Team Foundation Server 預設群組、使用權限和角色
當您在 Visual Studio Team Foundation Server 中建立專案時,也會建立該專案的專案層級群組,並將存取適用於該群組之資源的使用權限指派給它們。 若要自訂專案以更符合商業需求,您必須了解不同使用者和群組獲派的使用權限,以及您可能要為任何使用者或群組加入的使用權限,而使用者或群組可能是在伺服器層級、集合層級和專案層級加入。 此外,如果您想要讓使用者與 MSF for Agile Software Development 或 MSF for CMMI Process Improvement 中所描述的角色更密切地結合,則必須了解如何將這些角色與指派給專案的預設群組結合。 此外,您也可以建立與每個角色直接關聯的群組,並將適用於該角色的使用權限指派給這些群組。
預設群組和使用權限
每當您在 Team Foundation Server 中建立專案時,也會在專案層級中建立群組。 根據預設,這些群組都會獲派特定的使用權限。 除了您要在伺服器、集合或專案層級中加入的群組或使用者之外,也可以將使用權限加入這些預設群組。
伺服器層級群組和使用權限
根據預設,當您安裝 Team Foundation Server 時,下列群組會出現在伺服器層級中:
Server**\Team Foundation Administrators**:這個群組的成員可以執行 Team Foundation Server 的所有作業。 這個群組的使用者需要具備 Team Foundation Server 的完整管理控制權,人數應盡量限制在最小範圍內。 這個群組預設會包含伺服器的 Local Administrators 群組 (BUILTIN\Administrators),而伺服器裝載 Team Foundation 的應用程式服務。 這個群組也包含 Server**\Service Accounts** 群組的成員。
Server**\Team Foundation Valid Users**:這個群組的成員可以存取 Team Foundation Server。 這個群組會自動包含已加入 Team Foundation Server 的所有使用者和群組。 您無法修改這個群組的成員資格。
.gif "重要事項")
重要事項如果您將此群組的 [檢視執行個體層級資訊] 使用權限取消設定或設定為 [拒絕],使用者就無法存取部署。
Server**\Service Accounts**:這個群組的成員具有 Team Foundation Server 的服務層級使用權限。 這個群組預設會包含安裝期間所提供的服務帳戶。 這個群組應該只包含服務帳戶,而不包含使用者帳戶或包含使用者帳戶的群組。 根據預設,這個群組是 [Team Foundation Administrators] 的成員。
Server**\Work Item Only View Users**:這個群組的成員限制為無法使用使用者在 Team Web Access 中檢視專案和集合時所提供的所有功能範圍。 這個群組的成員資格適用於沒有您 Team Foundation Server 部署之用戶端存取授權的使用者。
Server**\SharePoint Web Application Services**:這個群組的成員不只具有 Team Foundation Server 的部分服務層級使用權限,還具有設定成與 Team Foundation Server 搭配使用之 SharePoint Web 應用程式的服務層級使用權限。 這個群組應該只包含服務帳戶,而不包含使用者帳戶或包含使用者帳戶的群組。 與 Service Accounts 群組不同,這個群組並不是 Team Foundation Administrators 的成員。
根據預設,這些群組具有下表中的使用權限。 除非特別說明,否則會將使用權限設定為 [允許]。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
|---|---|---|
建立 Team 專案集合 |
Team Foundation Administrators Team Foundation Service Accounts |
負責管理部署之整體健康狀況和資源可用性的使用者或群組。 |
刪除 Team 專案集合 |
Team Foundation Administrators Team Foundation Service Accounts |
負責管理部署之整體健康狀況和資源可用性的使用者或群組。 |
編輯執行個體層級資訊 |
Team Foundation Administrators Team Foundation Service Accounts |
負責管理部署之整體健康狀況和資源可用性的使用者或群組。 |
代表其他人提出要求 |
Team Foundation Service Accounts SharePoint Web Application Services |
這個使用權限只應該指派給服務帳戶以及只包含服務帳戶的群組。 |
觸發事件 |
Team Foundation Administrators Team Foundation Service Accounts |
負責管理部署之整體健康狀況和資源可用性的使用者或群組。 |
使用完整 Web 存取功能 |
Team Foundation Administrators Team Foundation Valid Users Work Item Only View Users (DENY) |
必須使用 Team Web Access 中提供之所有功能範圍的使用者和群組。 如果您想要限制使用者只能在 Team Web Access 中進行唯讀檢視,請將這個使用權限設定為 [拒絕],或將使用者加入至伺服器層級的 Work Item Only View Users 群組。 |
檢視執行個體層級資訊 |
Team Foundation Administrators Team Foundation Service Accounts SharePoint Web Application Services Team Foundation Valid Users |
所有與 Team Foundation Server 互動的使用者或群組。 |
集合層級群組和使用權限
當您安裝 Team Foundation Server 時,集合層級預設會有下列群組:
TeamProjectCollectionName**\Project Collection Administrators**:這個群組的成員可以執行 Team 專案集合的所有作業。 這個群組的使用者需要具備集合的完整管理控制權,人數應盡量限制在最小範圍內。 這個群組預設會包含伺服器的 Local Administrators 群組 (BUILTIN\Administrators),而伺服器已安裝 Team Foundation 的應用程式層服務。 這個群組也包含 <TeamProjectCollectionName>\Service Accounts 群組的成員。
TeamProjectCollectionName**\Project Collection Valid Users**:這個群組的成員可以存取 Team Foundation Server 中的 Team 專案集合。 這個群組會自動包含已在 Team 專案集合的任意位置加入的所有使用者和群組。 您無法修改這個群組的成員資格。
重要事項請不要將這個群組的 [檢視集合層級資訊] 使用權限取消設定或設定為 [拒絕]。
TeamProjectCollectionName**\Project Collection Service Accounts**:這個群組的成員具有集合和 Team Foundation Server 的服務層級使用權限。 這個群組預設會包含安裝期間所提供的服務帳戶。 這個群組應該只包含服務帳戶以及只包含服務帳戶的群組。 這個群組預設是 Team Foundation Administrators 和 Team Foundation Service Accounts 的成員。
TeamProjectCollectionName**\Project Collection Build Service Accounts**:這個群組的成員具有集合的組建服務層級使用權限。 這個群組應該只包含服務帳戶以及只包含服務帳戶的群組。
TeamProjectCollectionName**\ Collection Proxy Service Accounts**:這個群組的成員具有集合的 Proxy 服務層級使用權限。 這個群組應該只包含服務帳戶以及只包含服務帳戶的群組。
TeamProjectCollectionName**\Project Collection Test Service Accounts**:這個群組的成員具有集合的測試服務層級使用權限。 這個群組應該只包含服務帳戶以及只包含服務帳戶的群組。
根據預設,這些群組具有下表中的使用權限。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
|---|---|---|
管理擱置的變更 |
Project Collection Administrators Project Collection Service Accounts Project Collection Build Service Accounts |
手動加入的使用者或群組,可能或必須刪除其他使用者所建立的擱置集。 |
管理倉儲 |
Project Collection Administrators Project Collection Service Accounts |
手動加入的使用者或群組,可能或必須透過 WarehouseController.asmx Web 服務的 ChangeSetting Web 方法變更倉儲設定。 |
管理工作區 |
Project Collection Administrators Project Collection Service Accounts |
手動加入的使用者或群組,可能或必須為其他使用者建立工作區,以及刪除其他使用者所建立的工作區。 |
修改追蹤設定 |
Project Collection Administrators |
其他伺服器管理員,他們可能或必須變更追蹤設定,以蒐集 Team Foundation Server Web 服務的更詳細診斷資訊。 |
建立工作區 |
Project Collection Administrators Project Collection Service Accounts Project Collection Valid Users |
無。 所有具有這個使用權限的使用者都是 Project Collection Valid Users 群組的成員。 |
建立新專案 |
Project Collection Administrators |
定期建立專案的專案系統管理員。 |
刪除 Team 專案 |
Project Collection Administrators |
負責管理部署之整體健康狀況和資源可用性的使用者或群組。 |
刪除 Team 專案集合 |
Project Collection Administrators |
負責管理部署之整體健康狀況和資源可用性的使用者或群組。 |
編輯集合層級資訊 |
Project Collection Administrators Project Collection Service Accounts |
無。 |
代表其他人提出要求 |
Project Collection Administrators Project Collection Service Accounts SharePoint Web Application Services |
無。 |
管理組建資源 |
Project Collection Administrators Project Collection Build Administrators Project Collection Build Service Accounts Project Administrators Builders |
手動加入的使用者或群組,可能或必須管理和排定集合之組建資源上的組建。 |
管理流程範本 |
Project Collection Administrators |
專案系統管理員和任何手動加入的使用者或群組 (例如流程專員),他們可能或必須建立、編輯、下載並上載流程範本至 Team Foundation Server。 |
管理測試控制器 |
Project Collection Administrators Project Collection Test Service Accounts |
無。 |
管理工作項目連結類型 |
Project Collection Administrators |
無。 |
觸發事件 |
Project Collection Administrators Project Collection Service Accounts |
無。 將這項使用權限加入至其他使用者,可能會允許拒絕服務攻擊。 |
使用組建資源 |
Project Collection Administrators Project Collection Build Service Accounts |
手動加入的使用者或群組,可能或必須將新組建放入佇列或瀏覽集合中已完成的組建。 |
檢視組建資源 |
Project Collection Administrators Project Collection Build Administrators Project Collection Build Service Accounts Project Collection Valid Users |
無。 |
檢視集合層級資訊 |
Project Collection Administrators Project Collection Build Administrators Project Collection Build Service Accounts Project Collection Service Accounts Project Collection Test Service Accounts Project Collection Valid Users SharePoint Web Application Services Collection Proxy Service Accounts |
無。 |
檢視系統同步處理資訊 |
Project Collection Administrators |
無。 |
專案層級群組和使用權限
根據預設,下列群組會存在於專案層級中:
ProjectName**\Project Administrators**:這個群組的成員無法建立專案,但可以管理 Team 專案的各個層面。
ProjectName**\Contributors**:這個群組的成員可以透過多種方法參與專案,例如加入、修改和刪除程式碼,以及建立和修改工作項目。
ProjectName**\Readers**:這個群組的成員可以檢視專案,但不能修改專案。
ProjectName**\Builders**:這個群組的成員具有專案的組建使用權限。 成員可以管理測試環境、建立測試回合,以及管理組建。
在 Team Foundation Server 的每個專案中,除了這些專案層級群組之外,還會出現兩個集合層級群組:
TeamProjectCollectionName**\Project Collection Administrators**
.gif "注意事項")
注意事項您無法變更這個集合層級群組的使用權限。
TeamProjectCollectionName**\Project Collection Build Service Accounts**
重要事項請勿移除這個群組的 [檢視專案層級資訊] 使用權限,或將這個使用權限設定為 [拒絕]。
根據預設,這些群組具有下表中的使用權限。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
| 注意事項 |
|---|
您可以使用 TFSSecurity 命令列工具,將專案層級群組加入至伺服器層級群組。 |
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
|---|---|---|
建立測試回合 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Build Service Accounts、Project Collection Test Service Accounts |
無。 |
刪除 Team 專案 |
Project Administrators、Project Collection Administrators |
無。 |
刪除測試回合 |
Project Administrators、Team Foundation Administrators |
手動加入的使用者或群組,可能或必須終止進行中的測試回合,或刪除舊的測試回合。 |
編輯專案層級資訊 |
Project Administrators、Project Collection Administrators |
無。 |
管理測試組態 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Build Service Accounts、Project Collection Test Service Accounts |
無。 |
管理測試環境 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Build Service Accounts、Project Collection Test Service Accounts |
無。 |
檢視專案層級資訊 |
Project Administrators、Contributors、Readers、Builders、Project Collection Administrators、Project Collection Build Service Accounts |
所有需要存取這個專案之手動加入的使用者或群組。 |
檢視測試回合 |
Project Administrators、Contributors、Readers、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
所有需要存取這個專案之手動加入的使用者或群組。 |
區域層級群組和使用權限
根據預設,下列群組會存在於區域層級中:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
ProjectName**\Builders**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName**\Project Collection Build Service Accounts**
根據預設,這些群組具有下表中的使用權限。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
|---|---|---|
建立並排列子節點的順序 |
Project Administrators、Project Collection Administrators |
無。 |
刪除此節點 |
Project Administrators、Project Collection Administrators |
任何手動加入的使用者或群組,可能或必須刪除區域節點。 |
編輯此節點 |
Project Administrators、Project Collection Administrators |
任何手動加入的使用者或群組,可能或必須重新命名區域節點。 |
編輯此節點中的工作項目 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Build Service Accounts |
任何手動加入的使用者或群組,可能或必須編輯這個區域節點中的工作項目。 |
檢視此節點 |
Project Administrators、Contributors、Readers、Builders、Project Collection Administrators、Project Collection Build Service Accounts、Project Collection Test Service Accounts |
任何手動加入的使用者或群組,可能需要存取這個區域節點中的工作項目。 |
檢視此節點中的工作項目 |
Project Administrators、Contributors、Readers、Builders、Project Collection Administrators、Project Collection Build Service Accounts、Project Collection Test Service Accounts |
任何手動加入的使用者或群組,可能或必須檢視這個區域節點中的工作項目,但不進行編輯或變更。 |
反覆項目層級群組和使用權限
根據預設,下列群組會存在於反覆項目層級中:
ProjectName**\Project Administrators**
TeamProjectCollectionName**\Project Collection Administrators**
根據預設,這些群組具有下表中的使用權限。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
|---|---|---|
建立並排列子節點的順序 |
Project Administrators、Project Collection Administrators |
無。 |
刪除此節點 |
Project Administrators、Project Collection Administrators |
任何手動加入的使用者或群組,可能或必須刪除反覆項目節點。 |
編輯此節點 |
Project Administrators、Project Collection Administrators |
任何手動加入的使用者或群組,可能或必須重新命名反覆項目節點。 |
檢視此節點 |
Project Administrators、Project Collection Administrators |
任何手動加入的使用者或群組,可能或必須檢視反覆項目節點。 |
版本控制群組和使用權限
下列群組預設會存在於版本控制層級中:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
ProjectName**\Builders**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName**\Project Collection Service Accounts**
TeamProjectCollectionName**\Project Collection Build Service Accounts**
根據預設,這些群組具有下表中的使用權限。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
|---|---|---|
讀取 |
Project Administrators、Contributors、Readers、Builders、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
大部分手動加入的使用者或群組,可能或必須讀取檔案或資料夾的內容。 |
簽出 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
任何手動加入的使用者或群組,可能或必須簽出資料夾中的項目或進行暫止的變更。 |
簽入 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
任何手動加入的使用者或群組,可能或必須簽入項目或修訂經過認可的變更集註解。 |
標籤 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
任何手動加入的使用者或群組,可能或必須將項目加上標籤。 |
鎖定 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
任何手動加入的使用者或群組,可能或必須鎖定或解除鎖定資料夾或檔案。 |
修訂其他使用者的變更 |
Project Administrators、Project Collection Administrators、Project Collection Service Accounts |
手動加入的使用者或群組 (負責管理或監視專案),他們可能或必須變更所簽入檔案的註解 (即使由其他使用者簽入檔案也是)。 |
解除鎖定其他使用者的變更 |
Project Administrators、Project Collection Administrators、Project Collection Service Accounts |
手動加入的使用者或群組,可能或必須解除鎖定其他使用者所鎖定的檔案。 |
復原其他使用者的變更 |
Project Administrators、Project Collection Administrators、Project Collection Service Accounts |
手動加入的使用者或群組,可能或必須復原其他使用者所做之暫止的變更。 |
管理標籤 |
Project Administrators、Project Collection Administrators、Project Collection Service Accounts |
手動加入的使用者或群組,可能或必須編輯或刪除其他使用者建立的標籤。 |
管理使用權限 |
Project Administrators、Project Collection Administrators、Project Collection Service Accounts |
無。 |
簽入其他使用者的變更 |
Project Administrators、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
無。 |
合併 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
手動加入的使用者或群組,可能或必須合併原始程式檔。 |
管理分支 |
Project Administrators、Project Collection Administrators、Project Collection Service Accounts、Project Collection Build Service Accounts |
手動加入的使用者或群組,可能或必須建立私用分支。 |
組建層級使用權限
下列群組預設會存在於組建層級中:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
ProjectName**\Builders**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName**\Project Collection Build Service Accounts**
根據預設,這些群組具有下表中的使用權限。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
|---|---|---|
檢視組建 |
Project Administrators、Contributors、Readers、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
任何手動加入的使用者或群組,可能或必須檢視組建。 |
編輯組建品質 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Build Service Accounts |
|
無限期保留 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
刪除組建 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
管理組建品質 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
終結組建 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
更新組建資訊 |
Project Collection Build Service Accounts |
|
佇列組建 |
Project Administrators、Contributors、Builders、Project Collection Administrators、Project Collection Build Service Accounts |
|
管理組建佇列 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
停止組建 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
檢視組建定義 |
Project Administrators、Contributors、Readers、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
任何手動加入的使用者或群組,可能或必須檢視組建定義。 |
編輯組建定義 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
刪除組建定義 |
Project Administrators、Builders、Project Collection Build Service Accounts、Project Collection Administrators |
|
依組建覆寫簽入驗證 |
Project Collection Build Service Accounts、Project Collection Administrators |
Lab Management 群組和使用權限
下列群組預設會存在於 Lab Management 層級中:
ProjectName**\Project Administrators**
ProjectName**\Contributors**
ProjectName**\Readers**
TeamProjectCollectionName**\Project Collection Administrators**
TeamProjectCollectionName\Project Collection Build Service accounts
Server**\Team Foundation Administrators**
根據預設,這些群組具有下表中的使用權限。 此外,會將該物件的所有使用權限自動授與 Lab Management 中物件的建立者。 如需每個使用權限的完整說明,請參閱 Team Foundation Server 使用權限。
使用權限名稱 |
根據預設,設定為: |
考慮加入至: |
檢視實驗室資源 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Readers、Project Collection Build Service accounts |
|
管理實驗室位置 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators (僅限專案層級位置,即專案主機群組和專案程式庫共用) |
|
刪除實驗室位置 |
Team Foundation Administrators、Project Collection Administrators Project Administrators (僅限專案層級位置,例如專案主機群組和專案程式庫共用) |
|
寫入環境和虛擬機器 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Project Collection Build Service accounts |
|
編輯環境和虛擬機器 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Project Collection Build Service accounts |
|
刪除環境和虛擬機器 |
Team Foundation Administrators、Project Collection Administrators、 Project Administrators |
|
匯入虛擬機器 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors |
|
環境作業 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Project Collection Build Service accounts |
|
管理使用權限 |
Team Foundation Administrators、Project Collection Administrators |
|
管理子使用權限 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators (僅限專案層級位置,即專案主機群組和專案程式庫共用) |
|
啟動 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Project Collection Build Service accounts |
|
停止 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Project Collection Build Service accounts |
|
暫停 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Project Collection Build Service accounts |
|
管理快照 |
Team Foundation Administrators、Project Collection Administrators、Project Administrators、Contributors、Project Collection Build Service accounts |
請參閱
工作
設定 Team Foundation Server 的系統管理員權限