Планирование групп, категорий и СДРес в Project Server 2010
Применимо к: Project Server 2010
Последнее изменение раздела: 2017-01-20
Система безопасности Microsoft Project Server 2010 основана на пользователях, группах и категориях. Эта статья посвящена планированию групп и категорий в развертывании Project Server.
Содержание:
Разрешения
Группы
Категории
Шаблоны безопасности
Структура декомпозиции ресурсов
В эту статью включен ряд демонстрационных видеороликов, в которых подробно описываются понятия, связанные с разрешениями, группами, категориями и структурой декомпозиции ресурсов. Ссылки на видеоролики приведены в соответствующих разделах. Рекомендуется просматривать видеоролики в том порядке, в котором они приведены в статье, поскольку каждый из них построен на основе понятий, рассматриваемых в предыдущих видеороликах.
Примечание
Для создания видеороликов использовался продукт Microsoft Office Project Server 2007. Несмотря на то, что в Project Server 2010 реализован ряд изменений, основные функциональные возможности системы безопасности Project Server не изменились.
Разрешения
В этой видеодемонстрации показывается использование разрешений.
.jpg "Снимок экрана видео")
Просмотрите видео (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=168549\&clcid=0x419) (Возможно, на английском языке). Чтобы загрузить этот видеофайл, щелкните ссылку правой кнопкой мыши, а затем выберите пункт Сохранить объект как.
Разрешение — это право выполнять определенное действие в контексте Project Server. Можно Разрешать, Запрещать или не настраивать разрешения в Project Server. Например, разрешение Изменить пароль можно разрешить или запретить для любого пользователя или группы. В Project Server есть два типа разрешений.
Глобальные разрешения дают пользователям возможность выполнять действия во всем экземпляре Microsoft Project Web App (PWA). Глобальные разрешения назначаются на уровне пользователей или групп.
Разрешения категорий дают пользователям возможность выполнять действия над определенными проектами и ресурсами. Разрешения категорий назначаются на уровне категорий.
Разрешения можно настроить с помощью различных меню администрирования Project Server 2010. Можно разрешить или запретить разрешения, установив флажки в столбцах Разрешить и Отказать. Если флажки Разрешить и Отказать не установлены, по умолчанию применяется состояние "Не разрешено". Состояние "Не разрешено" не запрещает пользователям доступ к возможностям, если им предоставлено такое разрешение иным способом. Например, пользователь может принадлежать группе, для которой разрешение не настроено ("Не разрешено"), но он может получить такое разрешение, являясь участником группы, для которой это разрешение включено. Однако если где-либо в доступе отказано в явном виде, разрешение конкретному пользователю или группе не предоставляется нигде.
Все разрешения Project Server 2010 можно настроить на странице параметров сервера Project Web App. Разрешения можно настроить следующим образом.
Разрешено. Разрешает пользователям или участникам группы выполнять действия, связанные с данным разрешением.
Отказать. Запрещает пользователям или группам выполнять действия, связанные с данным разрешением. Будьте внимательны при включении отказа в разрешениях. Обратите внимание, что, если пользователю отказано в определенном разрешении, параметр отказа отменяет любые параметры "Отказать", которые могли быть применены к другим группам, к которым принадлежит пользователь. Никакие разрешения не имеют настройку по умолчанию "Отказать".
Не разрешено. Если для разрешения не установлен ни параметр Разрешить, ни параметр Отказать, разрешение принимает состояние по умолчанию "Не разрешено". Если пользователь принадлежит нескольким группам, и для одной группы разрешение имеет состояние "Не разрешено", а для другой — Разрешить (но не Отказать), в этом случае, пользователь может выполнять действия, связанные с данным разрешением.
Важно внимательно рассмотреть назначение для разрешения параметра Отказать, так как параметр Отказать отменяет все параметры Разрешить, которые применяются к пользователю для этого разрешения в связи с участием в других группах. Ограничение использования параметра Отказать может упростить управление разрешениями для больших групп пользователей.
Примечание
Параметр Запретить позволяет отказать в доступе к функциональным возможностям, так как он отменяет параметр Разрешить. В связи с этим будьте внимательны при установке флажка Запретить. Установите флажок Запретить, чтобы запретить внешним пользователям доступ к объектам безопасности Project Server в организации или отказать пользователям или группам в доступе к функциональным возможностям.
Для организаций с большим числом пользователей назначение разрешений и их администрирование на индивидуальном уровне может оказаться невыполнимой задачей. Чтобы назначить разрешения нескольким пользователям с помощью одного действия, можно использовать группы. Создайте группы и определите набор разрешений, связанных с группой, в качестве части начального процесса планирования развертывания Project Server 2010 до назначения пользователей группам и групп — категориям. После определения групп, связанных с группами разрешений и членства в группах повседневное администрирование пользователей, групп и категорий включает добавление в группы безопасности или удаление из них пользователей. Это помогает снизить объем повседневных требований административных задач и упрощает устранение неполадок.
Примечание
Полный список глобальных разрешений Project Web App см. в статье Project Server 2010 global permissions, список разрешений категорий см. в статье Project Server 2010 category permissions.
Группы
В этой видеодемонстрации показывается использование групп.
.jpg "Снимок экрана видео")
Просмотрите видео (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=168587\&clcid=0x419) (Возможно, на английском языке). Чтобы загрузить этот видеофайл, щелкните ссылку правой кнопкой мыши, а затем выберите пункт Сохранить объект как.
Группы содержат наборы пользователей со схожими функциональными потребностями. Например, каждому менеджеру проекта в определенном отделе организации требуется один набор разрешений Project Server, а у глав отделов и менеджеров ресурсов могут быть другие потребности.
Определите группы с учетом общих потребностей на основе областей (объектов) Project Server 2010, к которым требуется доступ пользователям в организации. После определения групп к ним можно добавлять пользователей и предоставлять разрешения; разрешения, назначенные группам, применяются ко всем пользователям в данной группе. Использование групп для управления разрешениями Project Server 2010 упрощает администрирование системы безопасности в Project Server. Членство в группах может меняться часто, однако требования к доступу для групп меняются редко.
Примечание
В группах могут состоять только пользователи. Группы не могут содержать другие группы.
Пользователи могут принадлежать нескольким группам в соответствии с их ролями в организации и их требованиями к доступу. Следующие группы создаются по умолчанию во время установки Project Server 2010, каждой из которых назначается набор предварительно определенных категорий и разрешений.
| Группа | Описание |
|---|---|
Администраторы |
Пользователи обладают всеми глобальными разрешениями и разрешениями категорий благодаря категории "Моя организация". Это позволяет им получать доступ ко всем ресурсам Project Server. |
Руководители |
Пользователи обладают разрешениями для просмотра данных проекта и Project Server. Эта группа предназначена для пользователей верхнего звена, которым требуется возможность просмотра проектов, но при этом сами они не выполняют задачи по проектам. |
Руководители портфелей проектов |
Пользователи обладают различными разрешениями для создания проектов и участия в командной работе. Эта группа предназначена для менеджеров групп проектов верхнего звена. |
Руководители проектов |
Пользователи обладают основными глобальными разрешениями и разрешениями на уровне категорий, а также ограниченными разрешениями по работе с ресурсами. Эта группа предназначена для пользователей, ежедневно работающих с графиками проектов. |
Руководители ресурсов |
Пользователи обладают основными глобальными разрешениями и разрешениями на уровне категорий. Эта группа предназначена для пользователей, управляющих и назначающих ресурсы, а также изменяющих данные ресурсов. |
Ведущие сотрудники групп |
Пользователи с ограниченными разрешениями для создания задач и отчетов о состоянии. Эта группа предназначена для пользователей, участвующих в основной нагрузке, но без регулярных заданий по проекту. |
Участники групп |
Пользователи с основными разрешениями для применения PWA, но с ограниченными разрешениями на уровне проекта. Эта группа дает всем базовый уровень доступа к PWA. Все новые пользователи автоматически добавляются в группу "Участники групп". |
Администраторы, как правило, назначают разрешения путем добавления учетной записи пользователя одной из встроенных групп или создавая новую группу и назначая отдельные разрешения этой группе.
Примечание
Полный список глобальных разрешений Project Web App см. в статье Project Server 2010 global permissions, список разрешений категорий см. в статье Project Server 2010 category permissions.
Категории
В этой видеодемонстрации показывается использование категорий.
.jpg "Снимок экрана видео")
Просмотрите видео (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=168588\&clcid=0x419) (Возможно, на английском языке). Чтобы загрузить этот видеофайл, щелкните ссылку правой кнопкой мыши, а затем выберите пункт Сохранить объект как.
Категории — это наборы проектов, ресурсов и представлений. Категории определяют область информации, доступной определенному пользователю. Категория похожа на группу тем, что также предоставляет пользователям разрешения. В отличие от глобальных разрешений, разрешения на уровне категорий связаны с определенными проектами и ресурсами. Кроме того, в категории входят фильтры проектов и ресурсов, которые можно использовать для определения того, к каким проектам и ресурсам применяются данные разрешения.
Группы и категории связаны друг с другом для обеспечения полного набора разрешений для каждого пользователя. Любую группу можно связать с одной или несколькими категориями, а любая категория может предоставлять участникам этой группы различный набор разрешений на уровне проекта или ресурса.
В экземпляре Project Web App по умолчанию включены следующие категории.
| Категория | Описание |
|---|---|
Мои подчиненные |
Дает пользователям разрешение утверждать расписания для прямых потомков в удаленном хранилище больших двоичных объектов. Эта категория предназначена для менеджеров, утверждающих расписания. |
Моя организация |
Содержит все проекты и ресурсы, дает различные уровни разрешений по категориям в зависимости от связанной группы. Также предоставляет полный доступ ко всем представлениям. Эта категория используется для того, чтобы пользователи могли видеть все в экземпляре Project Web App. |
Мои проекты |
Фильтры дают разрешения пользователям, имеющим собственные проекты или являющимся управляющими назначениями в проекте, а также пользователям, чьи потомки в удаленном хранилище больших двоичных объектов назначены проекту. Эта категория используется для того, чтобы пользователи видеть весь проект, с которым связаны они и их потомки в удаленном хранилище больших двоичных объектов. |
Мои ресурсы |
Дает почти все разрешения на уровне ресурсов, фильтруется по ресурсам, являющимся потомками пользователя в удаленном хранилище больших двоичных объектов. Эта категория используется для того, чтобы пользователи могли управлять ресурсами, как это определено в структуре в удаленного хранилища больших двоичных объектов. |
Мои задачи |
Позволяет пользователям просматривать проекты, к которым они приписаны. Эта категория связана с группой "Участники группы" и предназначена для всех пользователей, которые должны просматривать проекты, к которым они приписаны. |
Можно создать пользовательские категории, чтобы предоставить новый способ доступа к данным для проектов, ресурсов и представлений. Управлять большим количеством категорий может быть трудно. Рекомендуется использовать категории экономно.
Шаблоны безопасности
Шаблоны безопасности — это предварительно определенные наборы разрешений. Они используются для упрощения предоставления разрешений группам пользователей, которым требуется доступ к одним и тем же данным. В каждом экземпляре Project Web App присутствуют следующие шаблоны безопасности по умолчанию:
Администратор
Руководитель
Руководитель портфеля проектов
Руководитель проекта
Рецензент предложений
Руководитель ресурсов
Ведущий сотрудник группы
Участник группы
Шаблоны безопасности предоставляют средство для быстрого применения или сброса предварительно определенных профилей разрешений для новых или существующих пользователей, групп и категорий. С помощью шаблонов безопасности можно легко стандартизировать разрешения, назначаемые в соответствии с ролью пользователя в организации. Во время установки Project Server по умолчанию создаются несколько предварительно определенных шаблонов безопасности. Они соответствуют предварительно определенным группам. Эти шаблоны безопасности можно изменять или создавать новые в соответствии с потребностями.
Примечание
При внесении изменений в настройки шаблона безопасности эти изменения не применяются автоматически к пользователям и группам, для которых использовался шаблон.
Создание настраиваемых шаблонов безопасности требует планирования. Необходимо определить общие шаблоны использования Project Server 2010 в организации, которые не отражены в шаблонах безопасности Project Server 2010 по умолчанию. Это помогает определить требования к настраиваемым шаблонам безопасности. Затем определите разрешения, необходимые пользователям, которые будут обращаться к данным в соответствии с общими шаблонами использования Project Server 2010. Этим определяется шаблон безопасности. Далее, определите набор проектов, ресурсов, представлений и т. д., к которым требуется доступ пользователей и групп; этим определяется категория безопасности. Создайте настраиваемый шаблон безопасности и примените его к группе пользователей, которые будут обращаться к данным в соответствии с общим шаблоном использования.
Структура декомпозиции ресурсов
В этой видеодемонстрации показывается использование удаленного хранилища больших двоичных файлов.
.jpg "Снимок экрана видео")
Просмотрите видео (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=168589\&clcid=0x419) (Возможно, на английском языке). Чтобы загрузить этот видеофайл, щелкните ссылку правой кнопкой мыши, а затем выберите пункт Сохранить объект как.
Структура декомпозиции ресурсов (СДРес) — это иерархическая структура безопасности, которая обычно основана на корпоративной структуре отчетности управления, хотя она может быть организована и по-другому. Структура декомпозиции ресурсов может быть важным элементом модели безопасности Project Server при ее использовании с целью определения отношений подотчетности пользователей и проектов организации. При указании значений СДРес для каждого пользователя Project Server можно воспользоваться преимуществами динамических параметров безопасности, которые можно задать для любой категории безопасности.
Структура СДРес задается при добавлении значений в пользовательскую таблицу подстановок СДРес, встроенную в Project Server 2010. После определения структуры можно задавать значения СДРес отдельным пользователям, устанавливая свойство СДРес на странице параметров учетной записи пользователя.
После настройки СДРес категории могут использовать коды СДРес для динамического определения того, какие проекты и ресурсы определенный пользователь может просматривать и применять. В следующих таблицах перечислены параметры безопасности, использующие структуру СДРес, доступную в каждой категории.
Параметры проекта
| Параметр | Описание |
|---|---|
Пользователь является владельцем проекта или управляющим назначениями в рамках проекта |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, в которых они являются владельцем проекта или управляющим назначениями |
Пользователь входит в рабочую группу этого проекта |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, в которых они являются ресурсами |
Владелец проекта является потомком пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, которые принадлежат их потомкам в структуре СДРес |
Один из ресурсов, входящих в группу проекта, является потомком пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, в которых их потомки в структуре СДРес являются ресурсами |
Владелец проекта имеет такое же значение СДРес, как и пользователь |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать проекты, которые принадлежат другим пользователям с тем же значением СДРес |
Примечание
Первые два параметра (Пользователь является владельцем проекта или управляющим назначениями в рамках проекта и Пользователь входит в рабочую группу этого проекта) не связаны с СДРес, но они обеспечивают аналогичный метод фильтрации того, какие проекты может видеть пользователь.
Параметры ресурсов
| Параметр | Описание |
|---|---|
Пользователь является ресурсом |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать себя как ресурс |
Они являются участниками рабочей группы проекта, которым владеет пользователь |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать ресурсы, назначенные проектам, которые им принадлежат |
Они являются потомками пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать своих потомков в структуре СДРес |
Они являются прямыми потомками пользователя в СДРес |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать своих прямых потомков в структуре СДРес |
Они имеют такое же значение СДРес, как и пользователь |
Пользователи с разрешениями в категории, где выбран этот параметр, могут просматривать других пользователей с тем же значением СДРес |
Примечание
Первые два параметра (Пользователь является ресурсом и Они являются участниками рабочей группы проекта, которым владеет пользователь) не связаны с СДРес, но они обеспечивают аналогичный метод фильтрации того, какие ресурсы может видеть пользователь.
Параметры, указанные в таблицах выше, могут быть настроены при создании или изменении категории. Дополнительные сведения см. в статье Manage categories in Project Server 2010.