規劃 Project Server 2010 的群組、類別及 RBS
適用版本: Project Server 2010
上次修改主題的時間: 2017-01-20
Microsoft Project Server 2010 安全性是以使用者、群組及類別為基礎。本文說明如何規劃您 Project Server 部署中的群組和類別。
本文內容:
權限
群組
類別
安全性範本
資源分解結構
本文將提供一系列視訊示範,清楚說明權限、群組、類別及 RBS 的相關概念。以下各小節也會提供這些視訊的連結。由於每個視訊都是以上一個視訊中討論的概念為基準,所以建議您最好按本文敘述的順序來觀賞視訊。
注意
這些視訊是在使用 Microsoft Office Project Server 2007 的環境下建立。雖然 Project Server 2010 有些改變,不過 Project Server 安全性運作方式的基本功能仍然相同。
權限
此影片示範權限的運作方式。
.jpg "視訊的螢幕擷取畫面")
觀賞影片(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=168549\&clcid=0x404)(可能為英文網頁)。若要下載檔案複本,請以滑鼠右鍵按一下連結,然後按一下 [另存目標]。
「權限」係指在 Project Server 內容範圍內執行特定動作的授權。您可以「允許」、「拒絕」或不設定 Project Server 中的每種權限。例如,可針對任何特定使用者或群組而允許或拒絕 [變更密碼] 權限。Project Server 有兩種權限:
「通用權限」授與使用者和群組在整個 Microsoft Project Web App (PWA) 執行個體中執行動作的能力。「通用權限」是在使用者或群組層級指派。
「類別權限」授與使用者和群組能夠在特定專案和資源上執行動作。「類別權限」是在類別層級指派。
您可以在 Project Server 2010 管理功能表的不同位置設定權限。您可以選取 [允許] 和 [拒絕] 欄中的核取方塊,表示允許或拒絕權限。如果未選取 [允許] 也沒選取 [拒絕] 核取方塊,預設狀態即為 [不允許]。如果使用者已由其他方法獲得權限 (例如使用者可能屬於某個未設定權限 ([不允許]) 的群組,但可能透過允許權限之群組的成員資格而獲得權限),[不允許] 狀態便無法防止使用者存取與權限相關的功能。不過,如果該權限在所有位置都遭明確拒絕,這表示特定使用者或群組在所有位置的權限都會遭拒絕。
您可以從 Project Web App 的 [伺服器設定] 頁面設定所有的 Project Server 2010 權限。權限的設定選擇如下:
允許 可讓使用者或群組成員執行與權限相關聯的動作。
拒絕 防止使用者或群組執行與權限相關聯的動作。請謹慎使用拒絕權限。請注意,如果使用者被拒絕使用特定權限,此拒絕設定會取代任何可能套用至使用者所屬其他群組的 [允許] 設定。沒有任何權限預設為 [拒絕]。
不允許 若未針對權限選取 [允許] 也沒選取 [拒絕],預設狀態即為 [不允許]。如果使用者屬於一個以上的群組,而其中某一個群組的權限設定為 [不允許],其他群組設定為 [允許] (而非 [拒絕]),如此,便會允許使用者執行與權限關聯的動作。
請務必仔細考量是否要將權限設定為 [拒絕],因為 [拒絕] 設定會取代使用者透過其他群組成員資格獲得權限而套用的任何 [允許] 設定。限制使用 [拒絕] 設定將可簡化大量使用者的權限管理。
注意
[拒絕] 設定可讓您拒絕對功能的存取,因為這項設定會覆寫 [允許] 設定,因此,請謹慎選取 [拒絕] 核取方塊。選取 [拒絕] 核取方塊,可以防止組織外的使用者存取 Project Server 安全性物件,或拒絕使用者或群組可用的功能。
對於有大量使用者的組織而言,個別指派及管理權限會是一項繁重的工作。您可以使用群組,只要一個動作就能將權限指派給多個使用者。在初始 Project Server 2010 部署規劃過程中,請先建立群組、定義要與這些群組產生關聯的權限組,再將使用者指派給這些群組、將這些群組指派給類別。定義了群組、與群組產生關聯的權限以及群組成員資格之後,使用者、群組和類別的日常管理工作就會只剩下將使用者新增至安全性群組或從安全性群組中移除使用者。這有助於減輕日常所需的管理工作量,同時也能簡化權限問題的疑難排解工作。
注意
如需 Project Web App 通用權限的完整清單,請參閱<Project Server 2010 global permissions>,如需類別權限的資訊,請參閱<Project Server 2010 的類別權限>。
群組
此影片示範群組的運作方式。
.jpg "視訊的螢幕擷取畫面")
觀賞影片(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=168587\&clcid=0x404)(可能為英文網頁)。若要下載檔案複本,請以滑鼠右鍵按一下連結,然後按一下 [另存目標]。
群組包含了一組組具有類似功能需求的使用者。例如,貴組織某個部門中的每個專案經理可能都需要同一組的 Project Server 權限,而行政人員或資源管理員的需求可能就有所不同。
至於定義群組的方式,則是依照組織使用者需存取的 Project Server 2010 區域所形成之共同需求來劃分。定義群組之後,您可以將使用者加入至群組,並對群組授與權限;指派給群組的權限會套用至群組內的所有使用者。透過群組來控制 Project Server 2010 權限,將可簡化 Project Server 的安全性管理。群組成員資格可以經常變更,不過,群組的存取需求卻少有變更。
注意
群組成員資格僅包含使用者。群組不能包含其他群組。
使用者可以依照其在組織中的角色和存取需求,而同時屬於多個群組。下列是在安裝 Project Server 2010 時,預設建立的群組。每個群組都有一組預先定義的類別和權限:
| 群組 | 描述 |
|---|---|
管理員 |
這些使用者透過 [我的組織] 類別,而具有所有通用權限和所有類別權限。如此,這些使用者便能擁有 Project Server 中所有項目的完整存取權。 |
行政人員 |
這些使用者擁有檢視專案和 Project Server 資料的權限。此群組適用於需要瞭解專案、但本身並非擔任專案任務的高階使用者。 |
公事包管理員 |
這些使用者擁有各種建立專案和建立小組的權限。此群組適用於擁有多組專案的高階經理。 |
專案經理 |
這些使用者擁有大部分的通用權限和類別層級專案權限,以及有限的資源權限。此群組適用於每天維護專案排程的使用者。 |
資源管理員 |
這些使用者擁有大部分的通用權限和類別層級資源權限。此群組適用於管理和指派資源、編輯資源資料的使用者。 |
小組負責人 |
這些使用者擁有有限的建立任務和狀態報表權限。此群組適用於擔任管理職、但在專案中沒有固定工作分派的人。 |
小組成員 |
這些使用者擁有 PWA 一般使用權限,以及有限的專案層級權限。此群組適用於對每個人提供基本的 PWA 存取權。所有新使用者都會自動新增至 [小組成員] 群組。 |
管理員通常指派權限的方式,是將使用者帳戶加入至其中一個內建群組,或是建立新的群組,再將特定權限指派給該群組。
注意
如需 Project Web App 通用權限的完整清單,請參閱<Project Server 2010 global permissions>,如需類別權限的資訊,請參閱<Project Server 2010 的類別權限>。
類別
此影片示範類別的運作方式。
.jpg "視訊的螢幕擷取畫面")
觀賞影片(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=168588\&clcid=0x404)(可能為英文網頁)。若要下載檔案複本,請以滑鼠右鍵按一下連結,然後按一下 [另存目標]。
「類別」為專案、資源及檢視的集合,用以定義特定使用者可存取的資源範圍。其功能類似群組,在於它也可以對使用者提供權限。「類別權限」與「通用權限」不同的是,「類別權限」是與特定專案和資源相關。此外,類別還包含專案和資源篩選器,這些篩選器可用來判斷哪些專案和資源套用特定權限。
「群組」和「類別」在彼此產生關聯後可為每位使用者提供一組完整的權限。每個「群組」可與一或多個「類別」產生關聯,每個「類別」則可為該群組的成員提供不同的專案和資源層級權限組。
每個 Project Web App 執行個體包括下列預設類別:
| 類別 | 描述 |
|---|---|
我的部屬 |
允許使用者可核准其 RBS 中之直屬下階的時程表。此類別適用於需要權限以核准時程表的管理者。 |
我的組織 |
包含所有專案和資源,並可視相關聯的群組管理方式,而允許不同層級的類別權限。此外,此類別也提供所有檢視的完整存取權。此類別適用於允許使用者瞭解 Project Web App 執行個體中的所有項目。 |
我的專案 |
此可篩選出擁有專案的使用者、專案狀態管理員、指派為專案之資源、或 RBS 中之下階指派至專案的使用者,讓他們擁有類別權限。此類別適用於允許使用者瞭解所有與其相關聯、或與其 RBS 中之下階相關聯的專案。 |
我的資源 |
此會篩選出使用者在 RBS 中的下階資源,讓使用者擁有大部分的資源層級類別權限。此類別適用於允許使用者管理其在 RBS 結構中所列的資源。 |
我的工作 |
允許使用者看見被指派的專案。此類別會與「小組成員」群組相關聯,適用於任何人,讓他們可瞭解被指派的專案。 |
您可以建立自訂類別,以新方式存取專案、資源及檢視的資料。太多類別可能會過於複雜,難以管理。建議您少用類別。
安全性範本
安全性範本是預先定義的權限組。使用安全性範本可以簡化對需要存取相同資料之使用者群組授與權限的程序。每個 Project Web App 執行個體包括下列預設安全性範本:
管理員
行政人員
公事包管理員
專案經理
提案檢閱者
資源管理員
小組負責人
小組成員
安全性範本可讓您快速地對新的或現有使用者、群組和類別,套用或重設預先定義的權限設定檔。透過套用安全性範本,您可以輕鬆地根據組織中的使用者角色指派統一權限。安裝 Project Server 之後,預設會建立數個預先定義的安全性範本。這些範本會與預先定義的群組對應。您可以根據自己的需求自訂這些安全性範本,以建立新的安全性範本。
注意
如果變更安全性範本的設定,所做的變更不會自動套用到已套用範本的使用者和群組。
建立自訂安全性範本需要經過規劃。您必須先界定組織中未反映在預設 Project Server 2010 安全性範本的 Project Server 2010 常見使用模式。這可協助您釐清自訂安全性範本的需求,然後決定共用 Project Server 2010 常見使用模式的使用者所需之權限。這就可以定義出安全性範本。接下來,決定使用者和群組所需存取的一組專案、資源、檢視等等,如此即可定義出安全性類別。隨即建立自訂安全性範本,然後將它套用至共用常見使用模式的使用者群組。
資源分解結構
此影片示範 RBS 的運作方式。
.jpg "視訊的螢幕擷取畫面")
觀賞影片(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=168589\&clcid=0x404)(可能為英文網頁)。若要下載檔案複本,請以滑鼠右鍵按一下連結,然後按一下 [另存目標]。
「資源分解結構」(RBS) 為階層式安全性結構,它通常是以貴組織的管理報告結構為基礎,不過也可以採用其他方式來架構。RBS 可說是 Project Server 安全性模式中相當重要的一環,因為它可用以定義貴組織使用者和專案之間的報告關係。只要為每個 Project Server 使用者指定 RBS 值,您就可以利用每個安全性類別所定義的動態安全性選項。
若要定義 RBS 結構,就需對 Project Server 2010 內建的 RBS 自訂查閱表格新增值。定義結構之後,即可在使用者帳戶設定頁面中設定 RBS 屬性,將 RBS 值指派給個別使用者。
設定 RBS 之後,「類別」便可用 RBS 碼動態判斷特定使用者可檢視或存取哪些專案和資源。下表列出每個「類別」中採用 RBS 的安全性選項。
專案選項
| 選項 | 描述 |
|---|---|
使用者是專案擁有者,或使用者是該專案中工作分派的狀態管理員 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見他們擔任專案擁有者或狀態管理員的專案 |
使用者位於該專案的專案小組中 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見他們當作資源的專案 |
專案擁有者是透過 RBS 使用者的下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 下階所擁有的專案 |
在專案 [專案小組] 中的資源是透過 RBS 使用者的下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 下階當作資源的專案 |
專案擁有者與使用者有相同的 RBS 值 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其他具有相同 RBS 值之使用者所擁有的專案 |
注意
前兩個選項 ([使用者是專案擁有者,或使用者是該專案中工作分派的狀態管理員] 和 [使用者位於該專案的專案小組中]) 與 RBS 並無關聯,不過這兩個選項也有提供類似的篩選方法,可篩選出使用者可看見的專案。
資源選項
| 選項 | 描述 |
|---|---|
使用者是資源 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見他們本身當作資源的專案 |
他們是使用者擁有的專案之專案小組成員 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見他們所擁有專案中的指派資源 |
他們是透過 RBS 使用者的下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 中的下階 |
他們是透過 RBS 使用者的直屬下階 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其 RBS 中的直屬下階 |
他們與使用者有相同的 RBS 值 |
在選取了此選項的類別中,凡是具有權限的使用者,就能看見其他具有相同 RBS 值的使用者 |
注意
前兩個選項 ([使用者是資源] 和 [他們是使用者擁有的專案之專案小組成員]) 與 RBS 並無關聯,不過這兩個選項也有提供類似的篩選方法,可篩選出使用者可看見的資源。
您可在建立或修改「類別」時設定上表所列選項。如需詳細資訊,請參閱<在 Project Server 2010 中管理類別>。