初期のグループ、メンバー、およびアクセス許可の構成

2011-08-09

グループおよびアクセス許可のプラグインファイルを使用すると、チームプロジェクトの初期のセキュリティ設定を構成できます。具体的には、セキュリティグループを作成するタスク、グループを入れ子にするタスク、グループにメンバーを割り当てるタスク、および各グループに特定のアクセス許可を許可または拒否するタスクを定義します。これらのタスクを実行することに加え、コレクションレベル、プロジェクトレベル、プロジェクト分類、およびイベントサブスクリプションの各領域の最初のセキュリティ設定を指定できます。

MSF (Microsoft Solutions Framework) 用のプロセステンプレートによって、いくつかのアクセス許可が既定のグループに割り当てられます。グループおよびアクセス許可のプラグインファイルをカスタマイズすることで、これらの割り当てを変更できます。このプラグインの詳細については、「グループとアクセス許可のプラグイン」を参照してください。

このトピックの内容

group 要素、member 要素、およびグループの permission 要素を使用したグループの定義とアクセス許可の割り当て
グループマクロと Team Foundation Server で定義されている既定のグループ
グループの入れ子とグループへのメンバーの割り当ての例
コレクションレベルのアクセス許可の割り当て
プロジェクトレベルのアクセス許可の割り当て
区分パスを制御するためのアクセス許可の割り当て
イテレーションパスを制御するためのアクセス許可の割り当て
イベントサブスクリプションを管理するためのアクセス許可の割り当て

Team Foundation ビルド、Team Foundation バージョン管理、Visual Studio Lab Management など、チームプロジェクトの機能領域の初期のセキュリティ設定を構成する方法については、「機能領域へのアクセスの制御」を参照してください。

作業項目の種類をカスタマイズしてグループまたはユーザーにアクセスを許可または拒否する方法については、「作業項目を作成または変更するためのアクセス許可の管理」を参照してください。

ユーザーおよびグループを管理して Visual Studio アプリケーションライフサイクル管理 (ALM) へのアクセスを制御する方法の詳細については、「ユーザー、グループ、およびアクセス許可の構成」を参照してください。

group 要素、member 要素、およびグループの permission 要素を使用したグループの定義とセキュリティ保護

Team Foundation Server の新しいセキュリティグループを指定し、そのグループにメンバーを追加するには、group 要素と member 要素を使用します。グループおよびそのグループのメンバーにアクセス許可を割り当てるには、グループの permission 要素を使用します。これらの各要素は、対応するコンテナー要素である groups、members、および permissions の各要素内にカプセル化する必要があります。これらの各要素には、次の構文構造を使用します。

<group name="Group Name" description="Description of Group"></group>
<member name="MemberName"></member>
<permission name="PermissionName" class="ClassName " allow="True | False"/>

group 要素、member 要素、およびグループの permission 要素の属性を次の表に示します。これらの要素は、グループおよびアクセス許可プラグインファイルでのみ使用します。

要素	属性	説明
group	name	作成するグループの名前を指定します。
	description	他のユーザー向けにグループの目的を記述します。
member	name	別のグループのメンバーとして追加するグループの名前を指定します。グループを作成し、次のいずれかの種類のメンバーを事前設定できます。 Team Foundation Server で定義されている既定のグループ。 groupsandpermissions.xml ファイルで既に作成したプロジェクトグループ (例: [$$PROJECTNAME$$]\Contributors)。 Active Directory で定義されているグループおよびユーザー。次の形式で指定します。 DOMAIN\USERNAME DOMAIN\GROUPNAME 既定のグループを指定するときに使用する形式については、この後の「Team Foundation Server で定義されている既定のグループ」を参照してください。
permission	name	適用するアクセス許可を示します。サポートされているアクセス許可の一覧については、このトピックの以下のセクションを参照してください。コレクションレベルのアクセス許可の割り当てプロジェクトレベルのアクセス許可の割り当て区分レベルおよびイテレーションレベルを制御するためのアクセス許可の割り当て
	class	グループのアクセス許可を付与するクラス (区分) を示します。有効な値は、次のとおりです。 NAMESPACE: コレクションレベルのアクセス許可を指定します。 PROJECT: プロジェクトレベルのアクセス許可を指定します。 CSS_NODE: チームプロジェクトの区分パスを表示および管理するためのアクセス許可を指定します。 ITERATION_NODE: チームプロジェクトのイテレーションパスを表示および管理するためのアクセス許可を指定します。 EVENT_SUBSCRIPTION: チームプロジェクトの通知設定の表示と変更、および通知のサブスクライブとサブスクライブ解除の設定を行うためのアクセス許可を指定します。
	allow	true と false のいずれかの値を使用して、アクセス許可を許可するか拒否するかを示します。
	path	アクセス許可を適用する区分パスまたはイテレーションパスのノードを示します。この属性は、class が CSS_NODE または ITERATION_NODE に設定されている場合のみ有効です。

グループマクロと Team Foundation Server で定義されている既定のグループ

Team Foundation Server で定義されている既定のグループを指定するために使用できるマクロを次の表に示します。

注意

この表に示すマクロは、グループおよびアクセス許可のプラグインでのみ指定できます。ビルド、バージョンコントロール、またはラボ管理のプラグインを使用してアクセス許可を割り当てるときにこれらのマクロを指定することはできません。

既定のグループ	マクロ
プロジェクトコレクション管理者	[SERVER]\$$PROJECTCOLLECTIONADMINGROUP$$ [SERVER]\$$TEAMFOUNDATIONADMINGROUP$$
プロジェクトコレクションサービスアカウント	[SERVER]\$$PROJECTCOLLECTIONSERVICESGROUP$$
プロジェクトコレクションビルドサービスアカウント	[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$
プロジェクトコレクションビルド管理者	[SERVER]\$$PROJECTCOLLECTIONBUILDADMINSGROUP$$
プロジェクト管理者	$$PROJECTADMINGROUP$$ [$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$

グループの入れ子とグループへのメンバーの割り当ての例

TestGroup1、TestGroup2、および TestGroup3 という名前のグループを構成する方法を次の例に示します。この例では、TestGroup1 を TestGroup2 のメンバーとして追加します。このコードを有効にするには、TestGroup2 を定義する前に TestGroup1 を定義する必要があります。

<task id="GroupCreation1" 
    <taskXml>
      <groups>
        <group name="TestGroup1" description="Test group 1.  Contains no members out of the box.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
        </group>
        <group name="TestGroup2" description="Test group 2.  Contains TestGroup1 and Project Administrators.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="TestGroup1" />
            <member name="$$PROJECTADMINGROUP$$" />
          </members>
        </group>
        <group name="TestGroup3" description="Test group 3. Contains DOMAIN\USER, DOMAIN\GROUP, Project Administrators, and Project Collection Build Service Accounts.">
          <permissions>
            <permission name="GENERIC_READ" class="PROJECT" allow="true" />
          </permissions>
          <members>
            <member name="DOMAIN\USER" />
            <member name="DOMAIN\GROUP" />
            <member name="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
            <member name="[SERVER]\$$PROJECTCOLLECTIONBUILDSERVICESGROUP$$" />
          </members>
        </group>
      </groups>
    </taskXml>
</task>

コレクションレベルのアクセス許可の割り当て

コレクションレベルのアクセス許可を割り当てるには、グループの permission 要素と NAMESPACE クラスを使用します。これらのアクセス許可では、チームプロジェクト全体で使用できるリソースに対するアクセスを制御します。コレクションレベルのアクセス許可は、次のカテゴリのユーザーに対してのみ設定できます。

プロジェクトコレクション管理者などのコレクションレベルのユーザーおよびグループ
Team Foundation を実行するサーバーでコレクションレベルに追加されたプロジェクトレベルのグループ
コレクションレベルに作成および追加されたカスタムグループ

グループを指定するときに使用する形式については、このトピックで既に説明した「Team Foundation Server で定義されている既定のグループ」を参照してください。

注意

これらのアクセス許可は、チームエクスプローラーでサーバーを右クリックし、[セキュリティ] をクリックして設定できます。また、Team Foundation の管理コンソールを開いて使用するか、コマンドラインツールの TFSSecurity および tf を使用して設定することもできます。詳細については、「コレクションレベルグループ」、「TFSSecurity を使用したグループとアクセス許可の変更」、および「Permission コマンド」を参照してください。

チームプロジェクトのプロジェクト管理者にコレクションレベルのアクセス許可を付与する方法を次の例に示します。

<group name="PROJECTADMINGROUP" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
       <permission name="GENERIC_READ" class=" NAMESPACE " allow="true" />
       <permission name="WORK_ITEM_WRITE" class=" NAMESPACE " allow="true" />
       <permission name="MANAGE_LINK_TYPES" class=" NAMESPACE " allow="true" />
       <permission name="MANAGE_TEMPLATE" class=" NAMESPACE " allow="true" />
       <permission name="MANAGE_TEST_CONTROLLERS" class=" NAMESPACE " allow="true" />
    </permissions>
</group>

割り当てることができるコレクションレベルのアクセス許可を次の表に示します。

注意

既定では、コレクションレベルのアクセス許可は MSF プロセステンプレートで割り当てられません。

アクセス許可	説明
DIAGNOSTIC_TRACE	[トレース設定の変更]。 Team Foundation Server の Web サービスに関するより詳細な診断情報を収集するためのトレースの設定を変更できます。
CREATE_PROJECTS	[新しいプロジェクトの作成]。チームプロジェクトコレクションでプロジェクトを作成できます。
GENERIC_WRITE	[コレクションレベル情報の編集]。チームプロジェクトコレクションのユーザーおよびグループに対するコレクションレベルのアクセス許可を編集できます。このアクセス許可を持つユーザーは、次のタスクを実行できます。 Team Foundation Server のコレクションでのコレクションレベルのアプリケーショングループの追加、削除、または名前変更。メモプロジェクトコレクション管理者など、既定のコレクションレベルグループは削除できません。 Windows ユーザーのユーザーとグループ、または Team Foundation Server の別のアプリケーショングループの追加や削除 (サーバーレベル)。ユーザーおよびグループに対するコレクションレベルのアクセス許可の変更。さらに、このアクセス許可を持つユーザーは、バージョンコントロールのアクセス許可を変更することができ、バージョンコントロールのすべてのファイルに対する書き込みアクセスを持ちます。ただし、他のアクセス許可によってそれらのアクセスが明示的に拒否されている場合は除きます。
MANAGE_TEMPLATE	[プロセステンプレートの管理]。チームプロジェクトコレクションのプロセステンプレートをダウンロード、作成、編集、およびアップロードできます。
MANAGE_TEST_CONTROLLERS	[テストコントローラーの管理]。チームプロジェクトコレクションのテストコントローラーを登録および登録解除できます。
MANAGE_LINK_TYPES	[作業項目リンクの種類の管理]。作業項目のリンクの種類を追加、削除、および変更できます。
GENERIC_READ	[コレクションレベル情報の表示]。コレクションレベルのグループのメンバーシップ、およびそれらのユーザーのアクセス許可を参照できます。

プロジェクトレベルのアクセス許可の割り当て

プロジェクトレベルのアクセス許可は、グループおよびアクセス許可プラグインファイルで割り当てることができます。これらのアクセス許可を割り当てるには、グループの permission 要素と PROJECT クラスを使用します。これらのアクセス許可では、1 つのプロジェクトのリソースに対するアクセスを制御します。 Windows のユーザーおよびグループ、Team Foundation のグループ、グループおよびアクセス許可プラグインファイルで既に定義したグループにアクセスを許可できます。グループを指定するときに使用する形式については、このトピックで既に説明した「Team Foundation Server で定義されている既定のグループ」を参照してください。

注意

チームプロジェクトの作成後にチームエクスプローラーでこれらのアクセス許可を設定するには、プロジェクトを右クリックして [チームプロジェクトの設定] をクリックし、[セキュリティ] をクリックします。また、これらのアクセス許可は、TFSSecurity コマンドラインツールを使用して設定することもできます。詳細については、「アクセス許可の管理」を参照してください。

チームプロジェクトの貢献者グループにいくつかのアクセス許可を付与する方法を次の例に示します。

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="PROJECT" allow="true" />
      <permission name="DELETE_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="PUBLISH_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="VIEW_TEST_RESULTS" class="PROJECT" allow="true" />
       <permission name="MANAGE_TEST_ENVIRONMENTS" class="PROJECT" allow="true" />
      <permission name="MANAGE_TEST_CONFIGURATIONS" class="PROJECT" allow="true" />
   </permissions>
</group>

割り当てることができるプロジェクトレベルのアクセス許可と、MSF プロセステンプレートで行われる既定の割り当てを次の表に示します。

アクセス許可	説明	読み取りユーザー	貢献者	ビルダー
GENERIC_READ	[プロジェクトレベル情報を表示します]。プロジェクトレベルのグループのメンバーシップ、およびそれらのメンバーのアクセス許可を参照できます。
VIEW_TEST_RESULTS	[テストの実行を表示する]。このノードのテスト計画を参照できます。
MANAGE_TEST_CONFIGURATIONS	[テスト構成の管理]。チームプロジェクトのテスト構成を作成および削除できます。
MANAGE_TEST_ENVIRONMENTS	[テスト環境の管理]。チームプロジェクトのテスト環境を作成および削除できます。
PUBLISH_TEST_RESULTS	[テストの実行を作成します]。テスト結果を追加および削除したり、チームプロジェクトのテストの実行を追加または変更したりできます。
DELETE_TEST_RESULTS	[テストの実行を削除します]。チームプロジェクトのスケジュールされたテストを削除できます。
DELETE	[チームプロジェクトを削除します]。このアクセス許可の対象のプロジェクトを Team Foundation Server から削除できます。
GENERIC_WRITE	[プロジェクトレベル情報を編集します]。 Team Foundation Server のユーザーおよびグループに対するプロジェクトレベルのアクセス許可を編集できます。

区分パスを制御するためのアクセス許可の割り当て

区分の定義に対するアクセスを制御するアクセス許可を割り当てるには、グループの permission 要素と CSS_NODE クラスを使用します。これらのアクセス許可では、1 つのプロジェクトの分類構造に対するアクセスを制御します。 Windows のユーザーおよびグループ、Team Foundation のグループ、グループおよびアクセス許可プラグインファイルで既に定義したグループにアクセスを許可できます。グループを指定するときに使用する形式については、このトピックで既に説明した「Team Foundation Server で定義されている既定のグループ」を参照してください。

注意

チームプロジェクトの作成後にチームエクスプローラーでこれらのアクセス許可を設定するには、プロジェクトを右クリックして [区分およびイテレーション] をクリックし、[区分] タブをクリックして [セキュリティ] をクリックします。階層内のさまざまなレベルのノードに対するアクセス許可を割り当てることができます。また、これらのアクセス許可は、TFSSecurity コマンドラインツールを使用して設定することもできます。詳細については、「アクセス許可の管理」を参照してください。

チームプロジェクトの貢献者グループにいくつかのアクセス許可を付与する方法を次の例に示します。

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_READ" class="CSS_NODE" allow="true" />
      <permission name="WORK_ITEM_WRITE" class="CSS_NODE" allow="true" />
      <permission name="MANAGE_TEST_PLANS" class="CSS_NODE" allow="true" />
   </permissions>
</group>

プロジェクトの区分ノードとイテレーションノードの階層構造に対するアクセスを制御するために割り当てることができるアクセス許可を次の表に示します。また、MSF プロセステンプレートで行われる既定の割り当ても示します。

注意

作業項目を追跡するための操作には、複数のアクセス許可が必要なものもあります。たとえば、ノードの削除には複数のアクセス許可が必要です。

アクセス許可	説明	読み取りユーザー	貢献者	ビルダー
GENERIC_READ	[このノードを表示します]。区分ノードのセキュリティ設定を参照できます。
WORK_ITEM_READ	[このノードの作業項目を表示します]。区分ノードに割り当てられている作業項目を参照できます。ただし、変更はできません。
WORK_ITEM_WRITE	[このノードの作業項目を編集します]。区分ノードに割り当てられている作業項目を編集できます。
MANAGE_TEST_PLANS	[テスト計画の管理]。区分ノードに割り当てられる作業項目を作成および編集できます。テスト計画が実行されていない場合は、削除することもできます。
CREATE_CHILDREN	[子ノードを作成し、順序を付けます]。区分ノードを作成できます。このアクセス許可と GENERIC_WRITE アクセス許可の両方を持つユーザーは、子区分ノードを移動したり並べ替えたりできます。
DELETE	[このノードを削除します]。区分ノードを削除できます。このアクセス許可と、別のノードに対する GENERIC_WRITE アクセス許可の両方を持つユーザーは、区分ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。削除されたノードに子ノードがある場合、それらのノードも削除されます。
GENERIC_WRITE	[このノードを編集します]。区分ノードのアクセス許可を設定したり、区分ノードの名前を変更したりできます。

イテレーションパスを制御するためのアクセス許可の割り当て

イテレーションパスに対するアクセスを制御するアクセス許可を割り当てるには、グループの permission 要素と ITERATION_NODE クラスを使用します。これらのアクセス許可では、1 つのプロジェクトのマイルストーンリリース (イテレーション) に対するアクセスを制御します。 Windows のユーザーおよびグループ、Team Foundation のグループ、グループおよびアクセス許可プラグインファイルで既に定義したグループにアクセスを許可できます。グループを指定するときに使用する形式については、このトピックで既に説明した「Team Foundation Server で定義されている既定のグループ」を参照してください。

注意

チームプロジェクトの作成後にチームエクスプローラーでこれらのアクセス許可を設定するには、プロジェクトを右クリックして [区分およびイテレーション] をクリックし、[イテレーション] タブをクリックして [セキュリティ] をクリックします。階層内のさまざまなレベルのノードに対するアクセス許可を割り当てることができます。また、これらのアクセス許可は、TFSSecurity コマンドラインツールを使用して設定することもできます。詳細については、「アクセス許可の管理」を参照してください。

チームプロジェクトの貢献者グループにいくつかのアクセス許可を付与する方法を次の例に示します。

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
      <permission name="GENERIC_READ" class="ITERATION_NODE" allow="true" />
      <permission name="GENERIC_WRITE" class=" ITERATION _NODE" allow="true" />
      <permission name=" CREATE_CHILDREN " class=" ITERATION _NODE" allow="true" />
</group>

プロジェクトのイテレーションノードの階層構造に対するアクセスを制御するために割り当てることができるアクセス許可を次の表に示します。 MSF プロセステンプレートでは ITERATION_NODE アクセス許可は指定されないため、すべてのチームメンバーがイテレーションノードを作成、表示、および削除できます。

注意

作業項目を追跡するための操作には、複数のアクセス許可が必要なものもあります。たとえば、ノードの削除には複数のアクセス許可が必要です。

アクセス許可	説明
GENERIC_READ	[このノードを表示します]。ノードのセキュリティ設定を参照できます。
CREATE_CHILDREN	[子ノードを作成し、順序を付けます]。イテレーションノードを作成できます。このアクセス許可と GENERIC_WRITE アクセス許可の両方を持つユーザーは、イテレーションノードを移動したり並べ替えたりできます。
DELETE	[このノードを削除します]。イテレーションノードを削除できます。このアクセス許可と、別のノードに対する GENERIC_WRITE アクセス許可の両方を持つユーザーは、イテレーションノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。削除されたノードに子ノードがある場合、それらのノードも削除されます。
GENERIC_WRITE	[このノードを編集します]。イテレーションノードのアクセス許可を設定したり、ノードの名前を変更したりできます。

イベントサブスクリプションを管理するためのアクセス許可の割り当て

プロジェクト警告に対するアクセスを制御するアクセス許可を割り当てるには、グループの permission 要素と EVENT_SUBSCRIPTION クラスを使用します。これらのアクセス許可では、1 つのチームプロジェクトのイベントサービスに対するアクセスを制御します。 Windows のユーザーおよびグループ、Team Foundation のグループ、グループおよびアクセス許可プラグインファイルで既に定義したグループにアクセスを許可できます。グループを指定するときに使用する形式については、このトピックで既に説明した「Team Foundation Server で定義されている既定のグループ」を参照してください。

チームプロジェクトの貢献者グループにいくつかのアクセス許可を付与する方法を次の例に示します。

<group name="Contributors" description="Members of this group can add, modify, and delete items within the team project.">
   <permissions>
        <permission name="GENERIC_READ" class="EVENT_SUBSCRIPTION" allow="true" />
        <permission name="GENERIC_WRITE" class=" EVENT_SUBSCRIPTION" allow="true" />
        <permission name="UNSUBSCRIBE" class=" EVENT_SUBSCRIPTION" allow="true" />
   </permissions>
</group>

イベントサブスクリプションに対するアクセスを制御するために割り当てることができるアクセス許可を次の表に示します。

注意

既定では、イベントサブスクリプションのアクセス許可は MSF プロセステンプレートでは割り当てられません。すべてのチームメンバーが、プロジェクト警告の表示、サブスクライブ、およびサブスクライブ解除を行うことができます。

アクセス許可	説明
GENERIC_READ	通知を表示できます。
GENERIC_WRITE	通知の設定を変更できます。
UNSUBSCRIBE	通知を取り消しできます。