詳細剖析TFS 2010中工作區的改進細節(組圖)
在TFS(Team Foundation Server) 2005和TFS(Team Foundation Server) 2008中,版本控制的工作區有如下限制。
1、工作區的所有者設置的創建時間不能被改變(具有恒定不變性)
2、一個工作區只能被它的所有者使用
當我們提到“使用”一個工作區的時候,可能意味著如下操作中的任何一個:
取消擱置到工作區中的擱置集
在一個工作區中做一次“獲取”
在一個工作區中掛起變更或取消掛起變更
從一個工作區簽入或擱置
在一個工作區中消除沖突
......
在TFS(Team Foundation Server)2010中,我們取消了這些限制。添加改變工作區的所有者的功能并不是很困難,但是,讓工作區可以被所有者以外的人使用則需要我們把工作區變成完全安全的對象。我們利用全新的安全服務來做出這些變更,并且給一個工作區的用戶設定了四種權限。這些權限分別是:Read, Use, CheckIn, 和Administer Use權限包括改變工作區的狀態(它的定義,本地版本,沖突,或掛起的變更)的相關操作。你平時使用的大多數的操作都包括在Use權限里。你可以看看本文上面列出的那張關于“使用”的列表
我們把簽入的權限單獨分離出來了,那就是CheckIn權限。原因是在一些共享工作區的場景下,只有某個用戶(比如:所有者)可以進行簽入操作。一個用戶需要Administer權限才能改變映射,名字,所有者,描述,或一個工作區所在的計算機。用戶需要這個權限才能從這個系統中刪除工作區,或變更這個工作區的訪問控制列表。
Read權限也是一種權限,但是并不會發揮什么作用。從理論上來說,它包括查看一個現有的工作區的狀態,例如:查看一個工作區的映射,查看一個工作區掛起的變更等。在TFS(Team Foundation Server)和TFS(Team Foundation Server) 2008中,任何一個合法的用戶都可以查看任意一個工作區中的這些屬性,TFS(Team Foundation Server) 2010并沒有對這個行為做出變更。
使用Edit Workspace對話框改變工作區的權限
TFS(Team Foundation Server) 2010并沒有為操作工作區的權限提供一個完整的UI。用戶可以在三個“權限配置”中進行選擇;一個“權限配置”實際上是一個工作區訪問控制列表的模板。默認的“權限配置”是“Private workspace”。一個私有的工作區和TFS(Team Foundation Server) 2005和TFS(Team Foundation Server) 2008中的工作區據有相同的行為:這個工作區只可以被它的所有者使用。私有工作區的訪問控制列表只有一個條目,那就是給所有者授予所有的權限——例如,John Smith:
YOURDOMAIN\johnsmith: Read, Use, CheckIn, Administer
我們提供的其他兩個“權限配置”是:“Public-limited”和 “Public”。這兩個“權限配置”也給所有者授予了所有權限。此外,它們還給任何一個合法的用戶授予了附加的權限。對于“public-limited”權限配置來說,其他的用戶被授予了在工作區上Read 和 Use的權限。對于一個完全公有的工作區來說,團隊項目集合中的每一個合法用戶都和所有者具有同樣的權限:Read, Use, CheckIn, Administer。
在Visual Studio中使用一個公有的工作區
我們需要登錄那個公有的工作區所在的機器。啟動Visual Studio 2010,連接到公有的工作區所在的服務器以后,你可以在Source Control Explorer和Pending Changes工具窗口中的下拉組合框中看到這個工作區。
Visual Studio 2008或更早期的版本的用戶不能看到屬于其他用戶的公有的工作區。他們只能看到他們自己的工作區
在這個例子中,我把共享的工作區設置成“Public-limited”的。你可以看到,因為我在這個工作區上缺乏Administer權限,所以我只能查看這個工作區的映射,所有者,描述和權限配置。一些控制都是只讀的。
通過命令行(tf.exe)使用一個公有的工作區
還是一樣,你需要登錄那個公有的工作區所在的機器。如果你已經啟動了Visual Studio 2010命令提示符,你可以cd到這個工作區的映射路徑。在我的例子中,這個路徑是D:\Proj。你可以看到我在下面試圖運行一個命令,但是無法找到這個工作區。這是因為本地的工作區緩存文件是針對每個用戶的,而這個用戶從來沒有意識到這個工作區存在問題。有兩種方法可以解決這個問題:
1、馬上啟動Visual Studio,然后連接到團隊項目集合,這會填充這個本地的工作區緩存。
2、運行“tf workspaces”來手動填充這個緩存文件,通過命令來實現。
我選擇運行“tf workspaces”。我們可以看到屬于其他用戶的這個工作區被顯示出來了,這說明我已經可以訪問這個公有的工作區了。現在我的“tf get”命令成功了。
神奇的所有權
如果用戶B擱置了用戶A的工作區中的變更,那么用戶B,是這個剛剛創建的擱置集的所有者。同樣地,如果用戶B簽入了用戶A的工作區中的變更,那么用戶B會被標記為提交這些變更的用戶。
掛起的特定變更并沒有所有者——只有工作區才有所有者,如果用戶A簽出了用戶B的工作區中的file.txt文件來編輯,那么,雖然用戶A是掛起這個變更的人,但是一些UI組件還是會說明“file.txt”文件被用戶B打開了,正在編輯。它還會更精確地說明在工作區X中被打開編輯的“file.txt ”文件是屬于用戶B的。
權限檢查失敗
TFS(Team Foundation Server) 2005/2008中的錯誤信息“TF14091:你不能在工作區{0}上執行這個操作,因為你不是這個工作區的所有者。”在TFS(Team Foundation Server)2010中已經不復存在了。取而代之,你會收到下面這條消息,它會指出這個操作需要哪個工作區的權限:
TF204017:這個操作不能被完成,因為用戶({0}) 沒有操作工作區{2}所必需的一個或多個權限。
在下面這個例子中,只是在這個命令被執行以前,把這個工作區切換成“Private”的了。
AdminWorkspaces全局性授權
從2005到2010,所有版本的(Team Foundation Server)都有一個全局性的授權,稱為“Administer Workspaces”或簡稱為“AdminWorkspaces”。默認情況下,這個授權會被授予給團隊項目集合的管理員們。即使他們原來沒有Administer權限,擁有AdminWorkspaces授權的用戶也可以自動地在這個系統的所有工作區上獲得Administer權限。這個授權可以讓管理員們清除系統中過時的工作區,并且可以在假期中收回屬于員工的工作區所有權,或者收回不再屬于這個團隊的合同工的所有權。擁有AdminWorkspaces授權的用戶可以代表其他用戶創建工作區。
讓我們回到前面那個例子上,在那個例子中,我的Edit Workspace對話框中有一些選項是鎖定的,因為這個工作區是“Public-limited”,如果我擁有AdminWorkspaces授權,我們可以看到我現在可以完全訪問這個對話框。我的有效權限是“Read, Use, Administer”。如果我想擁有“CheckIn”,我可以通過把這個工作區的權限配置變成“Public”來給自己授予這個權限。
自定義權限
雖然UI只提供了三個現成的權限模板,但是這個服務器支持在工作區上自定義訪問控制列表。你可以使用安全服務和版本控制服務來查詢完整的訪問控制列表。工作區的security命名空間的GUID(Globally Unique Identifier:全局統一標識符)是一個眾所周知的常數,并且,對于任意給定的工作區來說,在這個命名空間中,版本控制客戶端對象模型會有一個標記,可以通過Workspace.SecurityToken屬性來訪問這個標記。下面的代碼樣例展示了如何提取和顯示通過當前目錄推斷出的工作區的訪問控制列表。
(這個代碼樣例需要引用MS.TeamFoundation.Common程序集,MS.TeamFoundation.Client程序集,MS.TeamFoundation.VersionControl.Common,程序集和MS.TeamFoundation.VersionControl.Client程序集。)
using Microsoft.TeamFoundation;
using Microsoft.TeamFoundation.Common;
using Microsoft.TeamFoundation.Client;
using Microsoft.TeamFoundation.Framework.Common;
using Microsoft.TeamFoundation.Framework.Client;
using Microsoft.TeamFoundation.VersionControl.Common;
using Microsoft.TeamFoundation.VersionControl.Client;
…
// Use the current directory to infer the workspace and TFS team project collection.
WorkspaceInfo wi = Workstation.Current.GetLocalWorkspaceInfo(Environment.CurrentDirectory);
TfsTeamProjectCollection tpc = new TfsTeamProjectCollection(wi.ServerUri);
VersionControlServer vcs = tpc.GetService<VersionControlServer>();
Workspace workspace = vcs.GetWorkspace(wi);
// Get the identity service for the TPC.
IIdentityManagementService ims = tpc.GetService<IIdentityManagementService>();
// Get the security service for the TPC and use it to get the workspace security namespace.
ISecurityService security = tpc.GetService<ISecurityService>();
SecurityNamespace workspaceSecurityNamespace =
security.GetSecurityNamespace(SecurityConstants.WorkspaceSecurityNamespaceGuid);
// Get the access control list for the workspace, using the workspace's security token in the namespace.
AccessControlList acl = workspaceSecurityNamespace.QueryAccessControlList(workspace.SecurityToken,
null, false);
// Get the full TeamFoundationIdentity objects for the IdentityDescriptor of each access control entry.
List<IdentityDescriptor> descriptors = new List<IdentityDescriptor>();
foreach (AccessControlEntry ace in acl.AccessControlEntries)
descriptors.Add(ace.Descriptor);
TeamFoundationIdentity[] identities = ims.ReadIdentities(descriptors.ToArray(), MembershipQuery.None,
ReadIdentityOptions.None);
// Display the access control list to the user.
Console.WriteLine("Access control list for " + workspace.DisplayName + Environment.NewLine);
int i = 0;
foreach (AccessControlEntry ace in acl.AccessControlEntries)
{
if (null == identities[i])
Console.WriteLine(" " + ace.Descriptor.Identifier + ":");
else
Console.WriteLine(" " + IdentityHelper.GetDomainUserName(identities[i]) + ":");
if (0 != ace.Allow)
Console.WriteLine(" Allow: " + ((WorkspacePermissions)ace.Allow).ToString());
if (0 != ace.Deny)
Console.WriteLine(" Deny: " + ((WorkspacePermissions)ace.Deny).ToString());
i++;
}
回到我們的“public-limited”的工作區的例子,我們現在可以使用這些代碼來觀察這個工作區的完整訪問控制列表了。
修改訪問控制列表
我們可以對上面的代碼做進一步的修改,來操作訪問控制列表。讓我們移除針對[Collection0]\Project Collection Valid Users的訪問控制條目,然后使用只給REDMOND\vseqa1授予所有權限的條目來替換它。在這個工作區上執行這個操作需要Administer權限,當然,擁有AdminWorkspaces全局性授權的用戶也可以做到。
// Use the current directory to infer the workspace and TFS team project collection.
WorkspaceInfo wi = Workstation.Current.GetLocalWorkspaceInfo(Environment.CurrentDirectory);
TfsTeamProjectCollection tpc = new TfsTeamProjectCollection(wi.ServerUri);
VersionControlServer vcs = tpc.GetService<VersionControlServer>();
Workspace workspace = vcs.GetWorkspace(wi);
// Get the security service for the TPC and use it to get the workspace security namespace.
ISecurityService security = tpc.GetService<ISecurityService>();
SecurityNamespace workspaceSecurityNamespace =
security.GetSecurityNamespace(SecurityConstants.WorkspaceSecurityNamespaceGuid);
// Get the access control list for the workspace, using the workspace's security token in the namespace.
AccessControlList acl = workspaceSecurityNamespace.QueryAccessControlList(workspace.SecurityToken,
null, false);
WorkspacePermissions allWorkspacePermissions = WorkspacePermissions.Read | WorkspacePermissions.Use |
WorkspacePermissions.CheckIn | WorkspacePermissions.Administer;
acl.RemoveAccessControlEntry(new IdentityDescriptor(IdentityConstants.TeamFoundationType,
GroupWellKnownSidConstants.EveryoneGroupSid));
acl.SetAccessControlEntry(new AccessControlEntry(tpc.AuthorizedIdentity.Descriptor,
(int)allWorkspacePermissions, 0), false);
workspaceSecurityNamespace.SetAccessControlList(acl);
運行這些代碼以后,我可以看到這個工作區的訪問控制列表只有兩個條目——一個是針對這個工作區的所有者的,另外一個是針對我的(REDMOND\vseqa1)。
因為這個工作區的訪問控制列表不再和預定義的“權限配置”(模板)匹配了,所以在Edit Workspace對話框中,這個“權限配置”顯示成了“Custom permissions”。
如果你把這個工作區的permissions組合框設置成了“Custom permissions”,那么你無需重寫這個自定義的訪問控制列表,就可以改變這個工作區的任何一個屬性了。但是如果你以后想切換回預定義的“權限配置”,只要在這個組合框中選擇相應的“權限配置”,然后點擊“OK”就可以了。你的自定義訪問控制列表將會被消除和替換。如果我(所有者)不小心刪除了自己的ACE,會發生什么呢?
即使在安全服務的訪問控制列表中不存在所有者的ACE,版本控制權限檢查也會成功的。版本控制服務知道你是這個工作區的所有者,并且,也知道你擁有全部的權限。在所有者的ACE恢復以前,你無法通過安全服務更改訪問控制列表。要恢復所有者的ACE,你可以打開Edit Workspace對話框,然后隨便做一些改變(例如:改變描述)。當你點擊OK的時候,在服務器上,這個工作區會被更新,所有者的ACE將會被恢復。
