Configurar grupos iniciais, equipes, membros e permissões

Artigo
03/12/2013

Usando o arquivo plug-in para grupos e permissões, você pode configurar as configurações de segurança iniciais para um projeto de equipe.Faça isso definindo as tarefas que criam grupos de segurança, aninham grupos, grupos definem como as equipes, definir as configurações iniciais de equipe, atribua membros a grupos, e permitem ou negam permissões específicas para cada grupo.Além de executar essas tarefas, você pode especificar configurações de segurança iniciais para o nível coleção, o nível do projeto, e as áreas de Project- classificação.

Os modelos de processo do Microsoft usa várias permissões para grupos padrão.Você pode alterar essas atribuições personalizando o arquivo plug-in para grupos e permissões.Para obter mais informações sobre este plug-in, consulte Definir grupos, equipes e permissões usando o plug-in Grupos e Permissões.

Neste tópico

Definindo e atribuir permissões para grupos usando o grupo, o membro, e os elementos de permissão do grupo
Macros de grupo e grupos padrões definidos no Team Foundation Server
Aninhando grupos e atribuir aos grupos membros
Definindo uma equipe
Permissões de nível de coleção de atribuição
Permissões de nível de projeto de atribuição
Permissões de atribuição aos caminhos da área de controle
Permissões de atribuição controlar caminhos de iteração

Para obter informações sobre como configurar as configurações de segurança iniciais para as áreas funcionais de um projeto de equipe, como Team Foundation Build, Controle de versão do Team Foundation, e Visual Studio Lab Management, consulte Controlar o acesso às áreas funcionais.

Para obter informações sobre como personalizar os tipos de itens de trabalho para permitir ou negar acesso aos grupos ou usuários, consulte Gerenciar permissão para criar ou modificar itens de trabalho.

Para obter mais informações sobre como administrar usuários e grupos e acesso do controle para Visual Studio Application Lifecycle Management (ALM), consulte Configurando permissões de usuários e grupos.

Definindo e atribuir permissões a grupos usando o grupo, o membro, e os elementos de permissão do grupo

Você pode usar os elementos de group e de member para especificar um novo grupo de segurança em Team Foundation Server e adicionar membros a esse grupo.Você pode usar o elemento de permission de grupo para atribuir permissões a um grupo e a membros do grupo.Você deve encapsular cada um desses elementos dentro dos elementos correspondentes do recipiente: groups, members, e permissions.Você usa o seguinte a estrutura de sintaxe para cada um desses elementos:

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName" allow="True | False"/>

A tabela a seguir descreve os atributos para group, member, e os elementos de permission de grupo.Você usa esses elementos somente no arquivo plug-in de grupos e de permissões.

Elemento	Atributo	Descrição
group	name	Especifica o nome de grupo que você está criando.
	isTeam	Indica se o grupo é uma equipetrue() ou nãofalse().
	description	Descreve a finalidade de grupo para outros usuários.
member	name	Especifica o nome de um grupo que você está adicionando como um membro de outro grupo.Você pode criar grupos e preencha-o com os passos alguns dos seguintes tipos de membros: Grupos padrões que são definidos em Team Foundation Server Grupos do que foram criados anteriormente no arquivo de groupsandpermissions.xml (por exemplo, $$PROJECTNAME$$ [] \ colaboradores) Usuários e grupos que são definidos no Active Directory, que você especifica usando o seguinte formato: DOMÍNIO \ NOME DE USUÁRIO DOMAIN \ GROUPNAME Para obter informações sobre o formato para utilizar quando você especifica grupos padrão, consulte Grupos padrões definidos no Team Foundation Server posteriormente neste tópico.
permission	name	Identifica permissão que está sendo aplicada.Para obter uma lista das permissões suportados, consulte as seguintes seções posteriores neste tópico: Permissões de nível de coleção de atribuição Permissões de nível de projeto de atribuição Permissões de atribuição os níveis da área e de iteração de controle
	class	Identifica a classe, ou a área, onde a permissão de grupo é concedida.Os seguintes valores são válidas: NAMESPACE: Especifica permissões de nível de coleção. PROJECT: Especifica permissões de nível de projeto. CSS_NODE: Especifica permissões para exibir e gerenciar caminhos da área para um projeto de equipe. ITERATION_NODE: Especifica permissões para exibir e gerenciar caminhos de iteração para um projeto de equipe.
	allow	Usa um valor de true ou de false para indicar se a permissão é permitida ou negada.
	path	Identifica o nó de caminho de área ou caminho de iteração onde a permissão está sendo aplicada.Esse atributo é válido somente quando class é definido como CSS_NODE ou a ITERATION_NODE.

Macros de grupo e grupos padrões definidos no Team Foundation Server

A tabela a seguir lista as macros que você pode usar para especificar um grupo padrão que é definido em Team Foundation Server.

Observação
Você pode especificar macros na tabela somente no plug-in para grupos e permissões.Você não pode especificar esses macros quando você atribuir permissões usando plug-ins de compilação, versão, ou o gerenciamento de laboratório.

Grupos padrão	Macro
Administradores de coleção do Project	[\ $$PROJECTCOLLECTIONADMINGROUP$$ SERVIDOR] [\ $$TEAMFOUNDATIONADMINGROUP$$ SERVIDOR] $$COLLECTIONADMINGROUP$$
Contas de serviço de coleção do Project	[\ $$PROJECTCOLLECTIONSERVICESGROUP$$ SERVIDOR]
Contas de serviço de compilação de coleção do Project	[\ $$PROJECTCOLLECTIONBUILDSERVICESGROUP$$ SERVIDOR] $$COLLECTIONBUILDSERVICESGROUP$$
Administradores de compilação de coleção do Project	[\ $$PROJECTCOLLECTIONBUILDADMINSGROUP$$ SERVIDOR] $$COLLECTIONBUILDADMINISTRATORSGROUP$$
Administradores de Projeto	$$PROJECTADMINGROUP$$ [\ $$PROJECTADMINGROUP$$ $$PROJECTNAME$$] [\ construtores $$PROJECTNAME$$]
Criador de O	$$CREATOR_OWNER$$ @creator
Equipe padrão	@defaultTeam

Aninhando grupos e atribuir membros ao exemplo de grupos

O exemplo a seguir mostra como configurar os grupos que são nomeados TestGroup1, TestGroup2, e TestGroup3.Nesse exemplo, você adiciona TestGroup1 como um membro de TestGroup2.Para que este código é válida, você deve definir TestGroup1 antes que você defina TestGroup2.

<task id="GroupCreation1"> 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

Definindo uma equipe

Além de criar grupos, você pode atribuir um grupo de equipe.Criar um projeto de equipe também cria uma equipe padrão.Se você tiver várias equipes que desejam organizar seu trabalho separada de outras equipes, você pode definir esses ou equipes no arquivo plug-in de grupos e permissões, ou você pode configurá-los depois de criar o projeto de equipe.Consulte Comece como equipe.

O exemplo a seguir mostra como configurar um grupo de equipe.Nesse exemplo, você especifica o grupo, equipe ideal em equipe, e o criador do projeto de equipe como um membro da equipe.O que caminhos de iteração que você especifica para a equipe deve ser definido no arquivo plug-in de classificações.Consulte Definir as áreas iniciais e as iterações no plug-in de classificação.

<group name="Dream Team" isTeam="true" description="Next generation work">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
   </permissions>
   <members>
      <member name="@creator"/>
   </members>
   <teamSettings areaPath="Area">
      <iterationPaths backlogPath="Iteration">
         <iterationPath path="Release 1\Sprint 1" />
         <iterationPath path="Release 1\Sprint 2" />
         <iterationPath path="Release 1\Sprint 3" />
         <iterationPath path="Release 1\Sprint 4" />
         <iterationPath path="Release 1\Sprint 5" />
         <iterationPath path="Release 1\Sprint 6" />
      </iterationPaths>
   </teamSettings>
</group>

Permissões de nível de coleção de atribuição

Você pode atribuir permissões de nível de coleção usando o elemento de permission de grupo e NAMESPACE da classe.Essas permissões de acesso a recursos que estão disponíveis através dos projetos de equipe.Você pode definir permissões de nível de coleção para somente as seguintes categorias de usuários:

Usuários e grupos de nível de coleção, como administradores de coleção do Project
Grupos de nível de projeto que foram adicionados à coleção em nível em seu servidor que está executando Team Foundation
Grupos personalizado que você cria e adiciona ao nível de coleção

Para que o formato use quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.

Observação
Você pode definir essas permissões clique com o botão direito do mouse no servidor em Team Explorer e clicando em Segurança, abrindo e usando o console de administração do Team Foundation, ou usando as ferramentas de linha de comando de TFSSecurity e de tf .Para obter mais informações, consulte Collection-Level Groups, A alteração de grupos e permissões com TFSSecurity, e Permission Command.

Você pode definir essas permissões clique com o botão direito do mouse no servidor em Team Explorer e clicando em Segurança, abrindo e usando o console de administração do Team Foundation, ou usando as ferramentas de linha de comando de TFSSecurity e de tf .Para obter mais informações, consulte Collection-Level Groups, A alteração de grupos e permissões com TFSSecurity, e Permission Command.

O exemplo a seguir mostra como conceder permissões de nível de coleção para administradores de projeto para um projeto de equipe.

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class="NAMESPACE" allow="true" />
       <permission name="WORK_ITEM_WRITE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_LINK_TYPES" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEMPLATE" class="NAMESPACE" allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class="NAMESPACE" allow="true" />
    </permissions>
</group>

A tabela a seguir descreve as permissões de nível de coleção que você pode atribuir.

Observação
Por padrão, nenhuma permissão de nível de coleção é atribuída nos modelos de processo do MSF.

Permissão	Descrição
DIAGNOSTIC_TRACE	Alterar configurações de rastreamento.Pode alterar as configurações de rastreamento para uma coleta informações de diagnóstico mais detalhada sobre serviços da Web para Team Foundation Server.
CREATE_PROJECTS	Criar novos projetos.Pode criar projetos na coleção de projeto de equipe.
GENERIC_WRITE	Editar informações em nível de coleção.Pode editar permissões de nível de coleção para usuários e grupos na coleção de projeto de equipe.Os usuários que têm essa permissão podem executar as seguintes tarefas: Adicione, remova, ou renomear um grupo de aplicativos de nível de coleção de coleção em Team Foundation Server. Observação Você não pode remover os grupos padrão de nível de coleção, como administradores de coleção de O. Adicionar ou remover um usuário ou um grupo no usuário do Windows ou outro grupo de aplicativo em Team Foundation Server (a nível do servidor). Alterar permissões de nível de coleção para usuários e grupos. Além disso, os usuários que têm essa permissão podem alterá-los permissões para o controle de versão, e têm acesso de gravação a todos os arquivos em controle de versão a menos que o acesso negado é explicitamente por outras permissões.
MANAGE_TEMPLATE	Gerenciar os modelos de processo.Pode baixar, criar, editar, e os modelos de processo de carregamento à coleção de projeto de equipe.
MANAGE_TEST_CONTROLLERS	Gerenciar controladores de teste.Pode registrar e cancelar o registro controladores de teste para a coleção de projeto de equipe.
MANAGE_LINK_TYPES	Gerenciar tipos de link de item de trabalho.Pode adicionar, remover, e altere os tipos de links para itens de trabalho.
GENERIC_READ	Exibir informações em nível de coleção.Pode exibir a associação de grupos de nível de coleção e permissões dos usuários.

Permissões de nível de projeto de atribuição

Você pode atribuir permissões de nível de projeto no arquivo plug-in de grupos e de permissões.Você atribui essas permissões usando o elemento de permission de grupo e a classe de PROJECT.Acesso de controle dessas permissões para recursos de um único projeto.Você pode conceder o acesso a usuários e grupos no Windows, grupos em Team Foundation, e grupos que você definiu anteriormente no arquivo plug-in de grupos e de permissões.Para que o formato use quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.

Observação
Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Configurações de Projeto de Equipee em seguida, clicando em Segurança.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões.

Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Configurações de Projeto de Equipee em seguida, clicando em Segurança.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões.

O exemplo a seguir mostra como conceder permissões várias ao grupo colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões de nível de projeto que você pode atribuir e indica as atribuições padrões que são feitas nos modelos de processo do MSF.

Permissão	Descrição	Leitores	Colaboradores	Administradores de compilação
GENERIC_READ	Visualizar informações em nível de projeto.Pode exibir a associação de grupos de nível de projeto e das permissões desses membros.
VIEW_TEST_RESULTS	Exibir ensaios.Pode exibir planos de teste neste nó.
MANAGE_TEST_CONFIGURATIONS	Gerenciar configurações de teste.Pode criar e excluir configurações de teste para o projeto de equipe.
MANAGE_TEST_ENVIRONMENTS	Gerenciar ambientes de teste.Pode criar e excluir ambientes de teste para o projeto de equipe.
PUBLISH_TEST_RESULTS	Crie ensaios.Pode adicionar e remover resultados de teste e adicionar ou alterar ensaios para o projeto de equipe.
DELETE_TEST_RESULTS	Excluir ensaios.Pode excluir um teste agendada para o projeto de equipe.
DELETE	Exclua o projeto de equipe.Pode excluir Team Foundation Server do projeto para que o usuário tem essa permissão.
GENERIC_WRITE	Editar informações de nível de projeto.Pode editar permissões no nível do projeto para usuários e grupos em Team Foundation Server.

Permissões de atribuição aos caminhos da área de controle

Você pode atribuir permissões que controlam o acesso às definições de área usando o elemento de permission de grupo e a classe de CSS_NODE.Acesso de controle dessas permissões para a estrutura de classificação de um único projeto.Você pode conceder o acesso a usuários e grupos no Windows, grupos em Team Foundation, e grupos que você definiu anteriormente no arquivo plug-in de grupos e de permissões.Para obter informações sobre o formato para utilizar quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.

Observação
Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Áreas e Iterações, clicando na guia de Área e em seguida, clicando em Segurança. Você pode atribuir permissões nós em diferentes níveis na hierarquia.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões.

Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Áreas e Iterações, clicando na guia de Área e em seguida, clicando em Segurança. Você pode atribuir permissões nós em diferentes níveis na hierarquia.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões.

O exemplo a seguir mostra como conceder permissões várias ao grupo colaboradores para um projeto de equipe.

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir a acesso do controle à estrutura hierárquica para os nós da área e de iteração de projeto.A tabela também indica as atribuições padrões que são feitas nos modelos de processo do MSF.

Observação
Algumas operações para acompanhar itens de trabalho requerem várias permissões.Por exemplo, você precisa mais permissões excluir um nó.

Permissão	Descrição	Leitores	Colaboradores	Administradores de compilação
GENERIC_READ	Exibir este nó.Pode exibir as configurações de segurança para um nó da área.
WORK_ITEM_READ	Exibir itens de trabalho neste nó.Pode exibir, mas não alterar, itens de trabalho que são atribuídos a um nó da área.
WORK_ITEM_WRITE	Editar itens de trabalho neste nó.Pode editar itens de trabalho que são atribuídos a um nó da área.
MANAGE_TEST_PLANS	Gerenciar planos de teste.Pode criar e editar os planos de teste que são atribuídos a um nó da área.Se os planos de teste não foram executados, você pode também exclua.
CREATE_CHILDREN	Crie e ordenação nós filho.Pode criar nós da área.Os usuários que têm essa permissão e a permissão de GENERIC_WRITE podem mover ou requisitar novamente qualquer nó filho da área.
DELETE	Excluir este nó.Pode excluir nós da área. Os usuários que têm essa permissão e a permissão de GENERIC_WRITE para outro nó podem excluir nós da área e reclassificar itens de trabalho existentes do nó excluído.Se o nó excluído possui nós filhos, os nós também são excluídos.
GENERIC_WRITE	Editar este nó.Pode definir permissões para renomear e nós da área.

Permissões de atribuição controlar caminhos de iteração

Você atribui as permissões que controlam o acesso aos caminhos de iteração usando o elemento de permission de grupo e a classe de ITERATION_NODE .Acesso de controle dessas permissões para versões de ou de iterações da etapa para um único projeto.Você pode conceder o acesso a usuários e grupos no Windows, grupos em Team Foundation, e grupos que você definiu anteriormente no arquivo plug-in de grupos e de permissões.Para obter informações sobre o formato para utilizar quando você especifica grupos, consulte Grupos padrões definidos no Team Foundation Server anteriormente neste tópico.

Observação
Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Áreas e Iterações, clicando na guia de Iteração e em seguida, clicando em Segurança.Você pode atribuir permissões nós em diferentes níveis na hierarquia.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões.

Depois que o projeto de equipe é criado, você pode definir essas permissões em Team Explorer clique com o botão direito do mouse no projeto, clicando Áreas e Iterações, clicando na guia de Iteração e em seguida, clicando em Segurança.Você pode atribuir permissões nós em diferentes níveis na hierarquia.Você também pode definir essas permissões usando a ferramenta de linha de comando TFSSecurity .Para obter mais informações, consulte Gerenciando permissões.

O exemplo a seguir mostra como conceder permissões várias ao grupo colaboradores para um projeto de equipe:

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class="ITERATION_NODE" allow="true" />
      <permission name="CREATE_CHILDREN" class="ITERATION_NODE" allow="true" />
   </permissions>
</group>

A tabela a seguir descreve as permissões que você pode atribuir a acesso do controle à estrutura hierárquica para os nós de iteração do projeto.Como os modelos de processo do MSF não especificam as permissões de ITERATION_NODE , todos os membros da equipe podem criar, exibir, e excluir nós de iteração.

Observação
Algumas operações para acompanhar itens de trabalho requerem várias permissões.Por exemplo, você precisa mais permissões excluir um nó.

Permissão	Descrição
GENERIC_READ	Exibir este nó.Pode exibir as configurações de segurança para um nó.
CREATE_CHILDREN	Crie e ordenação nós filho.Pode criar nós de iteração.Os usuários que têm essa permissão e a permissão de GENERIC_WRITE podem mover ou requisitar novamente qualquer nó de iteração.
DELETE	Excluir este nó.Pode excluir nós de iteração. Os usuários que têm essa permissão e a permissão de GENERIC_WRITE para outro nó podem excluir nós de iteração e reclassificar itens de trabalho existentes do nó excluído.Se o nó excluído possui nós filhos, os nós também são excluídos.
GENERIC_WRITE	Editar este nó.Pode definir permissões para nós de iteração e renomear nós.