VSTS2010部署三：权限管理

VSTS因为集成了SharePoint和ReportService,所有权限的管理设计到三部分。而各部分的权限又是独立分开的。因此权限管理比较麻烦。

但TFS Admin Tool 提我们解决了大麻烦。

首先我们来了解一下各自的权限。

TFS默认的权限组：

     服务器级的组和权限：

• SERVER\Team Foundation Administrators   本组成员可以执行 Team Foundation Server 的所有操作。本组中需要对 Team Foundation Server 进行总体管理控制的用户的个数应限制为尽可能最少。默认情况下，本组包含服务器的“Local Administrators”组 (BUILTIN\Administrators) 和 SERVER\Service Accounts 组。

• SERVER\Team Foundation Valid Users   本组成员可以访问 Team Foundation Server。本组自动包含在 Team Foundation Server 内任意位置已添加的所有用户和组。您不能修改本组的成员资格。

  要点

  不要为本组取消设置或拒绝“查看服务器级别信息”权限。

• SERVER\Service Accounts   本组成员具有 Team Foundation Server 的服务级的权限。默认情况下，本组包含安装过程中提供的服务帐户。如果要向本组添加新帐户，必须使用 TFSSecurity 命令行工具。本组应只包含服务帐户，而不应包含用户帐户或组（除非该组只包含服务帐户）。默认情况下，本组是“Team Foundation Administrators”的成员。

    项目级和区域级的组和权限：

• Project Name\Project Administrators   本组成员不能创建新项目，但可以管理团队项目的所有方面。

• Project Name\Contributors   本组成员可以通过多种方式参与项目，如添加、修改和删除代码，创建和修改工作项等等。

• Project Name\Readers   本组成员可以查看项目，但不能对其进行修改。

• Project Name\Build Services   本组成员具有项目的生成服务权限。本组应只包含生成服务帐户，而不应包含用户帐户或组（除非该组只包含生成服务帐户）。  除以上项目级的帐户外，还有两个服务器级的帐户也将出现在每个 Team Foundation Server 项目中：

• SERVER\Team Foundation Administrators

• SERVER\Team Foundation Valid Users

我们可以自定义项目组，然后给他们分配相应的权限。这样可以对人员权限进行更细粒度的管理，但一般情况下使用默认权限组就可以了。

详细资料请参阅：http://msdn.microsoft.com/zh-cn/library/ms253077(v=VS.80).aspx

 

SharePoint权限组：

可以使用 SharePoint 产品 中的默认组来管理网站集和团队项目门户网站的用户权限。 还可以在网站或网站集级别创建具有特定权限的自定义组并向这些组分配用户。

默认的站点级权限组：

• 管理员（完全控制）    对站点（项目门户网站）具有完全控制的权限。

• Web 设计者（设计） 可以创建列表和文档库，并自定义网站上的网页。 若要让用户能够自定义团队项目门户网站，请将该用户添加到具有“设计”权限的组中。

• 参与者（参与）        可以向现有的文档库和列表中添加内容。 若要让用户能够向团队项目门户网站提供内容，请将该用户添加到具有“参与”权限的组中。

• 读者（阅读）          可以对网站进行只读访问。 若要让用户能够查看团队项目门户网站，请将该用户添加到具有“读取”权限的组中。

当然SharePoint的权限还包括很多内容，网站集权限，站点权限，文档库列表内容类型权限等，对SharePoint有兴趣的朋友可以深入了解一下。

更多详细的内容请您参阅：http://msdn.microsoft.com/zh-cn/library/ms252445.aspx

 

ReportService权限组：

默认角色：

• 内容管理员角色    内容管理员可部署报表、管理报表模型和数据源连接，并制定有 关如何使用报表的决策。默认情况下，“内容管理员”角色定义将选中所有项级任务。“内容管理员”角色通常与“系统管理员”角色一起使用。这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。虽然“内容管理员”角色提供对报表、报表模型、文件夹及文件夹层次结构中其他项的完全访问权限，但它不提供对站点级项或操作的访问权限。详细信息请参见：http://msdn.microsoft.com/zh-cn/library/ms159693(v=SQL.90).aspx

• 报表生成器角色  读取报表定义。运行报表和查看报表属性。查看资源和资源属性。查看文件夹内容以及在文件夹层次结构中导航。在文件夹层次结构中查看模型，将模型用作报表的数据源，以及对模型运行查询以检索数据。创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅，以及创建支持这些订阅的计划。详细信息请参阅：http://msdn.microsoft.com/zh-cn/library/ms157257(v=SQL.90).aspx

• 发布服务器角色       发布者”角色是一种内置的角色定义，包含用户向报表服务器添加内容时所需的任务。此角色适用于在报表设计器或模型设计器中制作报表或模型，然后将这些项发布到报表服务器。有关发布服务器角色的更多内容，请参阅：http://msdn.microsoft.com/zh-cn/library/ms156036(v=SQL.90).aspx。

• 浏览者角色       对于需要查看报表但不需要创建或管理报表的用户，该角色包含了此类用户所需的任务。运行报表和查看报表属性。查看资源和资源属性。查看文件夹内容以及在文件夹层次结构中导航。在文件夹层次结构中查看模型，将模型用作报表的数据源，以及对模型运行查询以检索数据。创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅，以及创建支持这些订阅的计划。有关浏览者角色的更多内容，请参阅：http://msdn.microsoft.com/zh-cn/library/ms159864(v=SQL.90).aspx

• 我的报表角色    我的报表”角色是一个预定义角色，其中包括的一组任务对用户使用“我的报表”功能十分有用。利用此角色定义包括的任务，可以向用户授予对其所拥有的“我的报表”文件夹的管理权限。虽然您可以选择其他角色来使用“我的报表”功能，但建议您专门通过一个角色来使用该功能，以保证“我的报表”的安全性。有关详细信息，请参阅http://msdn.microsoft.com/zh-cn/library/ms156338(v=SQL.90).aspx

• 系统管理员角色     是一种预定义角色。对于对报表服务器全面负责、但不必对其中的内容全面负责的报表服务器管理员来说，该角色中所包含的任务非常有用。

  “系统管理员”角色不提供本地管理员可能拥有的对计算机的全部权限。确切地说，“系统管理员”角色包含了在站点级而非项级所执行的操作。如果用户既需要访问整个站点的操作，又需要访问存储在报表服务器上的项，则需要在主文件夹上再创建一个包含“内容管理员”角色的角色分配。这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。  有关详细信息，请参阅http://msdn.microsoft.com/zh-cn/library/ms156470(v=SQL.90).aspx

• 系统用户角色    “系统用户”角色是一种预定义角色，该角色包含的任务允许用户查看有关报表服务器的基本信息。该角色还支持在报表生成器中加载报表。

  执行报表定义：开始执行报表定义，而不将定义发布到报表服务器。查看报表服务器属性：查看应用于报表服务器的属性，如应用程序名称，是否启用“我的报表”功能以及报表历史记录默认值。查看用于运行报表或刷新报表的共享计划。有关详细信息，请参阅http://msdn.microsoft.com/zh-cn/library/ms155949(v=SQL.90).aspx

•  

   

  TFS Admin Tool 让我们能对项目的三类权限同时设置，界面友好直观，只要对基本的权限了解了，一看就会。下载地址：http://tfsadmin.codeplex.com/

   

  写得这些文章也许对大家的帮助不是很多，很多内容MSDN上很全面，但写出来至少自己在真正做点事，总结点东西了。希望能跟大家多交流学习。