Team Foundation Server のアクセス許可
更新 : 2007 年 11 月
ワークスペースの管理やプロジェクトの作成などのユーザーによる操作に対する承認は、アクセス許可によって決定されます。Team Foundation Server でプロジェクトを作成すると、選択したプロセス テンプレートに関係なく、そのプロジェクト用に次の 4 つの既定のグループが作成されます。これらのグループのそれぞれについて、既定で一連のアクセス許可が定義されており、これによってグループのメンバーが実行を承認される操作が決定されます。
Project Administrator
Contributor
Reader
Build Services
管理者が既定のグループを管理したり、カスタムのグループを作成したりするには、アクセス許可の意味、およびセキュリティとの関連を理解して、明示的にアクセス許可を設定できるようにする必要があります。
.gif "メモ") メモ : |
|---|
このトピックでは、Windows SharePoint Services や SQL Reporting Services のアクセス許可については説明しません。このトピックでは、Team Foundation Server で設定するアクセス許可についてのみ説明します。 |
アクセス許可の設定
Team Foundation Server には、拒否および許可という 2 つの明示的なアクセス許可の承認設定があります。また、アクセス許可を許可にも拒否にも設定しない暗黙の承認設定も使用できます。この承認設定は、未設定と呼ばれる暗黙の拒否設定です。
拒否
拒否を使用すると、ユーザーまたはグループが、アクセス許可の説明で示された操作を実行するための承認が拒否されます。拒否は、Team Foundation Server において最も影響力の強いアクセス許可設定です。特定のアクセス許可が [拒否] に設定されている Team Foundation Server グループに所属しているユーザーは、そのアクセス許可が [許可] に設定されている別のグループに所属する場合でも、その機能を実行できません。この規則の唯一の例外は、ユーザーがプロジェクトのプロジェクト管理者グループのメンバまたは Team Foundation 管理者グループのメンバである場合に起こります。プロジェクトのプロジェクト管理者グループのメンバであるユーザーについては、そのグループの特権の方が、プロジェクトでそのユーザーに明示的に設定した拒否よりも優先されます。同様に、Team Foundation 管理者グループのメンバであるユーザーについては、そのグループの特権の方が、Team Foundation Server でそのユーザーに明示的に設定した拒否よりも優先されます。
許可
許可 を使用すると、ユーザーまたはグループが、アクセス許可の説明で示された操作を実行するための承認が付与されます。許可は、Team Foundation Server において 2 番目に影響力の強いアクセス許可設定です。これは、最も頻繁に設定されます。アクセス許可を明示的に [許可] に設定しないと、ユーザーまたはグループは、その操作を Team Foundation Server で実行できません。
未設定
既定では、Team Foundation Server のほとんどのアクセス許可は、[拒否] にも [許可] にも設定されていません。これらのアクセス許可は未設定のままになっています。これにより、ユーザーおよびグループの両方について、アクセス許可の説明で示された操作を実行するための承認が暗黙的に拒否されます。ただし、アクセス許可が明示的に [拒否] にも [許可] にも設定されていないため、そのアクセス許可に対する承認を、そのユーザーまたはグループが所属している他のグループから継承できます。
継承
ユーザーまたはグループにアクセス許可が設定されていない場合、Team Foundation Server 内のアクセス許可が継承されるため、そのユーザーまたはグループが所属する他のグループの明示的なアクセス許可の設定が適用されます。たとえば、ユーザーがプロジェクト内の 2 つのカスタム グループに所属しているとします。一方のグループであるアクセス許可が明示的に [拒否] に設定され、もう一方のグループでそのアクセス許可が未設定の場合、このユーザーには、そのアクセス許可によって制御される操作を実行するためのアクセス許可がありません (ユーザーは両方のグループからアクセス許可を継承し、未設定のアクセス許可よりも [拒否] が優先されます)。
| メモ : |
|---|
Windows SharePoint Services など Team Foundation Server 以外で設定されたアクセス許可は、Team Foundation Server 内では継承されません。これらについては、このトピックでは説明しません。 |
承認設定には、他の承認設定よりも優先するものがあります。Team Foundation Server では、拒否のアクセス許可が、他のすべてのアクセス許可設定 (許可など) よりも優先されます。たとえば、ユーザーがプロジェクト内の 2 つのグループに所属しているとします。一方のグループでは、[テスト結果の発行] のアクセス許可が [拒否] に設定されており、もう一方のグループでは、このアクセス許可が [許可] に設定されています。この場合、[拒否] の設定が優先されるため、ユーザーはテスト結果の発行を承認されません。この規則の唯一の例外が発生するのは、ユーザーがプロジェクトのプロジェクト管理者グループのメンバまたは Team Foundation 管理者グループのメンバである場合です。プロジェクトのプロジェクト管理者グループのメンバであるユーザーについては、そのグループの特権の方が、プロジェクトでそのユーザーに明示的に設定した拒否よりも優先されます。同様に、Team Foundation 管理者グループのメンバであるユーザーについては、そのグループの特権の方が、Team Foundation Server でそのユーザーに明示的に設定した拒否よりも優先されます。
Team Foundation Server のユーザー インターフェイスおよびコマンド ラインを通じて設定されるアクセス許可
Team Foundation Server で設定する必要のあるアクセス許可の多くは、Team Foundation Server のユーザー インターフェイスを通じて制御できます。これらのアクセス許可は、サーバーごと (サーバーレベルのアクセス許可) またはプロジェクトごと (プロジェクトレベルのアクセス許可) に設定できます。また、プロジェクトごとに作業項目を表示または操作するための区分レベルのアクセス許可も設定できます。特定のユーザーに既定で設定されるアクセス許可、および MSF for Agile Software Development または MSF CMMI Process Improvement のグループに設定するアクセス許可の詳細については、「Team Foundation Server の既定のグループ、アクセス許可、およびロール」を参照してください。ユーザーおよびグループにアクセス許可を設定する方法の詳細については、「ユーザーおよびグループの管理」と「アクセス許可の管理」を参照してください。作業項目を管理する方法の詳細については、「Team Foundation 作業項目の使用」を参照してください。
サーバーレベルのアクセス許可
サーバーレベルのアクセス許可は、単一のプロジェクトに固有ではありません。サーバー全体を対象に設定されます。このアクセス許可は、次の 3 つのカテゴリのユーザーに対してのみ設定できます。
Team Foundation 管理者など、サーバーレベルのユーザーおよびグループ
Team Foundation サーバーでサーバーレベルに追加されたプロジェクトレベルのグループ
サーバーレベルに作成および追加されたカスタム グループ
これらのアクセス許可を Team Foundation Server で設定するには、チーム エクスプローラでサーバーを右クリックし、[セキュリティ] をクリックします。これらのアクセス許可は、TFSSecurity コマンド ライン ユーティリティを使用して設定できます。ただし、tf: が指定されたコマンド ライン ユーティリティでは設定できません。tf: が指定されている場合は、ソース管理のための tf コマンド ライン ユーティリティの Permission コマンドを使用してアクセス許可を設定します。詳細については、「TFSSecurity コマンド ライン ユーティリティのコマンド」および「Permission コマンド」を参照してください。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
シェルブされた変更の管理 |
tf: AdminShelvesets |
このアクセス許可を持つユーザーは、他のユーザーが作成したシェルブセットを削除できます。 |
管理ウェアハウス |
ADMINISTER_WAREHOUSE |
このアクセス許可を持つユーザーは、WarehouseController.asmx Web サービスの ChangeSetting Web メソッドを使用して、ウェアハウスの設定を変更できます。たとえば、OLAP キューブの計算を更新する間隔の設定をユーザーに許可する場合に使用できます。 |
ワークスペースの管理 |
tf: AdminWorkspaces |
このアクセス許可を持つユーザーは、他のユーザーのためにワークスペースを作成したり、他のユーザーによって作成されたワークスペースを削除したりできます。 |
ワークスペースの作成 |
tf: CreateWorkspace |
このアクセス許可を持つユーザーは、ソース管理のワークスペースを作成できます。 |
新しいプロジェクトの作成 |
CREATE_PROJECTS |
このアクセス許可を持つユーザーは、Team Foundation Server で新しいプロジェクトを作成できます。新しいプロジェクトを正しく作成するためには、Windows SharePoint Server の SharePoint サーバー管理グループのメンバであり、SQL Reporting Services でコンテンツ マネージャのアクセス許可を持っている必要があります。 |
サーバーレベル情報の編集 |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
このアクセス許可を持つユーザーは、Team Foundation Server のユーザーおよびグループに対する、サーバーレベルのアクセス許可を編集できます。これらのユーザーは、Team Foundation Server でサーバーレベルの Team Foundation Server アプリケーション グループを追加または削除できます。[サーバーレベル情報の編集] のアクセス許可をメニューから設定した場合、対象のユーザーには、ソース管理のアクセス許可の変更も暗黙的に許可されます。以上のすべてのアクセス許可をコマンド ラインから付与するには、tf.exe Permission コマンドを使用して、AdminConfiguration および AdminConnections のアクセス許可と GENERIC_WRITE を付与する必要があります。 メモ :
Team Foundation 管理者など、既定のサーバー グループは削除できません。
|
トレース設定の変更 |
DIAGNOSTIC_TRACE |
このアクセス許可を持つユーザーは、Team Foundation Server の Web サービスに関するより詳細な診断情報を収集するためのトレースの設定を変更できます。トレースの詳細については、「Team Foundation Server のトレース設定」を参照してください。 |
トリガ イベント |
TRIGGER_EVENT |
このアクセス許可を持つユーザーは、Team Foundation Server 内でプロジェクトの警告イベントを発生させることができます。このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。 |
プロセス テンプレートの管理 |
MANAGE_TEMPLATE |
このアクセス許可を持つユーザーは、Team Foundation Server のプロセス テンプレートをダウンロード、作成、編集、およびアップロードできます。 |
サーバーレベル情報の表示 |
GENERIC_READ |
このアクセス許可を持つユーザーは、サーバーレベルのグループのメンバシップ、およびそれらのユーザーのアクセス許可を参照できます。 |
システムの同期情報の表示 |
SYNCHRONIZE_READ |
このアクセス許可を持つユーザーは、同期イベントを発生させることができます。このアクセス許可は、サービス アカウントにのみ割り当てることをお勧めします。 |
プロジェクトレベルのアクセス許可
プロジェクトレベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。これらのアクセス許可を Team Foundation Server で設定するには、チーム エクスプローラでプロジェクトを右クリックし、[チーム プロジェクトの設定] をクリックして、[セキュリティ] をクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ユーティリティを使用して設定できます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
このプロジェクトを削除します |
Del キー |
このアクセス許可を持つユーザーは、このアクセス許可の対象のプロジェクトを Team Foundation Server から削除できます。 |
プロジェクトレベル情報を編集します |
GENERIC_WRITE |
このアクセス許可を持つユーザーは、Team Foundation Server のユーザーおよびグループについて、プロジェクトレベルのアクセス許可を編集できます。 |
テスト結果を発行します |
PUBLISH_TEST_RESULTS |
このアクセス許可を持つユーザーは、チーム プロジェクト ポータルにテスト結果を追加したり、これらのテスト結果を削除したり、テストの実行を追加または削除したりできます。 |
プロジェクトレベル情報を表示します |
GENERIC_READ |
このアクセス許可を持つユーザーは、プロジェクトレベルのグループのメンバシップ、およびそれらのプロジェクト ユーザーのアクセス許可を参照できます。 |
ビルドレベルのアクセス許可
ビルド レベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。これらのアクセス許可を設定するには、チーム エクスプローラでプロジェクトを右クリックし、[チーム プロジェクトの設定] をクリックして、[セキュリティ] をクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ユーティリティを使用して設定できます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
ビルドを管理します |
ADMINISTER_BUILD |
このアクセス許可を持つユーザーは、完了したビルドを削除したり、進行中の現在のビルドを中止したりできます。 |
ビルドの品質を編集します |
EDIT_BUILD_STATUS |
このアクセス許可を持つユーザーは、Team Foundation ビルドのユーザー インターフェイスを通じて、ビルドの品質に関する情報を追加できます。この情報は、Team Foundation ビルドのデータベース ストアに格納されます。 |
ビルドを開始します |
START_BUILD |
このアクセス許可を持つユーザーは、Team Foundation ビルドのインターフェイス、またはコマンド ラインから、ビルドを開始できます。このアクセス許可は、ビルドを無期限に保持されるように構成するためにも必要です。 |
ビルド操作ストアに書き込みます |
UPDATE_BUILD |
Team Foundation ビルドのデータベース ストアを更新できるように、ビルド サービスを実行するアカウントに対して、このアクセス許可を与える必要があります。このアクセス許可は、サービス アカウントに対してのみ割り当てます。個々のユーザーには割り当てません。 |
作業項目トラッキングの区分レベルのアクセス許可
区分レベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。これらのアクセス許可を設定するには、チーム エクスプローラでプロジェクトを右クリックし、[区分およびイテレーション] をクリックして、[区分] タブの [セキュリティ] をクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ユーティリティを使用して設定できます。
| メモ : |
|---|
作業項目トラッキングの操作には、複数のアクセス許可が必要なものもあります。たとえば、ノードの削除には複数のアクセス許可が必要です。 |
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
子ノードを作成し、順序を付けます |
CREATE_CHILDREN |
このアクセス許可を持つユーザーは、新しい区分ノードを作成できます。このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、子区分ノードを移動したり並べ替えたりできます。 |
このノードを削除します |
Del キー |
このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、区分ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。削除された親ノードの子ノードも削除されます。 |
このノードを編集します |
GENERIC_WRITE |
このアクセス許可を持つユーザーは、区分ノードの名前を変更できます。 |
このノードの作業項目を編集します |
WORK_ITEM_WRITE |
このアクセス許可を持つユーザーは、この区分ノード内の作業項目を編集できます。 |
このノードを表示します |
GENERIC_READ |
このアクセス許可を持つユーザーには、このノードのセキュリティ設定を参照するためのアクセスが付与されます。 |
このノードの作業項目を表示します |
WORK_ITEM_READ |
このアクセス許可を持つユーザーは、この区分ノード内の作業項目を参照できますが、編集または変更はできません。 |
作業項目トラッキングのイテレーションレベルのアクセス許可
イテレーションレベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。これらのアクセス許可を設定するには、チーム エクスプローラでプロジェクトを右クリックし、[区分およびイテレーション] をクリックして、[イテレーション] タブの [セキュリティ] をクリックします。また、これらのアクセス許可は、TFSSecurity コマンド ライン ユーティリティを使用して設定できます。
| メモ : |
|---|
作業項目トラッキングの操作には、複数のアクセス許可が必要なものもあります。たとえば、ノードの削除には複数のアクセス許可が必要です。 |
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
子ノードを作成し、順序を付けます |
CREATE_CHILDREN |
このアクセス許可を持つユーザーは、新しいイテレーション ノードを作成できます。このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードを移動したり並べ替えたりできます。 |
このノードを削除します |
Del キー |
このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。削除された親ノードの子ノードも削除されます。 |
このノードを編集します |
GENERIC_WRITE |
このアクセス許可を持つユーザーは、イテレーション ノードの名前を変更できます。 |
このノードを表示します |
GENERIC_READ |
このアクセス許可を持つユーザーには、このノードのセキュリティ設定を参照するためのアクセスが付与されます。 |
ソース管理のアクセス許可
ソース管理のアクセス許可は、ソース コード ファイルおよびフォルダに固有です。これらのアクセス許可を設定するには、ソース管理エクスプローラでフォルダまたはファイルを右クリックし、[プロパティ] をクリックします。次に、[セキュリティ] タブで、アクセス許可を変更するユーザーまたはグループを選択し、[アクセス許可] に一覧表示されたアクセス許可を編集します。これらのアクセス許可は、ソース管理のための tf コマンド ライン ユーティリティを使用して設定できます。
アクセス許可名 |
コマンド ラインにおける名前 |
説明 |
|---|---|---|
読み取り |
tf: Read |
このアクセス許可を持つユーザーは、ファイルまたはフォルダの内容を参照できます。フォルダに対して [読み取り] のアクセス許可を持つユーザーは、フォルダ内のファイルを開くためのアクセス許可を持っていなくても、そのフォルダの内容と、フォルダに含まれているファイルのプロパティを確認できます。 |
チェックアウト |
tf: PendChange |
このアクセス許可を持つユーザーは、フォルダ内の項目に対する保留中の変更をチェックアウトおよび作成できます。保留中の変更には、ファイルの追加、名前の変更、削除、削除取り消し、分岐、マージなどが含まれます。 |
チェックイン |
tf: Checkin |
このアクセス許可を持つユーザーは、項目をチェックインしたり、コミットされた変更セットのコメントを変更したりできます。保留中の変更は、チェックイン時にコミットされます。 |
ラベル |
tf: Label |
このアクセス許可を持つユーザーは、項目にラベルを付けることができます。 |
ロック |
tf: Lock |
このアクセス許可を持つユーザーは、フォルダまたはファイルをロックしたり、ロックを解除したりできます。 |
他のユーザーの変更を編集 |
tf: ReviseOther |
このアクセス許可を持つユーザーは、他のユーザーがファイルをチェックインした場合でも、チェックインされたファイルのコメントを編集できます。 |
他のユーザーの変更のロック解除 |
tf: UnlockOther |
このアクセス許可を持つユーザーは、他のユーザーがロックしたファイルのロックを解除できます。 |
他のユーザーの変更を元に戻す |
tf: UndoOther |
このアクセス許可を持つユーザーは、他のユーザーが行った保留中の変更を元に戻すことができます。 |
ラベルの管理 |
tf: LabelOther |
このアクセス許可を持つユーザーは、他のユーザーが作成したラベルを編集または削除できます。 |
セキュリティ設定の操作 |
tf: AdminProjRights |
このアクセス許可を持つユーザーは、これらのファイルおよびフォルダにアクセス許可を設定できます。 |
別のユーザーの変更をチェックインする |
tf: CheckinOther |
このアクセス許可を持つユーザーは、他のユーザーが行った変更をチェックインできます。保留中の変更は、チェックイン時にコミットされます。 |
参照
処理手順
方法 : Team Foundation Server の管理者アクセス許可を設定する
方法 : Team Foundation Server のプロジェクト リーダー アクセス許可を設定する
方法 : Team Foundation Server の貢献者のアクセス許可を設定する
方法 : Team Foundation Server の読み取りユーザーのアクセス許可を設定する
概念
Team Foundation Server の既定のグループ、アクセス許可、およびロール
その他の技術情報
TFSSecurity コマンド ライン ユーティリティのコマンド