更新:2007 年 11 月
在 Team Foundation Server 中创建新项目时,将为该项目创建新的项目级的组,并为该组分配对其相应资源的访问权限。若要自定义项目以更好地适合业务需要,必须了解为哪些用户和组分配了哪些权限,对于可能添加的用户或组可能要添加哪些权限。此外,如果要使用户与针对 MSF for Agile Software Development 或 MSF for CMMI Process Improvement 所描述的角色完全一致,您必须了解如何使这些角色与已分配给项目的默认组保持一致。您也可以创建与其中每个角色直接关联的组,并为这些组分配与角色相应的权限。
默认组和权限
只要在 Team Foundation Server 中创建项目,就会创建项目级的组。默认情况下,为其中的每个组分配了某些权限。除了要在服务器或项目级添加的组或用户以外,还可以为这些默认组添加权限。
服务器级的组和权限
默认情况下,在安装 Team Foundation Server 时,下列各组处于服务器级:
Team Foundation Server 名称\Team Foundation Administrators 本组成员可以执行 Team Foundation Server 的所有操作。本组中需要对 Team Foundation Server 进行总体管理控制的用户的个数应限制为尽可能最少。默认情况下,本组包含服务器的“Local Administrators”组 (BUILTIN\Administrators) 和 服务器\Service Accounts 组。
Team Foundation Server 名称\Team Foundation Valid Users 本组成员有权访问 Team Foundation Server。本组自动包含在 Team Foundation Server 内的任意位置添加的所有用户和组。您不能修改本组的成员资格。
.gif "重要说明")
重要说明:不要为本组取消设置或拒绝“查看服务器级别信息”权限。
Team Foundation Server 名称\Service Accounts 本组成员具有 Team Foundation Server 的服务级权限。默认情况下,本组包含安装过程中提供的服务帐户。如果要向本组添加新帐户,必须使用 TFSSecurity 命令行工具。本组应只包含服务帐户,而不应包含用户帐户或组(除非该组只包含服务帐户)。默认情况下,本组是“Team Foundation Administrators”的成员。
Team Foundation Server 名称\Team Foundation Licensed Users (仅限 Team Foundation Server 工作组版)本组成员可以连接到随同 Team Foundation Server 工作组版安装的服务器。成员可以访问该服务器,但没有为本组显式设置其他权限。本组可以有 1 到 5 个用户帐户,但没有作为成员的组帐户。用户帐户可以是域帐户或工作组环境的成员。产品名称中的“workgroup”一词指拥有 1 到 5 个用户的组,而不是工作组环境。只有本组成员可以连接服务器。默认情况下,用于安装 Team Foundation Server Workgroup Edition 的用户帐户会成为本组成员。如果您升级到 Team Foundation Server Standard Edition,则可移除本组。
默认情况下,为以上各组设置以下权限。有关下表中每个权限的完整说明,请参见 Team Foundation Server 权限。
.gif "说明") 说明: |
|---|
您可以使用 TFSSecurity 命令行实用工具为项目级的组设置服务器级别权限。 |
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
管理搁置的更改 |
Team Foundation Administrators、Service Accounts |
手动添加的用户或组,这些用户或组可能或必须删除由其他用户创建的搁置集。 |
管理仓库 |
Team Foundation Administrators、Service Accounts |
手动添加的用户或组,这些用户或组可能或必须通过 WarehouseController.asmx Web 服务的 ChangeSetting Web 方法更改仓库设置。 |
管理工作区 |
Team Foundation Administrators、Service Accounts |
手动添加的用户或组,这些用户或组可能或必须为其他用户创建工作区或删除由其他用户创建的工作区。 |
创建工作区 |
Team Foundation Administrators、Team Foundation Valid Users |
无。 |
创建新项目 |
Team Foundation Administrators |
定期创建新项目的项目管理员。若要成功创建新项目,用户必须是 Windows SharePoint Server 中的“SharePoint Central Admins”组的成员,并且在 SQL Reporting Services 中有“内容管理员”权限。 |
编辑服务器级的信息 |
Team Foundation Administrators |
无。 |
改变跟踪设置 |
Team Foundation Administrators |
其他服务器管理员,这些管理员可能或必须更改跟踪设置以收集有关 Team Foundation Server Web 服务的更为详细的诊断信息。 |
触发事件 |
Team Foundation Administrators、Service Accounts |
无。为其他用户添加此权限可能导致拒绝服务攻击。 |
管理过程模板 |
Team Foundation Administrators |
项目管理员和任何手动添加的用户或组(如过程专家),这些管理员、用户或组可能或必须创建、编辑、下载和上载 Team Foundation Server 的过程模板。 |
查看服务器级别信息 |
Team Foundation Administrators、Service Accounts、Team Foundation Valid Users |
无。 |
查看系统同步信息 |
Team Foundation Administrators、Service Accounts |
无。 |
项目级的组和权限
默认情况下,下列各组处于项目级:
项目名称\Project Administrators 本组成员不能创建新项目,但可以管理团队项目的所有方面。
项目名称\Contributors 本组成员可以通过多种方式参与项目,如添加、修改和删除代码,创建和修改工作项等等。
项目名称\Readers 本组成员可以查看项目,但不能对其进行修改。
项目名称\Build Services 本组成员具有项目的生成服务权限。本组应只包含生成服务帐户,而不应包含用户帐户或组(除非该组只包含生成服务帐户)。
除了以上项目级的帐户外,还有两个服务器级的帐户也将出现在每个 Team Foundation Server 项目中:
Team Foundation Server 名称\Team Foundation Administrators
说明:您不能更改此服务器级组的权限。
Team Foundation Server 名称\Team Foundation Valid Users
重要说明:不要为本组删除或拒绝“查看项目级信息”权限。
默认情况下,为以上各组设置以下权限。有关下表中每个权限的完整说明,请参见 Team Foundation Server 权限。
| 说明: |
|---|
您可以使用 TFSSecurity 命令行实用工具将项目级的组添加到服务器级的组。 |
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
管理版本 |
Project Administrators、Team Foundation Administrators |
手动添加的用户或组,这些用户或组可能或必须删除已完成的版本或终止当前正在使用的版本。 |
删除此项目 |
Project Administrators、Team Foundation Administrators |
无。 |
编辑版本质量 |
Project Administrators、Team Foundation Administrators |
任何手动添加的用户或组,这些用户或组可能或必须通过 Team Foundation Build 用户界面添加有关版本质量的信息。 |
编辑项目级信息 |
Project Administrators、Team Foundation Administrators |
无。 |
发布测试结果 |
Project Administrators、Team Foundation Administrators、Build Services |
任何手动添加的用户或组,这些用户或组可能或必须在团队项目门户上添加或移除测试结果,可能或必须添加或移除测试运行。 |
启动版本 |
Project Administrators、Contributors、Team Foundation Administrators、Build Services |
任何手动添加的用户和组,这些用户或组可能或必须通过 Team Foundation Build 用户界面或从命令行启动版本。 |
查看项目级信息 |
Project Administrators、Contributors、Readers、Team Foundation Administrators、Build Services、Team Foundation Valid Users |
所有手动添加的用户或组。 |
写入版本操作存储区 |
Build Services、Team Foundation Administrators |
此权限应只分配给服务帐户,而不应分配给单个用户。 |
区域级的组和权限
默认情况下,下列各组处于区域级:
项目名称\Project Administrators
项目名称\Contributors
项目名称\Readers
项目名称\Build Services
Team Foundation Server 名称\Team Foundation Administrators
Team Foundation Server 名称\Team Foundation Valid Users
默认情况下,为以上各组设置以下权限。有关下表中每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
创建子节点并对子节点排序 |
Project Administrators、Team Foundation Administrators |
无。 |
删除此节点 |
Project Administrators、Team Foundation Administrators |
任何手动添加的用户或组,这些用户或组可能或必须删除区域节点。 |
编辑此节点 |
Project Administrators、Team Foundation Administrators |
任何手动添加的用户或组,这些用户或组可能或必须重命名区域节点。 |
编辑此节点中的工作项 |
Project Administrators、Contributors、Build Services、Team Foundation Administrators |
任何手动添加的用户或组,这些用户或组可能或必须编辑此区域节点中的工作项。 |
查看此节点 |
Project Administrators、Contributors、Readers、Build Services、Team Foundation Administrators、Team Foundation Valid Users |
无。 |
查看此节点中的工作项 |
Project Administrators、Contributors、Readers、Build Services、Team Foundation Administrators |
任何手动添加的用户或组,这些用户或组可能或必须查看此区域节点中的工作项,但不能编辑或更改这些工作项。 |
迭代级的组和权限
默认情况下,下列各组处于迭代级:
项目名称\Project Administrators
项目名称\Contributors
项目名称\Readers
项目名称\Build Services
Team Foundation Server 名称\Team Foundation Administrators
Team Foundation Server 名称\Team Foundation Valid Users
默认情况下,为以上各组设置以下权限。有关下表中每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
创建子节点并对子节点排序 |
Project Administrators、Team Foundation Administrators |
无。 |
删除此节点 |
Project Administrators、Team Foundation Administrators |
任何手动添加的用户或组,这些用户或组可能或必须删除区域节点。 |
编辑此节点 |
Project Administrators、Team Foundation Administrators |
任何手动添加的用户或组,这些用户或组可能或必须重命名区域节点。 |
查看此节点 |
Project Administrators、Contributors、Readers、Build Services、Team Foundation Administrators、Team Foundation Valid Users |
无。 |
源代码管理的组和权限
默认情况下,下列各组处于源代码管理级:
项目名称\Project Administrators
项目名称\Contributors
项目名称\Readers
项目名称\Build Services
Team Foundation Server 名称\Team Foundation Administrators
Team Foundation Server 名称\Service Accounts
默认情况下,为以上各组设置以下权限。有关下表中每个权限的完整说明,请参见 Team Foundation Server 权限。
权限名称 |
默认情况下,为以下各组设置: |
考虑添加到: |
|---|---|---|
读取 |
Project Administrators、Contributors、Readers、Build Services、Team Foundation Administrators、Service Accounts |
多数手动添加的用户或组;任何可能或必须读取文件或文件夹内容的用户或组。 |
签出 |
Project Administrators、Contributors、Build Services、Team Foundation Administrators、Service Accounts |
任何手动添加的用户或组,这些用户或组可能或必须签出文件夹中的项或对这些项进行挂起更改。 |
签入 |
Project Administrators、Contributors、Build Services、Team Foundation Administrators、Service Accounts |
任何手动添加的用户或组,这些用户或组可能或必须签入项或修订任何已提交的变更集注释。 |
加标签 |
Project Administrators、Contributors、Build Services、Team Foundation Administrators、Service Accounts |
任何手动添加的用户或组,这些用户或组可能或必须为项加标签。 |
锁定 |
Project Administrators、Contributors、Build Services、Team Foundation Administrators、Service Accounts |
任何手动添加的用户或组,这些用户或组可能或必须锁定或取消锁定文件夹或文件。 |
修订其他用户的更改 |
Project Administrators、Team Foundation Administrators、Service Accounts |
手动添加的用户或组,这些用户或组负责监督或监视项目,可能或必须在签入文件中更改注释,即使其他用户已签入该文件。 |
取消锁定其他用户的更改 |
Project Administrators、Team Foundation Administrators、Service Accounts |
手动添加的用户或组,这些用户或组可能或必须取消其他用户对文件的锁定。 |
撤消其他用户的更改 |
Project Administrators、Team Foundation Administrators、Service Accounts |
手动添加的用户或组,这些用户或组可能或必须撤消其他用户所做的挂起更改。 |
管理标签 |
Project Administrators、Team Foundation Administrators、Service Accounts |
手动添加的用户或组,这些用户或组可能或必须编辑或删除其他用户创建的标签。 |
操作安全设置 |
Project Administrators、Team Foundation Administrators、Service Accounts |
无。 |
签入其他用户的更改 |
Project Administrators、Team Foundation Administrators、Service Accounts |
无。 |
与 MSF for Agile Software Development 角色关联的权限
如果使用 MSF for Agile Software Development 过程模板创建团队项目,您可能想要将用户分配到 MSF for Agile Software Development 的角色的相应组中。可以通过两种方法执行此操作。您可以将用户分配到与每个角色所需权限最为严格对应的默认组中。或者,您可以为每个角色创建组,并为该组分配相应权限,然后添加执行此角色的用户。
根据用户的 MSF for Agile Software Development 角色将其分配到默认组
您可以根据用户的 MSF for Agile Software Development 角色将其分配到默认组。虽然这些组与每个角色不是直接对应,但向其中添加用户要相对简单,而且无需在服务器、项目、区域及源代码管理级别创建新组和为其添加权限。此种方法的缺点是,您会丢失通过专门基于每个角色添加组才能拥有的权限和控制的部分细粒度。
下表提供有关与每个 MSF for Agile Software Development 角色最为对应的默认组的建议。有关 MSF for Agile Software Development 及其角色的更多信息,请参见 MSF for Agile Software Development 网站,网址为 https://go.microsoft.com/fwlink/?linkid=55200。
Agile 角色 |
添加到默认组 |
|---|---|
架构师 |
参与者 |
业务分析人员 |
参与者 |
开发人员 |
参与者 |
项目经理 |
项目管理员 |
发行经理 |
项目管理员 |
测试人员 |
参与者 |
创建与 MSF for Agile Software Development 角色对应的组并分配权限
您可以根据每个 MSF for Agile Software Development 角色创建自定义组,并将用户分配到这些组。创建这些组而不使用默认组的优点在于,您可以对角色和权限进行更好地控制。此方法的缺点是,必须在服务器、项目、区域和源代码管理四个级别创建新组并为新建的组添加权限。
| 说明: |
|---|
如果创建与角色对应的自定义组,您必须为 Windows SharePoint Services、Reporting Services 和 Team Foundation Server 计算机上的 Active Directory 或“本地用户和组”中的每个新组设置相应权限。这是除设置 Team Foundation Server 权限以外要进行的设置。 |
| 重要说明: |
|---|
您不能手动创建具有“Project Administrator”或“Team Foundation Administrator”组所有权限的自定义组。对于需要“Project Administrator”权限的自定义组,请在 Active Directory 中或本地计算机上创建自定义组,然后将这些组添加到“Project Administrators”组。 |
下表提供有关每个 MSF for Agile Software Development 角色的相应权限的建议。有关每个权限的完整说明,请参见 Team Foundation Server 权限。
Agile 角色 |
服务器 |
项目 |
区域 |
迭代 |
源代码管理 |
|---|---|---|---|---|---|
架构师 |
启动版本 查看项目级信息 |
编辑此节点中的工作项 查看此节点 查看此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
业务分析人员 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 |
查看此节点 |
无 |
|
开发人员 |
查看项目级信息 启动版本 |
编辑此节点中的工作项 查看此节点 查看此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
项目经理 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
发行经理 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
测试人员 |
查看项目级信息 编辑版本质量 发布测试结果 |
编辑此节点中的工作项 查看此节点 查看此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
与 MSF for CMMI Process Improvement 角色关联的权限
如果使用 MSF for CMMI Process Improvement 过程模板创建团队项目,您可能想要将用户分配到 MSF for CMMI Process Improvement 的角色的相应组中。可以通过两种方法执行此操作。您可以将用户分配到与每个角色所需权限最为严格对应的默认组中。或者,您可以为每个角色创建组,并为该组分配相应权限,然后添加执行此角色的用户。
有关 MSF for CMMI Process Improvement 及其角色的更多信息,请参见 MSF for CMMI Process Improvement 网站,网址为 https://go.microsoft.com/fwlink/?linkid=55203。
根据用户的 MSF for CMMI Process Improvement 角色将其分配到默认组
您可以根据用户的 MSF for CMMI Process Improvement 角色将其分配到默认组。虽然这些组与每个角色不是直接对应,但向其中添加用户要相对简单,而且无需在服务器、项目、区域及源代码管理级别创建新组和为其添加权限。此种方法的缺点是,您会丢失通过专门基于每个角色添加组才能拥有的权限和控制的部分细粒度。
下表提供有关与每个 MSF for CMMI Process Improvement 角色最为对应的默认组的建议。
CMMI 角色 |
添加到默认组 |
|---|---|
审核人员 |
参与者 |
版本生成工程师 |
项目管理员 |
业务分析人员 |
参与者 |
开发人员 |
参与者 |
开发经理 |
项目管理员 |
基础架构师 |
参与者 |
IPM 管理者 |
参与者 |
开发人员主管 |
项目管理员 |
产品经理 |
参与者 |
项目经理 |
项目管理员 |
发行经理 |
项目管理员 |
解决方案架构师 |
参与者 |
发起人 |
读者 |
行业专家 (SME) |
读者 |
测试经理 |
项目管理员 |
测试人员 |
参与者 |
用户培训架构师 |
参与者 |
用户体验专家 |
参与者 |
创建与 MSF for CMMI Process Improvement 角色对应的组并分配权限
可以根据每个 MSF for CMMI Process Improvement 角色创建自定义组,并将用户分配到这些自定义组。使用这些自定义组要比仅使用默认组具有更强的粒度和控制。此方法的缺点是,必须在服务器、项目、区域和源代码管理四个级别创建新组并为新建的组添加权限。由于 MSF for CMMI Process Improvement 有多个角色,因此,应仔细考虑项目所需的审核、粒度和控制的级别,然后再花时间为每个角色创建组。
| 说明: |
|---|
如果创建与角色对应的自定义组,您必须为 Windows SharePoint Services、SQL Reporting Services 和 Team Foundation Server 计算机上的 Active Directory 或“本地用户和组”中的每个新组设置相应权限。这是除设置 Team Foundation Server 权限以外要进行的设置。 |
| 重要说明: |
|---|
您不能手动创建具有“Project Administrator”或“Team Foundation Administrator”组所有权限的自定义组。对于需要“Project Administrator”权限的自定义组,请在 Active Directory 中或本地计算机上创建自定义组,然后将这些组添加到“Project Administrators”组。 |
下表提供有关每个 MSF for CMMI Process Improvement 角色的相应权限的建议。有关每个权限的完整说明,请参见 Team Foundation Server 权限。
CMMI 角色 |
服务器 |
项目 |
区域 |
迭代 |
源代码管理 |
|---|---|---|---|---|---|
审核人员 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
无 |
|
版本生成工程师 |
查看项目级信息 管理版本;编辑版本质量;启动版本 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
业务分析人员 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
无 |
|
开发人员 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
开发经理 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
基础架构师 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
IPM 管理者 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
无。 |
|
开发人员主管 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
产品经理 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
项目经理 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
发行经理 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
向“Project Administrators”组添加组成员 |
解决方案架构师 |
查看项目级信息 启动版本 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
发起人 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 |
查看此节点 |
无 |
|
行业专家 (SME) |
查看项目级信息 |
查看此节点 查看此节点中的工作项 |
查看此节点 |
无 |
|
测试经理 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
测试人员 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
|
用户培训架构师 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 |
|
用户体验专家 |
查看项目级信息 |
查看此节点 查看此节点中的工作项 编辑此节点中的工作项 |
查看此节点 |
读取 签出 签入 加标签 锁定 |
请参见
任务
如何:设置 Team Foundation Server 管理员权限
如何:设置 Team Foundation Server 项目主管权限
如何:设置 Team Foundation Server 参与者权限
如何:设置 Team Foundation Server 读者权限