Autorisations de Team Foundation Server

Article
06/07/2013

Vous pouvez contrôler l'accès aux projets d'équipe et collections de projets d'équipe dans votre déploiement de Visual Studio Team Foundation Server (TFS) en comprenant et configurant les autorisations assignées aux utilisateurs et groupes dans ce déploiement.Team Foundation Server comporte plusieurs utilitaires pour vous aider à afficher et gérer les autorisations.Pour les utilisateurs individuels et les groupes, utilisez Team Web Access en suivant les procédures de View or change your permissions or join another team, ou utilisez Team Explorer en suivant les procédures de Modifier les autorisations pour un groupe ou utilisateur.Vous pouvez également utiliser ces outils pour refuser l'accès aux projets d'équipe à des utilisateurs.Pour plus d'informations, consultez Restricting access to projects in the deployment.

[!REMARQUE]

Cette rubrique ne traite pas des autorisations pour les produits SharePoint ou SQL Server Reporting Services.Cette rubrique traite uniquement des autorisations que vous définissez dans TFS.Pour plus d'informations sur la manière de définir les autorisations dans Reporting Services et les produits SharePoint pour les utilisateurs dans TFS, consultez Ajouter des utilisateurs aux projets d'équipe, Définir des autorisations d'administrateur pour des collections de projets d'équipe et Définir des autorisations d'administrateur pour Team Foundation Server.

Dans cette rubrique

Nouveautés des autorisations
Vue d'ensemble des groupes d'autorisations par défaut
États d'autorisation
- Refuser
- Autoriser
- Non définie
Héritage
Définition des autorisations
- Autorisations au niveau du serveur
- Autorisations au niveau de la collection
- Autorisations au niveau du projet
- Autorisations au niveau de la build
- Autorisations de requêtes d'élément de travail
- Autorisations au niveau de la zone pour le suivi des éléments de travail
- Autorisations au niveau de l'itération pour le suivi des éléments de travail
- Autorisations de contrôle de version
- Autorisations Lab Management

Nouveautés des autorisations

Dans cette version de Team Foundation Server, l'interface de gestion des autorisations a principalement été déplacée vers Team Web Access.Vous pouvez ouvrir Team Web Access dans le contexte d'administration, puis afficher et gérer les autorisations à chaque niveau à l'exception du niveau serveur.En outre, pour consulter les informations sur les raisons et la façon dont une autorisation individuelle a été définie pour un utilisateur ou un groupe, pointez sur cette autorisation, puis sélectionnez l'option Pourquoi ?

Cette version de Team Foundation Server introduit également la création d'un groupe d'équipe par défaut lorsque vous créez un projet d'équipe.Tandis que les groupes de l'équipe n'ont pas d'autorisations propres configurables manuellement, l'appartenance à ce groupe est requise pour que les utilisateurs puissent utiliser les fonctionnalités d'équipe dans Team Web Access.En outre, ce groupe d'équipe par défaut est automatiquement ajouté au groupe par défaut Contributors pour le projet.Sauf si vous apportez des modifications, tout utilisateur ajouté à l'équipe disposera de toutes les autorisations attribuées au groupe Contributors.

Team Web Access a de nouveaux contrôles pour afficher les fonctionnalités disponibles aux utilisateurs, et l'appartenance aux groupes d'accès pour les contrôles Team Web Access si un utilisateur peut afficher et utiliser ces contrôles.Vous pouvez définir des niveaux d'accès pour les utilisateurs et les groupes, ainsi que définir le niveau par défaut pour le déploiement complet de TFS.Pour plus d'informations, consultez Accès aux fonctionnalités dans Team Web Access.

Vue d'ensemble des groupes d'autorisation par défaut

L'autorisation d'effectuer les actions de l'utilisateur, telles que l'administration de l'espace de travail et la création de projet, sont déterminées par les autorisations.Lorsque vous créez un projet dans TFS, cinq groupes par défaut sont créés pour ce projet indépendamment de votre choix de modèle de processus.Par défaut, chacun de ces groupes a un jeu d'autorisations définies pour chacun d'entre eux et gère les opérations que les membres de ces groupes sont autorisés à effectuer.

Project Administrators
Contributors
Readers
Administrateurs de build
Le groupe d'équipe par défaut a le nom de votre projet ajouté par équipe.Par exemple, si vous créez un projet d'équipe nommé « Exemple de code », le nom de groupe de l'équipe sera « Équipe d'exemple de code ».

En plus des groupes par défaut créés pour chaque projet d'équipe, lorsque vous créez une collection de projets d'équipe, sept groupes par défaut sont créés pour cette collection indépendamment de votre choix de modèle de processus.Chacun de ces groupes a également un jeu d'autorisations définies pour chacun d'entre eux.

Project Collection Administrators
Project Collection Service Accounts
Project Collection Build Administrators
Project Collection Build Service Accounts
Project Collection Valid Users
Project Collection Proxy Service Accounts
Project Collection Test Service Accounts

Quatre groupes par défaut sont créés au niveau du serveur lorsque vous installez Team Foundation Server :Chacun de ces groupes a un jeu d'autorisations définies pour chacun d'entre eux.

Team Foundation Administrators
Team Foundation Service Accounts
Team Foundation Valid Users
SharePoint Web Application Services

Pour gérer efficacement l'appartenance de l'utilisateur dans ces groupes par défaut et créer des groupes personnalisés, les administrateurs doivent d'abord comprendre la signification des autorisations et les implications sur la sécurité pour la définition d'autorisations de manière explicite.Pour plus d'informations sur les autorisations qui sont attribuées par défaut pour chaque groupe, voir Groupes, autorisations et rôles par défaut de Team Foundation Server.

Conseil
Certaines fonctionnalités de TFS sont uniquement disponibles pour les utilisateurs qui ont un niveau de licence approprié pour ces fonctionnalités.L'accès à ces fonctionnalités n'est pas contrôlé par les autorisations mais par l'appartenance aux groupes de licence de Team Web Access.Pour plus d'informations, consultez Ajouter des utilisateurs aux projets d'équipe, Accès aux fonctionnalités dans Team Web Access et le livre blanc concernant les licences de Team Foundation Server.

Certaines fonctionnalités de TFS sont uniquement disponibles pour les utilisateurs qui ont un niveau de licence approprié pour ces fonctionnalités.L'accès à ces fonctionnalités n'est pas contrôlé par les autorisations mais par l'appartenance aux groupes de licence de Team Web Access.Pour plus d'informations, consultez Ajouter des utilisateurs aux projets d'équipe, Accès aux fonctionnalités dans Team Web Access et le livre blanc concernant les licences de Team Foundation Server.

États d'autorisation

Vous pouvez spécifier deux états d'autorisation explicites pour les autorisations dans Team Foundation Server : Refuser et Autoriser.Il y a également une autorisation implicite qui ne définit l'autorisation ni sur Autoriser ni sur Refuser.Cette autorisation est un état Refuser implicite connu sous le nom Non défini.

Refuser

La valeur Refuser permet de refuser l'autorisation à l'utilisateur ou groupe d'exécuter les actions déclarées dans la description d'autorisation.Il s'agit de l'état d'autorisation le plus puissant de TFS.Si un utilisateur appartient à un groupe TFS qui possède un jeu d'autorisations spécifique dont la valeur est Refuser, cet utilisateur ne peut pas exécuter cette fonction, même s'il appartient à un autre groupe dans lequel ce jeu d'autorisations possède la valeur Autoriser.La seule exception à cette règle se produit lorsque l'utilisateur est membre du groupe Project Collection Administrators pour une collection de projets d'équipe ou du groupe Team Foundation Administrators, sauf indication contraire dans la description de l'autorisation.Par défaut, si un utilisateur est membre d'un groupe Administrateurs, les autorisations de ce groupe remplacent une valeur Refuser explicite pour cet utilisateur dans Team Foundation Server.Si un paramètre d'autorisation se substitue à l'autorisation d'administration par défaut, cette substitution est notée dans la description de l'autorisation dans les tableaux ci-dessous.

Autoriser

La valeur Autoriser accorde l'autorisation à l'utilisateur ou groupe d'exécuter les actions déclarées dans la description d'autorisation.Autoriser est le deuxième état d'autorisation le plus puissant dans TFS et est défini le plus souvent, à la fois explicitement et via l'héritage avec iAutoriser l'héritage..Si vous n'affectez pas explicitement la valeur Autoriser à une autorisation, ou si l'appartenance à un groupe par défaut n'affecte pas la valeur Autoriser l'héritage à une autorisation, un utilisateur ou un groupe ne peut pas exécuter cette action dans Team Foundation Server.

Non définie

Par défaut, la plupart des autorisations dans TFS ne possèdent pas la valeur Refuser ou Autoriser.Les autorisations restent non définies et empêchent de manière implicite les utilisateurs et groupes d'exécuter les actions spécifiées dans la description d'autorisation.Toutefois, étant donné que l'autorisation n'a pas explicitement la valeur Refuser ou Autoriser, l'autorisation pour cette autorisation peut être héritée d'autres groupes auxquels l'utilisateur appartient.

Héritage

Si aucune autorisation n'est affectée à un utilisateur ou un groupe, l'utilisateur ou le groupe peut être affecté par l'état d'autorisation explicite défini pour les groupes auxquels il appartient étant donné que les autorisations dans TFS sont héritées.Par exemple, lorsque vous examinez les autorisations pour un utilisateur ou un groupe, les options Autoriser et Autoriser l'héritage peuvent toutes deux être définies pour les autorisations.La dernière autorisation est héritée d'un autre groupe auquel l'utilisateur ou le groupe appartient.Dans cet exemple, un utilisateur peut appartenir à un groupe au niveau du projet et à un groupe au niveau de la collection dans un projet.Si l'un de ces groupes a une autorisation définie explicitement sur Autoriser et que l'autre groupe dispose de la même autorisation Non Définie, l'utilisateur aura l'autorisation Autoriser l'héritage pour exécuter les actions contrôlées par cette autorisation.L'utilisateur hérite des autorisations des deux groupes, et l'autorisation Autoriser est prioritaire sur l'autorisation Non Définie.

Pour comprendre pourquoi une autorisation est héritée, vous pouvez pointer sur le paramètre de l'autorisation et sélectionner Pourquoi ?.Une nouvelle fenêtre s'ouvre et affiche les informations d'héritage pour cette autorisation.

Autorisations dans Team System Web Access

[!REMARQUE]

Les autorisations définies à l'extérieur de TFS, telles que dans les produits SharePoint, ne sont pas héritées dans TFS.Elles ne sont pas abordées dans cette rubrique.

Certains paramètres d'autorisation sont prioritaires sur les autres.Dans TFS, l'autorisation Refuser est prioritaire sur tous les autres paramètres d'autorisation, notamment Autoriser, pour cette structure explicite.L'autorisation Refuser n'est pas prioritaire si elle est héritée d'un parent hiérarchique, tel que dans le contrôle de version.Par exemple, un utilisateur peut appartenir à deux groupes dans un projet.Dans un groupe, l'autorisation Publier les résultats des tests a la valeur Refuser ; l'autre groupe a la valeur Autoriser.Le paramètre Refuser a la priorité et l'utilisateur n'est pas autorisé à publier les résultats des tests.Les seules exceptions à cette règle se produisent lorsque la valeur Refuser explicite est héritée d'un parent hiérarchique ou l'utilisateur est membre de l'un des groupes suivants :

Project Administrators
Project Collection Administrators
Team Foundation Administrators

Dans les structures hiérarchiques, telles que le contrôle de version et le suivi des éléments de travail, les autorisations explicites définies sur un objet particulier remplacent celles héritées des objets parents.

Définition des autorisations

Plusieurs des autorisations que vous pouvez souhaiter pour définir pour TFS sont contrôlées via l'interface utilisateur Team Web Access , que vous pouvez ouvrir directement via Team Web Access ou à partir de Team Explorer.Vous pouvez définir des autorisations sur une base de collection (autorisations au niveau de la collection), une base de projet (autorisations au niveau du projet), ou en ajoutant un utilisateur à un groupe d'équipe, une base d'équipe.(les autorisations au niveau de l'équipe sont implicites dans l'appartenance pour une équipe et ne sont pas directement configurables.) Vous pouvez également définir les autorisations au niveau de la zone et au niveau de l'itération pour afficher et interagir avec les éléments de travail sur la base d'un projet.Pour plus d'informations sur le mode de définition des autorisations pour les utilisateurs et les groupes, consultez Effectuer une mise en route en tant qu'équipe et Ajouter des utilisateurs aux projets d'équipe.

Pour définir des autorisations par serveur (autorisations au niveau du serveur), vous ne pouvez pas utiliser Team Web Access.Vous devez utiliser la console Administration pour Team Foundation Server afin de définir des autorisations au niveau du serveur.

Autorisations au niveau du serveur

Les autorisations au niveau du serveur ne sont pas spécifiques à un projet d'équipe ou collection de projets d'équipe unique.Elles sont définies dans l'ensemble du déploiement et elles accordent des autorisations qui peuvent affecter chaque projet et collection du déploiement.

Vous pouvez définir ces autorisations pour uniquement deux catégories d'utilisateurs :

Les utilisateurs et groupes au niveau du serveur, tels que Team Foundation Administrators
Les groupes personnalisés que vous créez et ajoutez au niveau du serveur

Vous pouvez définir ces autorisations en ouvrant la console d'administration pour Team Foundation.Vous pouvez également définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.Pour plus d'informations, consultez Configuration de votre serveur à l'aide de la Console Administration Team Foundation et Modification de groupes et d'autorisations avec TFSSecurity.

Le tableau suivant répertorie chaque autorisation au niveau du serveur et fournit une brève description de son rôle.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Administrer l'entrepôt	ADMINISTER_WAREHOUSE	Les utilisateurs qui ont cette autorisation peuvent modifier les paramètres d'entrepôt en utilisant la méthode Web ChangeSetting du service Web WarehouseController.asmx.Par exemple, vous pourriez permettre aux utilisateurs de définir l'intervalle de mise à jour pour calculer les cubes OLAP.
Créer une collection de projets d'équipe	CreateCollection	Les utilisateurs qui ont cette autorisation peuvent créer et administrer des collections de projets d'équipe dans Team Foundation Server.
Supprimer la collection de projets d'équipe	DeleteCollection	Les utilisateurs qui ont cette autorisation peuvent supprimer une collection de projets d'équipe du déploiement. Remarque La suppression d'une collection de projets d'équipe ne supprimera pas la base de données de la collection dans SQL Server.
Modifier les informations au niveau de l'instance	GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections	Les utilisateurs qui ont cette autorisation peuvent modifier les autorisations au niveau du serveur pour les utilisateurs et les groupes dans Team Foundation Server.Ils peuvent ajouter ou supprimer des groupes d'applications au niveau du serveur de la collection.Lorsqu'elle est définie via les menus, l'autorisation Modifier les informations au niveau de l'instance permet également de manière implicite à l'utilisateur de modifier des autorisations de contrôle de version.Pour accorder toutes ces autorisations depuis une invite de commandes, vous devez utiliser la commande tf.exe Permission pour accorder les autorisations AdminConfiguration et AdminConnections en plus de GENERIC_WRITE. Remarque Les groupes au niveau du serveur par défaut tels que Team Foundation Administrators ne peuvent pas être supprimés.
Faire des demandes pour le compte de tiers	Impersonate	Les utilisateurs qui ont cette autorisation peuvent exécuter des opérations au nom d'autres utilisateurs ou services.Cette autorisation doit être assignée uniquement aux comptes de service.
Déclencher des événements	TRIGGER_EVENT	Les utilisateurs qui ont cette autorisation peuvent déclencher des événements d'alerte dans Team Foundation Server.Cette autorisation doit être assignée uniquement à des comptes et membres de service du groupe Team Foundation Administrators.
Utiliser les fonctionnalités d'accès total Web Access	FullAccess	Les utilisateurs qui ont cette autorisation peuvent utiliser toutes les fonctionnalités de Team Web Access.Si cette autorisation a la valeur Refuser, l'utilisateur verra uniquement les fonctionnalités autorisées pour le groupe Limité dans Team Web Access (voir Accès aux fonctionnalités dans Team Web Access).Une action Deny substituera toute autorisation implicite, même pour les comptes qui sont membres de groupes d'administration, par exemple Team Foundation Administrators.
Afficher les informations au niveau de l'instance	GENERIC_READ	Les utilisateurs qui ont cette autorisation peuvent consulter l'appartenance de groupe au niveau du serveur et les autorisations de ces utilisateurs.

Autorisations au niveau de la collection

Les autorisations au niveau de la collection ne sont pas spécifiques à un projet unique.À la place, elles sont définies au niveau d'une collection.Vous pouvez définir ces autorisations pour uniquement trois catégories d'utilisateurs :

Les utilisateurs et les groupes au niveau de la collection tels que le groupe Project Collection Administrators
Les groupes au niveau du projet ayant été ajoutés au niveau de la collection sur votre serveur qui exécute Team Foundation
Les groupes personnalisés que vous créez et ajoutez au niveau de la collection

Pour définir ces autorisations, vous pouvez choisir le projet dans Team Explorer et choisir le menu Équipe, sélectionner Paramètres de la collection de projets d'équipe, puis Sécurité, ou ouvrir Team Web Access en mode Administrateur, naviguer au niveau de la collection, puis sélectionner l'onglet Sécurité.Vous pouvez également définir ces autorisations en utilisant l'outil en ligne de commande TFSSecurity, à l'exception des outils en ligne de commande qui ont une désignation tf:.Pour les outils qui comportent la désignation tf:, utilisez la commande Permission de l'utilitaire en ligne de commande tf pour que le contrôle de version définisse les autorisations.Pour plus d'informations, consultez Modification de groupes et d'autorisations avec TFSSecurity et Permission Command.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Administrer les autorisations de ressources de builds		Les utilisateurs qui disposent de cette autorisation peuvent gérer les ressources de build.
Administrer l'intégration Project Server	Administrer Project Server	Les utilisateurs qui disposent de cette autorisation peuvent configurer l'intégration de Team Foundation Server à Project Server pour prendre en charge la synchronisation entre les deux produits serveur.
Administrer les modifications réservées	tf: AdminShelvesets	Les utilisateurs qui ont cette autorisation peuvent supprimer des jeux de réservations stockés créés par d'autres utilisateurs.
Administrer les espaces de travail	tf: AdminWorkspaces	Les utilisateurs qui ont cette autorisation peuvent créer des espaces de travail pour les autres utilisateurs et supprimer les espaces de travail créés par d'autres utilisateurs.
Modifier les paramètres de la trace	DIAGNOSTIC_TRACE	Les utilisateurs qui ont cette autorisation peuvent modifier les paramètres de trace pour rassembler plus d'informations de diagnostic détaillées sur les services Web de Team Foundation Server.
Créer un espace de travail	tf: CreateWorkspace	Les utilisateurs qui ont cette autorisation peuvent créer un espace de travail de contrôle de version.
Créer de nouveaux projets	CREATE_PROJECTS	Les utilisateurs qui ont cette autorisation peuvent créer des projets dans la collection de projets d'équipe. Remarque Vous devez avoir cette autorisation, mais également exécuter Visual Studio en tant qu'administrateur pour faire fonctionner l'Assistant Créer un nouveau projet d'équipe.Pour plus d'informations, consultez Créer un projet d'équipe.
Supprimer le projet d'équipe	Supprimer	Les utilisateurs qui ont cette autorisation peuvent supprimer des projets d'équipe dans la collection de projets d'équipe. Important La suppression d'un projet d'équipe supprimera toutes les données associées au projet.Vous ne pouvez pas annuler la suppression d'un projet d'équipe sauf en restaurant la collection à un point avant la suppression du projet.
Modifier les informations au niveau de la collection	GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections	Les utilisateurs qui ont cette autorisation peuvent modifier des autorisations au niveau de la collection pour les utilisateurs et les groupes dans la collection de projets d'équipe.Ils peuvent ajouter ou supprimer de la collection des groupes d'applications Team Foundation Server au niveau de la collection.Lorsqu'elle est définie via les menus, l'autorisation Modifier les informations au niveau de la collection permet également de manière implicite à l'utilisateur de modifier des autorisations de contrôle de version.Pour accorder toutes ces autorisations depuis une invite de commandes, vous devez utiliser la commande tf.exe Permission pour accorder les autorisations AdminConfiguration et AdminConnections en plus de GENERIC_WRITE. Remarque Les groupes au niveau de la collection par défaut tels que Project Collection Administrators ne peuvent pas être supprimés.
Faire des demandes pour le compte de tiers	Impersonate	Les utilisateurs qui ont cette autorisation peuvent exécuter des opérations au nom d'autres utilisateurs ou services.Cette autorisation doit être assignée uniquement aux comptes de service.
Gérer les ressources de build	ManageBuildResources	Les utilisateurs qui ont cette autorisation peuvent gérer les ordinateurs de build, agents de build et contrôleurs de build pour la collection de projets d'équipe.Ces utilisateurs peuvent également accorder ou refuser l'autorisation Afficher les ressources de build et Utiliser les ressources de build pour d'autres utilisateurs.
Gérer le modèle de processus	MANAGE_TEMPLATE	Les utilisateurs qui ont cette autorisation peuvent télécharger, créer, modifier et télécharger des modèles de processus vers la collection de projets d'équipe.
Gérer les contrôleurs de test	MANAGE_TEST_CONTROLLERS	Les utilisateurs qui ont cette autorisation peuvent enregistrer et annuler l'enregistrement des contrôleurs de test pour la collection de projets d'équipe.
Gérer les types de liaison d'élément de travail	WORK_ITEM_WRITE	Les utilisateurs qui ont cette autorisation peuvent ajouter, supprimer et modifier les types de liens pour les éléments de travail.
Déclencher des événements	TRIGGER_EVENT	Les utilisateurs qui ont cette autorisation peuvent déclencher des événements de projet d'alerte dans la collection de projets d'équipe.Cette autorisation doit être assignée uniquement aux comptes de service.
Utiliser les ressources de build	UseBuildResources	Les utilisateurs qui ont cette autorisation peuvent réserver et allouer des agents de build.Cette autorisation doit être assignée uniquement aux comptes de service pour les services de build.
Afficher les ressources de build	ViewBuildResources	Les utilisateurs qui ont cette autorisation peuvent consulter les contrôleurs de build et agents de build configurés pour la collection.Pour utiliser ces ressources, vous avez besoin d'autorisations supplémentaires.
Afficher les informations au niveau de la collection	GENERIC_READ	Les utilisateurs qui ont cette autorisation peuvent consulter l'appartenance à un groupe au niveau de la collection et les autorisations de ces utilisateurs.
Afficher les informations de synchronisation système	SYNCHRONIZE_READ	Les utilisateurs qui ont cette autorisation peuvent appeler les interfaces de programmation d'applications de synchronisation.Cette autorisation doit être assignée uniquement aux comptes de service.

Autorisations au niveau du projet

Les autorisations au niveau du projet sont spécifiques aux utilisateurs et aux groupes d'un projet unique.Pour définir ces autorisations, vous pouvez choisir le projet dans Team Explorer, sélectionner Paramètres, puis Sécurité, ou ouvrir Team Web Access en mode Administrateur, naviguer vers le projet, puis sélectionner l'onglet Sécurité.Vous pouvez également définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Créer des séries de tests	PUBLISH_TEST_RESULTS	Les utilisateurs qui ont cette autorisation peuvent ajouter et supprimer des résultats de tests et ajouter ou modifier des séries de tests pour le projet d'équipe.
Supprimer le projet d'équipe	DELETE	Les utilisateurs qui ont cette autorisation peuvent supprimer le projet pour lequel ils ont cette autorisation dans Team Foundation Server.
Supprimer des séries de tests	DELETE_TEST_RESULTS	Les utilisateurs qui ont cette autorisation peuvent supprimer un test planifié pour ce projet d'équipe.
Modifier les informations au niveau du projet	GENERIC_WRITE	Les utilisateurs qui ont cette autorisation peuvent modifier des autorisations au niveau du projet pour les utilisateurs et les groupes de Team Foundation Server.
Gérer des configurations de test	MANAGE_TEST_CONFIGURATIONS	Les utilisateurs qui ont cette autorisation peuvent créer et supprimer des configurations de test pour ce projet d'équipe.
Gérer les environnements de test	MANAGE_TEST_ENVIRONMENTS	Les utilisateurs qui ont cette autorisation peuvent créer et supprimer des environnements de test pour ce projet d'équipe.
Afficher les informations au niveau du projet	GENERIC_READ	Les utilisateurs qui ont cette autorisation peuvent consulter l'appartenance de groupe au niveau du projet et les autorisations de ces utilisateurs de projet.
Afficher les séries de tests	VIEW_TEST_RESULTS	Les utilisateurs qui ont cette autorisation peuvent afficher les plans de test dans ce nœud.

Autorisations au niveau de la build

Les autorisations au niveau de la build sont spécifiques aux utilisateurs et aux groupes d'un projet unique.Vous pouvez définir des autorisations de build au niveau du projet d'équipe, et vous pouvez également définir des autorisations pour les définitions de build spécifiques.Vous pouvez définir ces autorisations en ouvrant le projet dans Team Explorer, en sélectionnant Builds, et sous Actions, en sélectionnant Sécurité.Vous pouvez appliquer des autorisations à une définition de build spécifique en sélectionnant la définition de build, puis en cliquant sur Sécurité.Si vous souhaitez appliquer les autorisations au dossier de build, sélectionnez ce dossier et à partir de son sous-menu, sélectionnez Sécurité.En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Administrer les autorisations de builds		Les utilisateurs qui disposent de cette autorisation peuvent gérer les autorisations de build pour d'autres utilisateurs.
Afficher les builds	ViewBuilds	Les utilisateurs qui ont cette autorisation peuvent afficher les builds mises en file d'attente et terminées pour ce projet d'équipe.
Modifier la qualité de build	EditBuildQuality	Les utilisateurs qui ont cette autorisation peuvent ajouter des informations relatives à la qualité du build dans l'interface utilisateur de Team Foundation Build.
Conserver indéfiniment	RetainIndefinitely	Les utilisateurs qui ont cette autorisation peuvent marquer une build pour ne pas qu'elle soit supprimée automatiquement par une stratégie de rétention applicable.
Supprimer les builds	DeleteBuilds	Les utilisateurs qui ont cette autorisation peuvent supprimer une build terminée.
Gérer les qualités de build	ManageBuildQualities	Les utilisateurs qui ont cette autorisation peuvent ajouter ou supprimer des qualités de build.
Détruire les builds	DestroyBuilds	Les utilisateurs qui ont cette autorisation peuvent supprimer une build terminée définitivement.
Mettre à jour les informations de build	UpdateBuildInformation	Les utilisateurs qui disposent de cette autorisation peuvent ajouter des nœuds d'informations de build au système et peuvent également ajouter des informations sur la qualité d'une build.Cette autorisation doit être assignée uniquement aux comptes de service.
Mettre les builds en file d'attente	QueueBuilds	Les utilisateurs qui ont cette autorisation peuvent mettre une build dans la file d'attente via l'interface de Team Foundation Build ou depuis une invite de commandes.Ils peuvent également arrêter les builds qu'ils ont mises en file d'attente.
Gérer la file d'attente de builds	ManageBuildQueue	Les utilisateurs qui ont cette autorisation peuvent annuler, reclasser par priorité ou retarder des builds en file d'attente.
Arrêter les builds	StopBuilds	Les utilisateurs qui disposent de cette autorisation peuvent arrêter une build en cours, y compris les builds mises en file d'attente et démarrées par un autre utilisateur.
Afficher la définition de build	ViewBuildDefinition	Les utilisateurs qui ont cette autorisation peuvent consulter les définitions de build créées pour le projet d'équipe.
Modifier la définition de build	EditBuildDefinition	Les utilisateurs qui ont cette autorisation peuvent créer et modifier des définitions de build pour ce projet.
Supprimer la définition de build	DeleteBuildDefinition	Les utilisateurs qui ont cette autorisation peuvent supprimer des définitions de build pour ce projet.
Remplacer la validation de l'archivage par build	OverrideBuildCheckInValidation	Les utilisateurs qui ont cette autorisation peuvent valider un ensemble de modifications qui affecte une définition de build contrôlée sans que le système réserve et génère en premier les modifications les concernant.Cette autorisation doit être assignée uniquement aux comptes de service pour les services de build et aux administrateurs de build chargés de la qualité du code.Pour plus d'informations, consultez Archiver des modifications en attente contrôlées par une build d'archivage contrôlé.

Autorisations de requêtes d'élément de travail

Les autorisations de requêtes d'élément de travail sont spécifiques aux requêtes et aux dossiers de requête que vous créez.Vous pouvez définir des autorisations sur les requêtes et dossiers créés sous Requêtes d'équipe pour permettre ou restreindre l'accès.Pour définir ces autorisations, vous pouvez choisir le projet dans Team Explorer, ouvrir Éléments de travail, ouvrir le sous-menu de la requête ou du dossier pour lequel vous souhaitez définir des autorisations, puis sélectionner Sécurité.Vous pouvez également définir ces autorisations sur la requête dans Team Web Access..En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Collaboration	COLLABORATION	Les utilisateurs qui disposent de cette autorisation peuvent afficher et modifier cette requête ou ce dossier de requête.
Supprimer	DELETE	Les utilisateurs qui disposent de cette autorisation peuvent supprimer une requête ou un dossier de requête et son contenu.
Gérer les autorisations	Gérer les autorisations	Les utilisateurs qui disposent de cette autorisation peuvent gérer les autorisations pour cette requête ou ce dossier de requête.
Lecture	READ	Les utilisateurs qui disposent de cette autorisation peuvent afficher et utiliser la ou les requêtes contenues dans un dossier, mais ne peuvent pas modifier la requête ou le contenu du dossier de requête.

Autorisations au niveau de la zone pour le suivi des éléments de travail

Les autorisations au niveau de la zone sont spécifiques aux utilisateurs et aux groupes d'un projet unique.Pour définir ces autorisations, vous pouvez choisir le projet dans Team Explorer, choisir les paramètres, les zones d'éléments de travail, cliquer sur la flèche pointant vers le bas, puis sélectionner Sécurité, ou ouvrir Team Web Access dans le contexte d'administration, naviguer au niveau du projet, sélectionner l'onglet Zones , cliquer sur la flèche pointant vers le bas, puis choisir Sécurité.En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.

[!REMARQUE]

Certaines opérations de suivi des éléments de travail requièrent plusieurs autorisations.Par exemple, vous avez besoin de plusieurs autorisations pour supprimer un nœud.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Créer des nœuds enfants	CREATE_CHILDREN	Les utilisateurs qui ont cette autorisation peuvent créer des nœuds de zone.Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds de zone enfants.
Supprimer ce nœud	DELETE	Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds de zone et reclasser des éléments de travail existants à partir du nœud supprimé.Si le nœud supprimé a des nœuds enfants, ces nœuds sont également supprimés.
Modifier ce nœud	GENERIC_WRITE	Les utilisateurs qui ont cette autorisation peuvent définir des autorisations pour ce nœud et renommer des nœuds de zone.
Modifier les éléments de travail dans ce nœud	WORK_ITEM_WRITE	Les utilisateurs qui ont cette autorisation peuvent modifier des éléments de travail dans ce nœud de zone.
Gérer des plans de test	MANAGE_TEST_PLANS	Les utilisateurs qui ont cette autorisation peuvent créer et modifier les plans de test de ce nœud.Si les plans de test n'ont pas été exécutés, vous pouvez également les supprimer.
Afficher les autorisations pour ce nœud	GENERIC_READ	Les utilisateurs qui ont cette autorisation peuvent consulter les paramètres de sécurité de ce nœud.
Afficher les éléments de travail dans ce nœud	WORK_ITEM_READ	Les utilisateurs qui ont cette autorisation peuvent afficher, sans les modifier, les éléments de travail dans ce nœud de zone.Si cette autorisation a la valeur Refuser, l'utilisateur ne sera pas en mesure d'afficher des éléments de travail dans ce nœud de zone.Une action Deny substituera toute autorisation implicite, même pour les comptes qui sont membres de groupes d'administration, par exemple Team Foundation Administrators.

Autorisations au niveau de l'itération pour le suivi des éléments de travail

Les autorisations au niveau de l'itération sont spécifiques aux utilisateurs et aux groupes d'un projet unique.Pour définir ces autorisations, vous pouvez choisir le projet dans Team Explorer, choisir Paramètres, Itérations d'éléments de travail, cliquer sur la flèche pointant vers le bas, puis sélectionner Sécurité, ou ouvrir Team Web Access dans le contexte d'administration, naviguer au niveau du projet, sélectionner l'onglet Itérations, cliquer sur la flèche pointant vers le bas, puis choisir Sécurité.En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.

[!REMARQUE]

Certaines opérations de suivi des éléments de travail requièrent plusieurs autorisations.Par exemple, vous avez besoin de plusieurs autorisations pour supprimer un nœud.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Créer des nœuds enfants	CREATE_CHILDREN	Les utilisateurs qui ont cette autorisation peuvent créer des nœuds d'itération.Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds d'itération enfants.
Supprimer ce nœud	DELETE	Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds d'itération et reclasser des éléments de travail existants à partir du nœud supprimé.Si le nœud supprimé a des nœuds enfants, ces nœuds sont également supprimés.
Modifier ce nœud	GENERIC_WRITE	Les utilisateurs qui ont cette autorisation peuvent définir des autorisations pour ce nœud et renommer des nœuds d'itération.
Afficher les autorisations pour ce nœud	GENERIC_READ	Les utilisateurs qui ont cette autorisation peuvent consulter les paramètres de sécurité de ce nœud.

Autorisations de contrôle de version

Les autorisations du contrôle de version sont spécifiques aux fichiers et aux dossiers de code source.Pour définir ces autorisations, vous pouvez ouvrir le sous-menu du dossier ou du fichier dans l'Explorateur du contrôle de code source, puis sélectionner Sécurité.Vous pouvez également définir ces autorisations au moyen de l'outil en ligne de commande tf pour le contrôle de version.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Lecture	tf: Read	Les utilisateurs qui ont cette autorisation peuvent lire le contenu d'un fichier ou d'un dossier.Si un utilisateur possède les autorisations Lire pour un dossier, il peut consulter le contenu du dossier et les propriétés des fichiers, même s'il n'a pas d'autorisation pour ouvrir les fichiers.
Extraire	tf: PendChange	Les utilisateurs qui ont cette autorisation peuvent extraire et apporter une modification en attente aux éléments d'un dossier.Les exemples de modification en attente incluent l'ajout, la modification, le changement de nom, la suppression, la restauration, le branchement et la fusion d'un fichier.Les modifications en attente doivent être archivées, les utilisateurs ont donc également besoin de l'autorisation Archiver pour partager leurs modifications avec l'équipe.
Archiver	tf: Checkin	Les utilisateurs qui ont cette autorisation peuvent archiver des éléments et modifier tout commentaire sur un ensemble de modifications validées.Les modifications en attente sont validées lors de l'archivage.
Étiquette	tf: Label	Les utilisateurs qui ont cette autorisation peuvent étiqueter des éléments.
Verrouiller	tf: Lock	Les utilisateurs qui ont cette autorisation peuvent verrouiller et déverrouiller des dossiers ou des fichiers.
Modifier les modifications des autres utilisateurs	tf: ReviseOther	Les utilisateurs qui ont cette autorisation peuvent modifier les commentaires des fichiers archivés, même si un autre utilisateur a archivé le fichier.
Déverrouiller les modifications des autres utilisateurs	tf: UnlockOther	Les utilisateurs qui ont cette autorisation peuvent déverrouiller les fichiers verrouillés par d'autres utilisateurs.
Annuler les modifications des autres utilisateurs	tf: UndoOther	Les utilisateurs qui ont cette autorisation peuvent annuler une modification en attente faite par un autre utilisateur.
Administrer les étiquettes	tf: LabelOther	Les utilisateurs qui ont cette autorisation peuvent modifier ou supprimer des étiquettes créées par un autre utilisateur.
Gérer les autorisations	tf: AdminProjectRights	Les utilisateurs qui ont cette autorisation peuvent gérer les autorisations d'autres utilisateurs pour les dossiers et fichiers dans le contrôle de version.
Archiver les modifications des autres utilisateurs	tf: CheckinOther	Les utilisateurs qui ont cette autorisation peuvent archiver les modifications qui ont été apportées par d'autres utilisateurs.Les modifications en attente seront validées lors de l'archivage.
Fusionner	tf: Merge	Les utilisateurs qui ont cette autorisation pour un chemin d'accès donné peuvent fusionner des modifications dans ce chemin d'accès.
Gérer la branche	tf: ManageBranch	Les utilisateurs qui ont cette autorisation pour un chemin d'accès donné peuvent convertir en une branche un dossier sous ce chemin d'accès.Les utilisateurs qui ont cette autorisation peuvent également effectuer les actions suivantes sur une branche : modifier ses propriétés, l'apparenter et la convertir en un dossier. Les utilisateurs qui ont cette autorisation peuvent créer cette branche uniquement si ils ont également l'autorisation Fusionner pour le chemin d'accès cible.Les utilisateurs ne peuvent pas créer de branches à partir d'une branche pour laquelle ils n'ont pas l'autorisation Gérer la branche.

Autorisations Lab Management

Les autorisations Visual Studio Lab Management sont spécifiques aux ordinateurs virtuels, aux environnements et aux autres ressources.Vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSLabConfig.

Nom de l'autorisation	Nom au niveau de la ligne de commande	Description
Consulter des ressources de laboratoire	Lecture	Les utilisateurs qui ont cette autorisation peuvent consulter les informations pour les différentes ressources Lab Management qui incluent des groupes hôtes de collection, des groupes hôtes de projet et l'environnement.Pour consulter les informations sur une ressource de laboratoire spécifique, vous devez avoir l'autorisation Consulter des ressources de laboratoire pour cette ressource.
Gérer des emplacements de laboratoire	ManageLocation	Les utilisateurs qui ont cette autorisation peuvent modifier les emplacements des ressources Lab Management, qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet.Pour modifier un emplacement spécifique, vous devez avoir l'autorisation Gérer un emplacement de laboratoire pour cet emplacement. Cette autorisation pour les emplacements au niveau de la collection (groupes hôtes de collection et partages de bibliothèque de collection) vous permet également de créer des emplacements au niveau du projet (groupe hôte de projet et partage de bibliothèque de projet).
Supprimer des emplacements de laboratoire	DeleteLocation	Les utilisateurs qui ont cette autorisation peuvent supprimer les emplacements des ressources Lab Management qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet.Pour supprimer un emplacement, vous devez avoir l'autorisation Supprimer un emplacement de laboratoire pour cet emplacement.
Écrire dans l'environnement et les ordinateurs virtuels	Écrire	Les utilisateurs qui ont cette autorisation pour un groupe hôte de projet peuvent créer des environnements.Les utilisateurs qui ont cette autorisation pour un partage de bibliothèque de projet peuvent stocker des environnements et des modèles.
Modifier l'environnement et les ordinateurs virtuels	Modifier	Les utilisateurs qui ont cette autorisation peuvent modifier des environnements et des modèles.L'autorisation est activée pour l'objet en cours de modification.
Supprimer l'environnement et l'ordinateur virtuel	Supprimer	Les utilisateurs qui ont cette autorisation peuvent supprimer des environnements et des modèles.L'autorisation est activée pour l'objet en cours de suppression.
Importer l'ordinateur virtuel	Créer	Les utilisateurs qui ont cette autorisation peuvent importer un ordinateur virtuel à partir d'un partage de bibliothèque VMM. Cette autorisation diffère de l'autorisation Écriture parce qu'elle crée seulement un objet dans Lab Management et n'écrit aucune donnée dans le partage de bibliothèque ou le groupe hôte Virtual Machine Manager.
Gérer les autorisations	ManagePermissions	Les utilisateurs qui ont cette autorisation peuvent modifier les autorisations pour un objet Lab Management.Cette autorisation est activée pour l'objet dont les autorisations sont modifiées.
Gérer les autorisations enfants	ManageChildPermissions	Les utilisateurs qui ont cette autorisation peuvent modifier les autorisations de tous les objets Lab Management enfants.Par exemple, si un utilisateur a l'autorisation Gérer des autorisations enfants pour un groupe hôte de projet d'équipe, l'utilisateur peut modifier les autorisations pour tous les environnements sous ce groupe hôte de projet d'équipe.
Démarrer	Démarrer	Les utilisateurs qui ont cette autorisation peuvent démarrer un environnement.
Arrêter	Arrêter	Les utilisateurs qui ont cette autorisation peuvent arrêter un environnement.
Suspendre un environnement	Suspendre	Les utilisateurs qui ont cette autorisation peuvent suspendre un environnement.
Gérer les instantanés	ManageSnapshots	Les utilisateurs qui ont cette autorisation peuvent effectuer toutes les tâches de gestion de capture instantanée d'un environnement, qui incluent la prise d'un instantané, son rétablissement, le changement de son nom, sa suppression et sa lecture.

Voir aussi