控制功能區域的存取權
您可以為 Team 專案的下列功能區域進行初始安全性設定:小組查詢、Team Foundation 版本控制、Team Foundation Build 和 Visual Studio Lab Management。Microsoft Solutions Framework (MSF) 的流程範本會指派數個權限給預設安全性群組。 您可以自訂適當功能區域的外掛程式檔案來修改這些指派。
如需如何設定 Visual Studio Team Foundation Server 之安全性群組的相關資訊,請參閱設定初始群組、小組、成員和權限。
如需如何管理使用者和群組,以及控制對 Visual Studio Application Lifecycle Management (ALM) 之存取的詳細資訊,請參閱管理 TFS 中的使用者或群組。
將權限指派給功能區域
您可以使用功能性 permission 項目,允許或拒絕授與功能區域的權限給 Team Foundation Server 中的安全性群組、Windows 群組或 Windows 識別。 您可以在工作項目追蹤的外掛程式檔案、Team Foundation 版本控制、Team Foundation Build 和 Lab Management 中使用這個項目。 您必須將權限項目封裝到其對應的容器內:permissions 項目。您可以針對功能性 permission 項目使用下列語法結構:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
下表說明功能性 permission 項目的屬性:
屬性 |
描述 |
||
|---|---|---|---|
allow |
識別所授與的權限。 您可以逗號分隔的文字形式來指定權限。 如需已針對每個功能區域定義的權限名稱,請參閱本主題稍後的下列章節:
|
||
deny |
識別所撤銷的權限。 您可以逗號分隔的文字形式來指定權限。
|
||
identity |
指定要套用權限之 Team Foundation Server 中的安全性群組、Windows 群組或 Windows 識別。 如需指定群組時所用的格式,請參閱設定初始群組、小組、成員和權限中的<Team Foundation Server 中定義的預設群組>。 |
下列範例示範如何授與權限,讓 [Contributors] 群組能夠檢視組建和組建定義、將組建排入佇列,以及編輯組建品質。
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
.gif "注意事項") 注意事項 |
|---|
如果在執行階段找不到某個識別的某個權限,就會在該識別所屬的其他任何群組中搜尋這個權限。如果找不到這個權限,預設會拒絕權限。 |
指派工作項目查詢的權限
在工作項目外掛程式檔案中,您可以指派權限,以控制對小組查詢資料夾的存取。 查詢資料夾權限是查詢和查詢資料夾特有的權限。 您可以將存取權授與 Windows 中的使用者和群組,或是為 Team Foundation Server 定義的預設群組。
您可以使用功能性 permission 項目來指派這些權限,如下列範例所示:
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
| 注意事項 |
|---|
建立 Team 專案之後,您可以在 [Team Explorer] 中,以滑鼠右鍵按一下查詢資料夾或查詢,然後按一下 [安全性],來設定這些權限。如需詳細資訊,請參閱設定查詢的權限。 |
下表說明可控制對查詢資料夾和查詢之存取的權限。 該表也會指出 MSF 流程範本中所做的預設指派。 根據預設,查詢和查詢資料夾的建立者或擁有者具有完全控制權限,可管理他們所建立或擁有的查詢。
權限 |
描述 |
Readers、Contributors、Builders |
Creator Owners、Project Administrator 群組、Project Collection Administrators |
|---|---|---|---|
Read |
讀取: 可以檢視及執行查詢,或是檢視查詢資料夾及其內容 |
.png "核取標記"){kind=icon} |
|
Contribute |
參與: 可以檢視及編輯查詢或查詢資料夾 (包括其內容) |
|
|
Delete |
刪除: 可以檢視、編輯及刪除查詢或查詢資料夾 (包括其內容) |
|
|
ManagePermissions |
管理權限: 可以管理查詢或查詢資料夾 (包括其內容) 的權限 |
|
|
FullControl |
完全控制: 可以檢視、編輯、刪除及管理查詢或查詢資料夾 (包括其內容) 的權限 |
|
指派版本控制的權限
您可以變更版本控制的外掛程式檔案,來指派權限,以控制對原始程式碼檔和資料夾的存取。 版本控制權限是原始程式碼檔和資料夾特有的權限。 您可以將存取權授與 Windows 中的使用者和群組,或是為 Team Foundation Server 定義的預設群組。
您可以使用功能性 permission 項目來指派這些權限,如下列範例所示:
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
| 注意事項 |
|---|
建立 Team 專案之後,您可以在 [原始檔控制總管] 中,以滑鼠右鍵按一下資料夾或檔案,然後依序按一下 [屬性] 和 [安全性] 索引標籤,來設定這些權限。您可以在該索引標籤上,按一下要變更權限的使用者或群組,然後編輯 [權限] 中所列的權限。您也可以使用 tf 版本控制命令列工具或 TFSSecurity 命令列工具,來設定這些權限。如需詳細資訊,請參閱Team Foundation Server 的權限參考。 |
下表說明可控制對原始程式碼檔和資料夾之存取的權限。 該表也會指出 MSF 流程範本中所做的預設指派。
權限 |
描述 |
Readers |
Contributors |
Builders |
Project Administrator 群組 |
|---|---|---|---|---|---|
Read |
讀取: 可以顯示檔案或資料夾的內容。 如果使用者具有資料夾的 [讀取] 權限,但沒有其內含檔案的權限,則使用者可以顯示這些檔案的名稱和屬性,但無法開啟檔案。 |
|
|
|
|
PendChange |
簽出: 可以簽出項目並對其進行暫止的變更。 暫止變更的範例包括加入、編輯、重新命名、刪除、取消刪除、分支以及合併檔案。 |
|
|
|
|
Merge |
合併: 可以將變更合併至其具有權限的路徑中。 |
|
|
|
|
Checkin |
簽入: 可以簽入項目,以及修訂任何已認可的變更集註解。 當使用者簽入項目時,認可暫止的變更。 |
|
|
|
|
Label |
標籤: 可以標示項目。 |
|
|
|
|
Lock |
鎖定: 可以鎖定項目,讓其他使用者無法加以更新。 |
|
|
|
|
ReviseOther |
修訂其他使用者的變更: 可以變更其他人的變更集註解和簽入提示內容。 |
|
|||
UnlockOther |
解除鎖定其他使用者的變更: 可以移除其他人的鎖定。 |
|
|||
UndoOther |
復原其他使用者的變更: 可以復原其他人暫止的變更。 |
|
|||
LabelOther |
管理標籤: 可以修改其他人的標籤。 |
|
|||
AdminProjectRights |
管理權限: 可以設定版本控制的安全性設定。 |
|
|||
CheckinOther |
簽入其他使用者的變更: 可以其他使用者身分執行簽入。 轉換公用程式需要這個權限。 |
|
|||
ManageBranch |
管理分支: 具有所指定路徑之這個使用權限的使用者可以將該路徑下的任何資料夾轉換成分支。 對某個分支具有這個權限的使用者也可以編輯該分支的屬性、重設其父代,並將其轉換成資料夾。 具有這個使用權限的使用者只有在同時具有目標路徑的 [合併] 使用權限時,才能對此分支進行分支處理。 使用者無法從他們沒有 [管理分支] 權限的分支建立分支。 |
|
指派組建的權限
您可以變更組建外掛程式檔案,來指派權限,以控制對組建活動的存取。 您可以將存取權授與 Windows 中的使用者和群組,以及 Team Foundation Server 中的群組。 如需指定群組時所用之格式的相關資訊,請參閱設定初始群組、小組、成員和權限中的<Team Foundation Server 中定義的預設群組>。
您可以使用功能性 permission 項目來指派這些權限,如下列範例所示:
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
| 注意事項 |
|---|
建立 Team 專案之後,您可以在 Team Explorer 中開啟專案,以滑鼠右鍵按一下 [組建],然後按一下 [安全性],來設定這些權限。您可以滑鼠右鍵按一下組建定義,然後按一下 [安全性],將權限套用至特定組建定義。如果您想要將權限套用至組建資料夾,請以滑鼠右鍵按一下該資料夾,然後按一下 [安全性]。此外,您也可以使用 TFSSecurity 命令列工具來設定這些使用權限。如需詳細資訊,請參閱Team Foundation Server 的權限參考。 |
下表說明您可以指派來控制對 Team 專案之組建功能之存取的權限。 此表也會指出 MSF 流程範本中所做的預設指派。
| 注意事項 |
|---|
[依組建覆寫簽入驗證] 權限只應該指派給組建服務的服務帳戶,以及負責程式碼品質的組建管理員。如需詳細資訊,請參閱簽入由閘道簽入組建所控制的暫止變更。 |
權限 |
描述 |
Readers |
Contributors |
組建系統管理員 |
Project Administrators |
Project Collection Administrators |
|---|---|---|---|---|---|---|
ViewBuildDefinition |
檢視組建定義: 可以檢視針對 Team 專案建立的組建定義。 |
|
|
|
|
|
ViewBuilds |
檢視組建: 可以檢視這個 Team 專案已佇列和已完成的組建。 |
|
|
|
|
|
EditBuildQuality |
編輯組建品質: 可以透過 Team Foundation Build 的介面加入組建品質的相關資訊。 |
|
|
|
|
|
QueueBuilds |
佇列組建: 可以透過 Team Foundation Build 的介面或命令提示字元,將組建加入佇列。 |
|
|
|
|
|
DeleteBuildDefinition |
刪除組建定義: 可以刪除組建定義。 |
|
|
|
||
DeleteBuilds |
刪除組建: 可以刪除完成的組建。 |
|
|
|
||
DestroyBuilds |
終結組建: 可以永久刪除完成的組建。 |
|
|
|
||
EditBuildDefinition |
編輯組建定義: 可以建立及修改組建定義。 |
|
|
|
||
ManageBuildQualities |
管理組建品質: 可以加入或移除組建品質,例如 [準備開始部署]、[已拒絕] 或 [調查中]。 如需詳細資訊,請參閱加入或移除組建品質值。 |
|
|
|
||
ManageBuildQueue |
管理組建佇列: 可以取消、重新排列優先順序或延後已佇列組建。 |
|
|
|
||
RetainIndefinitely |
無限期保留: 可以標示組建,使任何適用的保留原則不會自動刪除該組建。 |
|
|
|
||
StopBuilds |
停止組建: 可以停止正在進行中的組建。 |
|
|
|
||
OverrideBuildCheckInValidation |
依組建覆寫簽入驗證: 可以認可會影響閘道組建定義的變更集,而不觸發系統先擱置及建置變更。 如需詳細資訊,請參閱簽入由閘道簽入組建所控制的暫止變更。 |
|
||||
UpdateBuildInformation |
更新組建資訊: 可以加入組建品質的相關資訊。 這個使用權限應該只指派給服務帳戶。 |
指派 Lab Management 的權限
您可以變更實驗室外掛程式檔案,來控制對 Lab Management 中活動的存取。 Lab Management 的權限是虛擬機器、環境和其他資源特有的權限。 您可以將存取權授與 Windows 中的使用者和群組,以及 Team Foundation Server 中的群組。 您可以使用功能性 permission 項目來指派這些權限,如下列範例所示:
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
| 注意事項 |
|---|
您可以使用 TFSLabConfig 命令列工具來設定 Lab Management 的權限。若要顯示特定實驗室資源的相關資訊,您必須具有該資源的 [Read] 權限。若要刪除位置,您必須具有該位置的 [刪除實驗室位置] 權限。如需詳細資訊,請參閱 TFSLabConfig 使用權限命令。 |
下表說明您可以指派來控制對 Visual Studio Lab Management 之存取的權限。 此表也會指出 MSF 流程範本中所做的預設指派。
權限 |
描述 |
Readers |
Contributors |
Project Collection Build Service Accounts 群組 |
Team Project Administrators 群組 |
Project Collection Administrators 群組 |
|---|---|---|---|---|---|---|
Read |
檢視實驗室資源: 可以檢視各種 Lab Management 資源 (包括集合主機群組、專案主機群組和環境) 的資訊。 |
|
|
|
|
|
Create |
匯入虛擬機器: 可以從 Virtual Machine Manager (VMM) 程式庫共用匯入虛擬機器。 這個權限與 Write 不同,因為使用者可以在 Lab Management 中建立物件,但不能將任何項目寫入 VMM 主機群組或程式庫共用。 |
|
|
|
||
Write |
寫入環境和虛擬機器: 可以建立環境。 具有專案程式庫共用之這個權限的使用者可以儲存環境和虛擬機器。 |
|
|
|
|
|
Edit |
編輯環境和虛擬機器: 可以編輯環境和虛擬機器。 會檢查正在編輯之物件的權限。 |
|
|
|
|
|
Start |
啟動: 可以啟動環境。 |
|
|
|
|
|
Stop |
停止: 可以停止環境。 |
|
|
|
|
|
Pause |
暫停: 可以暫停環境。 |
|
|
|
||
ManageSnapshots |
管理快照: 可以執行所有快照管理工作,包括建立快照、還原成快照、重新命名快照、刪除快照,以及讀取快照。 |
|
|
|
|
|
Delete |
刪除環境和虛擬機器: 可以刪除環境和虛擬機器。 會檢查正在刪除之物件的權限。 |
|
|
|||
ManageLocation |
管理實驗室位置: 可以編輯 Lab Management 資源 (包括集合主機群組、集合程式庫共用、專案主機群組和專案程式庫共用) 的位置。 集合層級位置 (集合主機群組和集合程式庫共用) 的這個權限也允許使用者建立專案層級位置 (專案主機群組和專案程式庫共用)。 |
|
|
|||
DeleteLocation |
刪除實驗室位置: 可以刪除 Lab Management 資源 (包括集合主機群組、集合程式庫共用、專案主機群組和專案程式庫共用) 的位置。 |
|
|
|||
ManageChildPermissions |
管理子權限: 可以變更所有 Lab Management 子物件的權限。 例如,如果使用者具有 Team 專案主機群組的這個權限,則使用者可以變更該群組下所有環境的權限。 |
|
|
|||
ManagePermissions |
管理權限: 可以修改 Lab Management 物件的權限。 會檢查正在修改其權限之物件的權限。 |
|
||||
EnvironmentOps |
環境作業: 可以啟動、停止、暫停及管理快照,以及在環境上執行其他作業。 |