Administrar usuarios o grupos en TFS

Para que los usuarios puedan acceder a su proyecto de equipo en Team Foundation Server (TFS), debe concederles acceso. Si es un administrador de un equipo pequeño y no es importante restringir el acceso, simplemente agregue los miembros del equipo a TFS.

Sin embargo, si necesita conceder acceso a un gran número de usuarios que realizan diferentes funciones en el equipo, la práctica recomendada es crear grupos de Windows o Active Directory, agregar estos grupos a grupos TFS y agregar estos mismos grupos para conceder acceso a recursos adicionales.

Pasos para administrar usuarios y grupos en TFS

Los tres últimos pasos son opcionales. Solo tiene que conceder permisos para los informes o para el portal del proyecto si el proyecto de equipo se ha aprovisionado con SQL Server Reporting Services o un sitio de SharePoint. Además, solo debe cambiar los niveles de acceso si necesita permitirle a todo un grupo el acceso a características premium o si desea conceder un acceso ilimitado a las partes interesadas o a usuarios no autorizados.

Si necesita asegurarse de que los usuarios adecuados tienen el acceso que les corresponde o permisos para determinadas funciones y características, es de gran ayuda saber que TFS controla el acceso a través de tres áreas funcionales interconectadas:

  • La Administración del nivel de acceso controla el acceso únicamente a las características proporcionadas mediante TWA, la aplicación web de TFS. Según la licencia de usuario, los administradores conceden acceso a un conjunto de características limitado, estándar o completo. Para obtener más información sobre las licencias, consulte Notas del producto sobre las licencias de Visual Studio y MSDN.

  • La Administración de pertenencia es compatible con la adición de cuentas de usuario y grupos de Windows individuales a los grupos TFS predeterminados. Además, puede crear grupos TFS. Cada grupo TFS predeterminado está asociado con un conjunto de permisos predeterminado. Todos los usuarios que se agreguen a un grupo TFS se agregarán al grupo Usuarios válidos. Un usuario válido es alguien que puede conectarse con el proyecto de equipo.

  • La Administración de permisos controla el acceso a tareas funcionales específicas en distintos niveles del sistema. Los permisos de nivel de objeto establecen permisos en un archivo, una carpeta, una definición de compilación o una consulta compartida. La configuración de permisos se corresponde con Permitir, Denegar, Permitir herencia, Denegar herencia y No establecido.

Cada área funcional utiliza grupos para simplificar la administración en la implementación. Puede agregar usuarios y grupos a través de las páginas de administración del servicio web de TFS. Los permisos se establecen automáticamente según el grupo TFS al que agregue usuarios, o según el objeto, el proyecto, la colección o el nivel de servidor al que agregue grupos. Por otra parte, la administración del nivel de acceso controla el acceso de todos los usuarios y grupos en el nivel de servidor.

Administración de permisos, suscripción y acceso a TFS

Notas:

  • Características estándar: incluye el acceso a la página principal, Código, Trabajo, Compilación y a las páginas administrativas en Team Web Access (TWA). Puede obtener aquí más información sobre los niveles de acceso.

  • AD: Active Directory. Puede crear grupos locales o grupos de Active Directory para administrar los usuarios. Si decide utilizar grupos, asegúrese de que la pertenencia a esos grupos está limitada a los usuarios de TFS. Puesto que los propietarios de los grupos pueden modificar la pertenencia a los mismos en cualquier momento, si esos propietarios no tuvieron en cuenta TFS cuando crearon esos grupos, los cambios en la pertenencia a los mismos pueden producir efectos secundarios no deseados dentro de TFS.

Aquí está todo lo que necesita saber acerca de la configuración de permisos:

  • Permitir o Denegar permiten o impiden explícitamente a los usuarios realizar tareas específicas, y suelen heredarse de la pertenencia al grupo.

  • No establecido deniega implícitamente a los usuarios la posibilidad de realizar tareas que requieren ese permiso, pero permite que la pertenencia a un grupo que sí tiene establecido ese permiso tenga prioridad, lo que también se conoce como Permitir herencia y Denegar herencia.

  • En el caso de la mayoría de los grupos y de casi todos los permisos, Denegar triunfa sobre Permitir. Si un usuario pertenece a dos grupos, y uno de ellos tiene un permiso concreto establecido en Denegar, dicho usuario no podrá realizar tareas que requieran ese permiso, incluso si pertenecen a un grupo que tiene ese permiso establecido en Permitir.

    En el caso de los miembros de los grupos Administradores de la colección de proyectos o Administradores de Team Foundation, Denegar no triunfa sobre Permitir. Los permisos asignados a estos grupos tienen prioridad sobre el valor Denegar establecido en cualquier grupo al que pertenezca ese miembro.

  • Al cambiar un permiso para un grupo se cambia ese permiso para todos los usuarios con permisos concedidos a través de la pertenencia a ese grupo. Es decir, según el tamaño del grupo, es posible que el cambio de un solo permiso afecte a la capacidad de centenares de usuarios para realizar sus trabajos. Por tanto, asegúrese de que entiende el impacto antes de realizar un cambio.

Dos sugerencias útiles para entender los efectos de un cambio: la pestaña Miembro de muestra los grupos a los que pertenece un usuario individual o un grupo de usuarios. También puede mantener el mouse sobre un permiso heredado; aparecerá un icono ¿Por qué? Si lo elige, se abrirá un cuadro de diálogo con más información.

Página de seguridad, rol Colaborador, permisos

R: Después de que se le haya agregado como miembro del equipo o colaborador en TFS, consulte Control de versiones de Team Foundation o Git.

R: Para agregar usuarios o grupos en el proyecto de equipo y administrar los permisos del proyecto de equipo, debe pertenecer al grupo Administradores de proyecto de dicho proyecto de equipo, o bien tener permisos de edición de nivel de proyecto establecidos en Permitir. Los administradores del proyecto disponen de los siguientes permisos predeterminados.

Permisos predeterminados del rol de administrador del proyecto

Para administrar usuarios, grupos o permisos de todos los proyectos de equipo dentro de una colección, debe pertenecer al grupo Administradores de la colección de proyectos, o bien tener permisos de edición de nivel de colección establecidos en Permitir.

R: Debe conceder permisos a los usuarios según las tareas que realicen en TFS. En general, le interesa conceder el conjunto mínimo de permisos que necesiten los usuarios para realizar su trabajo. Puede usar los siguientes grupos predeterminados y sus permisos asociados para administrar la mayoría de los usuarios y atender sus necesidades.

Usuarios

Team Foundation Server

SharePoint Foundation o SharePoint Server

SQL Server Reporting Services

Agregue cuentas para las personas que necesiten acceso de solo vista al proyecto.

Lectores

Visitors

Explorador

Agregue cuentas para las personas que contribuyan al desarrollo del proyecto de software o que lo administren.

Contributors

Miembros

Explorador

Agregue cuentas para las personas que administren el acceso del usuario al proyecto o que necesiten configurar o personalizar el proyecto.

Project Administrators

Owners

Team Foundation Content Manager

Para simplificar la administración de los tres sistemas, considere el uso de la herramienta TFSAdmin de CodePlex.

Sugerencia Sugerencia

A diferencia de Team Foundation Server y SharePoint Foundation, SQL Server Reporting Services no distingue entre los proyectos. Por tanto, si agrega un grupo a Reporting Services, ese grupo tendrá los mismos permisos para los informes en todos los proyectos de la colección, cualesquiera que sean sus permisos en los proyectos individuales. No lo olvide al elegir los grupos que se van a agregar.

R: El rol Colaborador concede los permisos más comunes que necesitan los desarrolladores para contribuir a un proyecto de equipo. Sin embargo, no permite a los usuarios crear consultas compartidas o agregar rutas de acceso de área o iteración. Tiene que conceder estos permisos por separado. Vaya aquí para informarse sobre las consultas, y aquí para informarse sobre las rutas de acceso de área e iteración.

Permisos predeterminados del rol Colaborador

R: Sí. Puede utilizar la utilidad de línea de comandos TFSSecurity para crear, modificar y eliminar grupos y usuarios de TFS, así como para modificar los permisos de usuarios y grupos.

Mostrar: