如果我理解正确的话,TFS中有三个级别的成员组- SERVER, COLLECTION和PROJECT,每个级别都有不同的安全设置。
没有CAL的用户可能必须直接或间接地是SERVER级组的成员,该组的权限"使用完整的Web访问功能"设置为拒绝,例如内置组"[TEAM FOUNDATION]工作项仅查看用户"。然而,
- 项目管理员无法编辑SERVER级别的成员组和
- SERVER级别组不能包含PROJECT或COLLECTION水平组。
那么一个PROJECT管理员怎么可能给一个用户这种有限的访问权限呢?我发现的示例场景都表明,SERVER管理员必须首先将用户添加到具有正确权限集的SERVER组,然后项目管理员必须将同一用户添加到PROJECT contributor组,即用户必须由两个不同的人添加两次。
具有讽刺意味的是,项目管理员可以通过简单地将用户添加到贡献者组中来授予用户对项目的完全访问权限。这似乎是完全错误的。当然,PROJECT管理员应该可以直接授予有限的访问权限,只有在验证了新用户具有有效的CAL后,才由SERVER管理员授予完全访问权限。
如果有人知道我如何能给一个项目管理员的能力,只授予工作项访问一个项目,而不需要服务器管理员做任何事情,请让我知道。
访问级别是在实例级别设置的,请到http://[yourserver]:8080/tfs/_admin/_licenses URL查看。
它控制可用的TFS功能(比如菜单选项),而不是一个可以访问的对象。两个用户可能对一个工作项具有相同的权限,但是其中一个能够在Agile Portfolio Management中进行管理,而另一个则不能。