Partager via


Autorisations de Team Foundation Server

Mise à jour : novembre 2007

L'autorisation d'effectuer les actions de l'utilisateur, telles que l'administration de l'espace de travail et la création de projet, sont déterminées par les autorisations. Lorsque vous créez un projet dans Team Foundation Server, quatre groupes par défaut sont créés pour ce projet indépendamment de votre choix de modèle de processus. Par défaut, chacun de ces groupes possède un jeu d'autorisations défini qui détermine les actions autorisées pour leurs membres.

  • Project Administrator

  • Contributor

  • Reader

  • Build Services

Pour gérer des groupes par défaut et créer des groupes personnalisés, les administrateurs doivent connaître la signification des autorisations et les implications en matière de sécurité afin de définir explicitement des autorisations.

Remarque :

Cette rubrique ne décrit pas les autorisations pour Windows SharePoint Services ou SQL Reporting Services. Elle aborde uniquement les autorisations que vous définissez dans Team Foundation Server.

Paramètres des autorisations

Deux paramètres d'autorisation explicites sont disponibles dans Team Foundation Server pour les autorisations : Refuser et Autoriser. Une autorisation implicite est également disponible et permet de ne pas affecter la valeur Autoriser ou Refuser à l'autorisation. Cette autorisation est un paramètre Refuser implicite connu sous le nom d'Unset.

Deny

Deny n'autorise pas l'utilisateur ou le groupe à exécuter les actions indiquées dans la description d'autorisation. Il s'agit du paramètre d'autorisation le plus puissant de Team Foundation Server. Si un utilisateur appartient à un groupe de Team Foundation Server qui possède un jeu d'autorisations spécifique avec la valeur Refuser, cet utilisateur ne peut pas exécuter cette fonction, même s'il appartient à un autre groupe dans lequel ce jeu d'autorisations possède la valeur Autoriser. La seule exception à cette règle se produit lorsque l'utilisateur est membre du groupe Project Administrators pour un projet ou du groupe Team Foundation Administrators. Si un utilisateur est membre du groupe Project Administrators pour un projet, les privilèges de ce groupe substituent une autorisation Deny explicite pour cet utilisateur dans un projet. De même, si un utilisateur est membre du groupe Team Foundation Administrators, les privilèges de ce groupe substituent une autorisation Refuser explicite pour cet utilisateur dans Team Foundation Server.

Allow

Allow autorise l'utilisateur ou le groupe à exécuter les actions indiquées dans la description d'autorisation. Autoriser est le second paramètre d'autorisation le plus puissant de Team Foundation Server. C'est celui qui est défini le plus fréquemment. Si vous n'affectez pas explicitement la valeur Autoriser à une autorisation, un utilisateur ou un groupe ne peut pas exécuter cette action dans Team Foundation Server.

Unset

Par défaut, la plupart des autorisations dans Team Foundation Server ne possèdent pas la valeur Refuser ou Autoriser. Les autorisations ne sont pas définies, ce qui, implicitement, n'autorise pas les utilisateurs et les groupes à exécuter les actions spécifiées dans la description d'autorisation. Toutefois, étant donné que l'autorisation n'a pas explicitement la valeur Refuser ou Autoriser, l'autorisation pour cette autorisation peut être héritée d'autres groupes auxquels l'utilisateur appartient.

Héritage

Si aucune autorisation n'est affectée à un utilisateur ou un groupe, l'utilisateur ou le groupe peut être affecté par le paramètre d'autorisation explicite défini pour les groupes auxquels il appartient étant donné que les autorisations dans Team Foundation Server sont héritées. Par exemple, si un utilisateur appartient à deux groupes personnalisés dans un projet et que l'un de ces groupes a une autorisation pour laquelle la valeur Refuser est explicitement affectée tandis qu'aucune autorisation n'est affectée à l'autre groupe, l'utilisateur n'aura pas l'autorisation d'exécuter les actions contrôlées par cette autorisation (l'utilisateur hérite des autorisations des deux groupes, et Refuser a la priorité sur l'autorisation non définie).

Remarque :

Les autorisations définies à l'extérieur de Team Foundation Server, comme Windows SharePoint Services, ne sont pas héritées dans Team Foundation Server. Elles ne sont pas abordées dans cette rubrique.

Certains paramètres d'autorisation sont prioritaires sur les autres. Dans Team Foundation Server, l'autorisation Refuser a la priorité sur tous les autres paramètres d'autorisation, y compris Autoriser. Par exemple, un utilisateur peut appartenir à deux groupes dans un projet. Dans un groupe, l'autorisation Publier les résultats des tests a la valeur Refuser ; l'autre groupe a la valeur Autoriser. Le paramètre Refuser a la priorité et l'utilisateur n'est pas autorisé à publier les résultats des tests. La seule exception à cette règle se produit lorsque l'utilisateur est membre du groupe Project Administrators pour un projet ou du groupe Team Foundation Administrators. Si un utilisateur est membre du groupe Project Administrators pour un projet, les privilèges de ce groupe substituent une autorisation Deny explicite pour cet utilisateur dans un projet. De même, si un utilisateur est membre du groupe Team Foundation Administrators, les privilèges de ce groupe substituent une autorisation Refuser explicite pour cet utilisateur dans Team Foundation Server.

Autorisations définies dans l'interface utilisateur de Team Foundation Server et dans la ligne de commande

La plupart des autorisations que vous pouvez souhaiter définir pour Team Foundation Server sont contrôlées dans l'interface utilisateur de Team Foundation Server. Vous pouvez définir ces autorisations pour un serveur (autorisations de niveau serveur) ou un projet (autorisations de niveau projet). Vous pouvez également définir des autorisations au niveau de la zone pour afficher et interagir avec les éléments de travail pour un projet. Pour plus d'informations sur les autorisations définies par défaut pour les utilisateurs et les autorisations définies pour MSF for Agile Software Development ou les groupes MSF CMMI Process Improvement, consultez Groupes, autorisations et rôles par défaut de Team Foundation Server. Pour plus d'informations sur le mode de définition des autorisations pour les utilisateurs et les groupes, consultez Gestion des utilisateurs et groupes et Gestion des autorisations. Pour plus d'informations sur la gestion des éléments de travail, consultez Utilisation d'éléments de travail Team Foundation.

Autorisations de niveau serveur

Les autorisations de niveau serveur ne sont pas spécifiques à un projet unique. À la place, elles sont définies au niveau du serveur. Vous pouvez définir ces autorisations uniquement pour trois catégories d'utilisateurs :

  • Utilisateurs et groupes au niveau du serveur, comme Team Foundation Administrators

  • Groupes de niveau projet ajoutés au niveau du serveur sur votre serveur de Team Foundation

  • Groupes personnalisés que vous créez et ajoutez au niveau serveur

Vous pouvez définir ces autorisations dans Team Foundation Server en cliquant avec le bouton droit sur le serveur dans Team Explorer, puis en cliquant sur Sécurité. Vous pouvez définir ces autorisations en utilisant l'utilitaire en ligne de commande TFSSecurity, à l'exception des utilitaires portant la mention tf:. Pour ceux qui portent la mention tf:, utilisez la commande Permission de l'utilitaire en ligne de commande tf pour le contrôle de code source pour définir les autorisations. Pour plus d'informations, consultez Commandes de l'utilitaire en ligne de commande TFSSecurity et Permission, commande.

Nom de l'autorisation

Nom au niveau de la ligne de commande

Description

Administrer les modifications réservées

tf: AdminShelvesets

Les utilisateurs qui ont cette autorisation peuvent supprimer des jeux de réservations stockés créés par d'autres utilisateurs.

Administrer l'entrepôt

ADMINISTER_WAREHOUSE

Les utilisateurs qui ont cette autorisation peuvent modifier les paramètres d'entrepôt en utilisant la méthode Web ChangeSetting du service Web WarehouseController.asmx. Par exemple, vous pourriez permettre aux utilisateurs de définir l'intervalle de mise à jour pour calculer les cubes OLAP.

Administrer les espaces de travail

tf: AdminWorkspaces

Les utilisateurs qui ont cette autorisation peuvent créer des espaces de travail pour les autres utilisateurs et supprimer les espaces de travail créés par d'autres utilisateurs.

Créer un espace de travail

tf: CreateWorkspace

Les utilisateurs qui ont cette autorisation peuvent créer un espace de travail de contrôle de code source.

Créer de nouveaux projets

CREATE_PROJECTS

Les utilisateurs qui ont cette autorisation peuvent créer des projets dans Team Foundation Server. Pour créer avec succès des projets, ces utilisateurs doivent être membres du groupe Administration centrale de SharePoint dans Windows SharePoint Server et disposer des autorisations Gestionnaire de contenu dans SQL Reporting Services.

Modifier les informations au niveau du serveur

GENERIC_WRITE

tf: AdminConfiguration

tf: AdminConnections

Les utilisateurs qui ont cette autorisation peuvent modifier des autorisations de niveau serveur pour les utilisateurs et les groupes de Team Foundation Server. Ils peuvent ajouter ou supprimer des groupes d'applications de Team Foundation Server de niveau serveur de Team Foundation Server. Lorsqu'elle est définie par le biais des menus, l'autorisation Modifier les informations au niveau du serveur permet également d'autoriser implicitement l'utilisateur à modifier des autorisations de contrôle de code source. Pour accorder toutes les autorisations précitées à partir de la ligne de commande, vous devez utiliser la commande tf.exe Permission pour accorder les autorisations AdminConfiguration et AdminConnections, ainsi que GENERIC_WRITE.

Remarque :

Les groupes de serveurs par défaut, tels que Team Foundation Administrators, ne peuvent pas être supprimés.

Modifier les paramètres de la trace

DIAGNOSTIC_TRACE

Les utilisateurs qui ont cette autorisation peuvent modifier les paramètres de la trace pour rassembler des informations de diagnostic plus détaillées à propos des services Web de Team Foundation Server. Pour plus d'informations sur le traçage, consultez Paramètres de traçage de Team Foundation Server.

Déclencher des événements

TRIGGER_EVENT

Les utilisateurs qui ont cette autorisation peuvent déclencher des événements d'alertes de projet dans Team Foundation Server. Cette autorisation doit uniquement être assignée aux comptes de service.

Gérer le modèle de processus

MANAGE_TEMPLATE

Les utilisateurs qui ont cette autorisation peuvent télécharger, créer, modifier et télécharger des modèles de processus dans Team Foundation Server.

Afficher les informations au niveau du serveur

GENERIC_READ

Les utilisateurs qui ont cette autorisation peuvent consulter l'appartenance de groupe de niveau serveur et les autorisations de ces utilisateurs.

Afficher les informations de synchronisation système

SYNCHRONIZE_READ

Les utilisateurs qui ont cette autorisation peuvent déclencher des événements de synchronisation. Cette autorisation doit uniquement être assignée aux comptes de service.

Autorisations de niveau projet

Les autorisations de niveau projet sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations dans Team Foundation Server en cliquant avec le bouton droit sur le projet dans Team Explorer, sur Paramètres du projet d'équipe, puis sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.

Nom de l'autorisation

Nom au niveau de la ligne de commande

Description

Supprimer ce projet

DELETE

Les utilisateurs qui ont cette autorisation peuvent supprimer le projet pour lequel ils ont cette autorisation dans Team Foundation Server.

Modifier les informations au niveau du projet

GENERIC_WRITE

Les utilisateurs qui ont cette autorisation peuvent modifier des autorisations de niveau projet pour les utilisateurs et les groupes de Team Foundation Server.

Publier les résultats des tests

PUBLISH_TEST_RESULTS

Les utilisateurs qui ont cette autorisation peuvent ajouter et supprimer des résultats de tests sur le portail de projet d'équipe et ajouter ou supprimer des séries de tests.

Afficher les informations au niveau du projet

GENERIC_READ

Les utilisateurs qui ont cette autorisation peuvent consulter l'appartenance de groupe de niveau projet et les autorisations de ces utilisateurs de projet.

Autorisations au niveau de la génération

Les autorisations au niveau de la build sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations dans Team Explorer en cliquant sur Paramètres du projet d'équipe, puis sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.

Nom de l'autorisation

Nom au niveau de la ligne de commande

Description

Administrer une build

ADMINISTER_BUILD

Les utilisateurs qui ont cette autorisation peuvent supprimer des builds terminées et arrêter les générations actuelles en cours.

Modifier la qualité de build

EDIT_BUILD_STATUS

Les utilisateurs qui ont cette autorisation peuvent ajouter des informations relatives à la qualité du build dans l'interface utilisateur de Team Foundation Build. Ces informations sont stockées dans le magasin de la base de données de Team Foundation Build.

Commencer une build

START_BUILD

Les utilisateurs qui ont cette autorisation peuvent démarrer une génération via l'interface utilisateur de Team Foundation Build ou à partir de la ligne de commande. Cette autorisation est également requise pour configurer une build afin qu'elle soit conservée indéfiniment.

Écrire dans le magasin opérationnel de la build

UPDATE_BUILD

Cette autorisation doit être accordée au compte sous lequel le service de build s'exécute de sorte que le magasin de la base de données de Team Foundation Build puisse être mis à jour. Cette autorisation ne doit être assignée qu'à des comptes de service et non à des utilisateurs individuels.

Autorisations au niveau de la zone de suivi des éléments de travail

Les autorisations au niveau de la zone sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le projet dans Team Explorer, en cliquant sur Zones et itérations, puis sur l'onglet Zone, en cliquant sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.

Remarque :

Certaines opérations de suivi des éléments de travail requièrent plusieurs autorisations. Par exemple, vous avez besoin de plusieurs autorisations pour supprimer un nœud.

Nom de l'autorisation

Nom au niveau de la ligne de commande

Description

Créer et classer les nœuds enfants

CREATE_CHILDREN

Les utilisateurs qui ont cette autorisation peuvent créer des nœuds de zone. Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds de zone enfants.

Supprimer ce nœud

DELETE

Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds de zone et reclasser des éléments de travail existants à partir du nœud supprimé. Les nœuds enfants situés sous le nœud parent supprimé sont également supprimés.

Modifier ce nœud

GENERIC_WRITE

Les utilisateurs qui ont cette autorisation peuvent renommer des nœuds de zone.

Modifier les éléments de travail dans ce nœud

WORK_ITEM_WRITE

Les utilisateurs qui ont cette autorisation peuvent modifier des éléments de travail dans ce nœud de zone.

Afficher ce nœud

GENERIC_READ

Les utilisateurs qui ont cette autorisation peuvent consulter les paramètres de sécurité de ce nœud.

Afficher les éléments de travail dans ce nœud

WORK_ITEM_READ

Les utilisateurs qui ont cette autorisation peuvent afficher les éléments de travail dans ce nœud de zone, mais pas les modifier ou les changer.

Autorisations au niveau de l'itération de suivi des éléments de travail

Les autorisations de niveau itération sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le projet dans Team Explorer, en cliquant sur Zones et itérations, puis sur l'onglet Itérations, en cliquant sur Sécurité. Vous pouvez également définir ces autorisations à l'aide de l'utilitaire en ligne de commande TFSSecurity.

Remarque :

Certaines opérations de suivi des éléments de travail requièrent plusieurs autorisations. Par exemple, vous avez besoin de plusieurs autorisations pour supprimer un nœud.

Nom de l'autorisation

Nom au niveau de la ligne de commande

Description

Créer et classer les nœuds enfants

CREATE_CHILDREN

Les utilisateurs qui ont cette autorisation peuvent créer des nœuds d'itération. Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds d'itération enfants.

Supprimer ce nœud

DELETE

Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds d'itération et reclasser des éléments de travail existants à partir du nœud supprimé. Les nœuds enfants situés sous le nœud parent supprimé sont également supprimés.

Modifier ce nœud

GENERIC_WRITE

Les utilisateurs qui ont cette autorisation peuvent renommer des nœuds d'itération.

Afficher ce nœud

GENERIC_READ

Les utilisateurs qui ont cette autorisation peuvent consulter les paramètres de sécurité de ce nœud.

Autorisations du contrôle de code source

Les autorisations du contrôle de code source sont spécifiques aux fichiers et aux dossiers de code source. Vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le dossier ou le fichier dans l'Explorateur du contrôle de code source, en cliquant sur Propriétés , puis sur l'onglet Sécurité, en sélectionnant l'utilisateur ou le groupe pour lequel vous souhaitez modifier les autorisations et en modifiant les autorisations répertoriées dans Autorisations. Vous pouvez définir ces autorisations à l'aide de l'utilitaire en ligne de commande tf pour le contrôle de code source.

Nom de l'autorisation

Nom au niveau de la ligne de commande

Description

Lire

tf: Read

Les utilisateurs qui ont cette autorisation peuvent lire le contenu d'un fichier ou d'un dossier. Si un utilisateur dispose d'autorisations Lire sur un dossier, il peut consulter le contenu du dossier et les propriétés des fichiers qu'il contient, même si l'utilisateur ne dispose pas des autorisations permettant d'ouvrir ces fichiers.

Extraire

tf: PendChange

Les utilisateurs qui ont cette autorisation peuvent extraire et apporter une modification en attente aux éléments d'un dossier. Les exemples de modifications en attente incluent l'ajout, l'attribution d'un nouveau nom, la suppression, la restauration, la création de branches et la fusion d'un fichier.

Archiver

tf: Checkin

Les utilisateurs qui ont cette autorisation peuvent archiver des éléments et modifier tout commentaire sur un ensemble de modifications validées. Les modifications en attente sont validées lors de l'archivage.

Étiqueter

tf: Label

Les utilisateurs qui ont cette autorisation peuvent étiqueter des éléments.

Verrouiller

tf: Lock

Les utilisateurs qui ont cette autorisation peuvent verrouiller et déverrouiller des dossiers ou des fichiers.

Modifier les modifications des autres utilisateurs

tf: ReviseOther

Les utilisateurs qui ont cette autorisation peuvent modifier les commentaires des fichiers archivés, même si un autre utilisateur a archivé le fichier.

Déverrouiller les modifications des autres utilisateurs

tf: UnlockOther

Les utilisateurs qui ont cette autorisation peuvent déverrouiller les fichiers verrouillés par d'autres utilisateurs.

Annuler les modifications des autres utilisateurs

tf: UndoOther

Les utilisateurs qui ont cette autorisation peuvent annuler une modification en attente faite par un autre utilisateur.

Administrer les étiquettes

tf: LabelOther

Les utilisateurs qui ont cette autorisation peuvent modifier ou supprimer des étiquettes créées par un autre utilisateur.

Manipuler les paramètres de sécurité

tf: AdminProjRights

Les utilisateurs qui ont cette autorisation peuvent définir des autorisations sur ces fichiers et dossiers.

Archiver les modifications des autres utilisateurs

tf: CheckinOther

Les utilisateurs qui ont cette autorisation peuvent archiver les modifications qui ont été apportées par d'autres utilisateurs. Les modifications en attente seront validées lors de l'archivage.

Voir aussi

Tâches

Comment : définir les autorisations Administrateur Team Foundation Server

Comment : définir des autorisations de coordinateur de projet Team Foundation Server

Comment : définir des autorisations Contributor Team Foundation Server

Comment : définir des autorisations Reader Team Foundation Server

Concepts

Groupes, autorisations et rôles par défaut de Team Foundation Server

Utilisation d'éléments de travail Team Foundation

Autres ressources

Commandes de l'utilitaire en ligne de commande TFSSecurity

Référence de la ligne de commande du contrôle de version Team Foundation

Gestion des utilisateurs et groupes

Gestion des autorisations