類別會與「小組成員」群組相關聯,適用於任何人,讓他們可瞭解被指派的專案。 |
您可以建立自訂類別,以新方式存取專案、資源及檢視的資料。 太多類別可能會過於複雜,難以管理。 建議您少用類別。
Project Web App 的安全性範本
安全性範本是預先定義的權限組。 使用安全性範本可以簡化對需要存取相同資料之使用者群組授與權限的程序。 每個Project Web App實例都包含下列預設安全性範本:
系統管理員
公事包檢視者
公事包管理員
專案經理
提案檢閱者
資源管理員
小組負責人
小組成員
安全性範本可讓您快速地對新的或現有使用者、群組和類別,套用或重設預先定義的權限設定檔。 透過套用安全性範本,您可以輕鬆地根據組織中的使用者角色指派統一權限。 預設安全性範本會與 Project Web App 中預先定義的群組一致。 您可以根據自己的需求自訂這些安全性範本,以建立新的安全性範本。
注意事項
如果變更安全性範本的設定,所做的變更不會自動套用到已套用範本的使用者和群組。
建立自訂安全性範本需要規劃。 您必須先識別組織中不會反映在預設安全性範本中的常見Project Web App使用模式。 這可協助您識別自訂安全性範本的需求。 然後,判斷共用常見Project Web App使用模式的使用者需要的許可權。 這會定義安全性範本。 接下來,決定使用者和群組需要存取的專案、資源、檢視等集合;這會定義安全性類別。 建立自訂安全性範本,並將其套用至共用常見使用模式的使用者群組。
Project Web App 中的資源分解結構
「資源分解結構」(RBS) 為階層式安全性結構,它通常是以貴組織的管理報告結構為基礎,不過也可以採用其他方式來架構。 RBS 可以是您Project Web App安全性模型中的重要元素,用來定義組織中使用者和專案之間的報告關聯性。 當您為每個Project Web App使用者指定 RBS 值時,您可以利用可為每個安全性類別定義的動態安全性選項。
RBS 結構的定義方式是將值新增至內建于 Project Web App 的 RBS 自訂查閱資料表。 定義結構之後,即可在使用者帳戶設定頁面中設定 RBS 屬性,將 RBS 值指派給個別使用者。
設定 RBS 之後,「類別」便可用 RBS 碼動態判斷特定使用者可檢視或存取哪些專案和資源。 下表列出每個「類別」中採用 RBS 的安全性選項。
專案的安全性選項
| 選項 | 說明 |
|---|---|
| 使用者是專案擁有者,或該專案中所指派的狀態管理員 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見他們擔任專案擁有者或狀態管理員的專案 |
| 使用者是該專案的專案小組成員 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見他們身為資源的專案 |
| 專案擁有者是透過 RBS 使用者的下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 下階所擁有的專案 |
| 在專案的專案小組中,資源是透過 RBS 的使用者下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 下階當作資源的專案 |
| 專案擁有者與使用者有相同的 RBS 值 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其他具有相同 RBS 值之使用者所擁有的專案 |
注意事項
最前面兩個選項 ([使用者是專案擁有者,或該專案中所指派的狀態管理員] 和 [使用者是該專案的專案小組成員]) 與 RBS 並無關聯,不過這兩個選項提供類似篩選的功能,可篩選出使用者可看見的專案。
資源的安全性選項
| 選項 | 說明 |
|---|---|
| 使用者是資源 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見他們自己身為資源的專案 |
| 他們是使用者所擁有專案的專案小組成員 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見指派給他們所擁有專案中的資源 |
| 他們是透過 RBS 使用者的下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 中的下階 |
| 他們是透過 RBS 使用者的直屬下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 中的直屬下階 |
| 他們與使用者有相同的 RBS 值 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其他具有相同 RBS 值的使用者 |
注意事項
最前面兩個選項 ([使用者是資源] 和 [他們是使用者所擁有專案的專案小組成員]) 與 RBS 並無關聯,不過這兩個選項提供類似篩選的功能,可篩選出使用者可看見的資源。
您可以在建立或修改「類別」時,設定上表中的選項。