在TFS（Team Foundation Server） 2005和TFS（Team Foundation Server） 2008中，版本控制的工作區(qū)有如下限制。

1、工作區(qū)的所有者設(shè)置的創(chuàng)建時(shí)間不能被改變（具有恒定不變性）
2、一個(gè)工作區(qū)只能被它的所有者使用

當(dāng)我們提到“使用”一個(gè)工作區(qū)的時(shí)候，可能意味著如下操作中的任何一個(gè)：

取消擱置到工作區(qū)中的擱置集
在一個(gè)工作區(qū)中做一次“獲取”
在一個(gè)工作區(qū)中掛起變更或取消掛起變更
從一個(gè)工作區(qū)簽入或擱置
在一個(gè)工作區(qū)中消除沖突
......

在TFS（Team Foundation Server）2010中，我們?nèi)∠诉@些限制。添加改變工作區(qū)的所有者的功能并不是很困難，但是，讓工作區(qū)可以被所有者以外的人使用則需要我們把工作區(qū)變成完全安全的對(duì)象。我們利用全新的安全服務(wù)來做出這些變更，并且給一個(gè)工作區(qū)的用戶設(shè)定了四種權(quán)限。這些權(quán)限分別是：Read, Use, CheckIn, 和Administer Use權(quán)限包括改變工作區(qū)的狀態(tài)（它的定義，本地版本，沖突，或掛起的變更）的相關(guān)操作。你平時(shí)使用的大多數(shù)的操作都包括在Use權(quán)限里。你可以看看本文上面列出的那張關(guān)于“使用”的列表

我們把簽入的權(quán)限單獨(dú)分離出來了，那就是CheckIn權(quán)限。原因是在一些共享工作區(qū)的場景下，只有某個(gè)用戶（比如：所有者）可以進(jìn)行簽入操作。一個(gè)用戶需要Administer權(quán)限才能改變映射，名字，所有者，描述，或一個(gè)工作區(qū)所在的計(jì)算機(jī)。用戶需要這個(gè)權(quán)限才能從這個(gè)系統(tǒng)中刪除工作區(qū)，或變更這個(gè)工作區(qū)的訪問控制列表。

Read權(quán)限也是一種權(quán)限，但是并不會(huì)發(fā)揮什么作用。從理論上來說，它包括查看一個(gè)現(xiàn)有的工作區(qū)的狀態(tài)，例如：查看一個(gè)工作區(qū)的映射，查看一個(gè)工作區(qū)掛起的變更等。在TFS（Team Foundation Server）和TFS（Team Foundation Server） 2008中，任何一個(gè)合法的用戶都可以查看任意一個(gè)工作區(qū)中的這些屬性，TFS（Team Foundation Server） 2010并沒有對(duì)這個(gè)行為做出變更。

使用Edit Workspace對(duì)話框改變工作區(qū)的權(quán)限

TFS（Team Foundation Server） 2010并沒有為操作工作區(qū)的權(quán)限提供一個(gè)完整的UI。用戶可以在三個(gè)“權(quán)限配置”中進(jìn)行選擇；一個(gè)“權(quán)限配置”實(shí)際上是一個(gè)工作區(qū)訪問控制列表的模板。默認(rèn)的“權(quán)限配置”是“Private workspace”。一個(gè)私有的工作區(qū)和TFS（Team Foundation Server） 2005和TFS（Team Foundation Server） 2008中的工作區(qū)據(jù)有相同的行為：這個(gè)工作區(qū)只可以被它的所有者使用。私有工作區(qū)的訪問控制列表只有一個(gè)條目，那就是給所有者授予所有的權(quán)限——例如，John Smith:
YOURDOMAIN\johnsmith: Read, Use, CheckIn, Administer
 

我們提供的其他兩個(gè)“權(quán)限配置”是：“Public-limited”和 “Public”。這兩個(gè)“權(quán)限配置”也給所有者授予了所有權(quán)限。此外，它們還給任何一個(gè)合法的用戶授予了附加的權(quán)限。對(duì)于“public-limited”權(quán)限配置來說，其他的用戶被授予了在工作區(qū)上Read 和 Use的權(quán)限。對(duì)于一個(gè)完全公有的工作區(qū)來說，團(tuán)隊(duì)項(xiàng)目集合中的每一個(gè)合法用戶都和所有者具有同樣的權(quán)限：Read, Use, CheckIn, Administer。
 

在Visual Studio中使用一個(gè)公有的工作區(qū)

我們需要登錄那個(gè)公有的工作區(qū)所在的機(jī)器。啟動(dòng)Visual Studio 2010，連接到公有的工作區(qū)所在的服務(wù)器以后，你可以在Source Control Explorer和Pending Changes工具窗口中的下拉組合框中看到這個(gè)工作區(qū)。
 

Visual Studio 2008或更早期的版本的用戶不能看到屬于其他用戶的公有的工作區(qū)。他們只能看到他們自己的工作區(qū)
 

在這個(gè)例子中，我把共享的工作區(qū)設(shè)置成“Public-limited”的。你可以看到，因?yàn)槲以谶@個(gè)工作區(qū)上缺乏Administer權(quán)限，所以我只能查看這個(gè)工作區(qū)的映射，所有者，描述和權(quán)限配置。一些控制都是只讀的。
 

通過命令行（tf.exe）使用一個(gè)公有的工作區(qū)

還是一樣，你需要登錄那個(gè)公有的工作區(qū)所在的機(jī)器。如果你已經(jīng)啟動(dòng)了Visual Studio 2010命令提示符，你可以cd到這個(gè)工作區(qū)的映射路徑。在我的例子中，這個(gè)路徑是D:\Proj。你可以看到我在下面試圖運(yùn)行一個(gè)命令，但是無法找到這個(gè)工作區(qū)。這是因?yàn)楸镜氐墓ぷ鲄^(qū)緩存文件是針對(duì)每個(gè)用戶的，而這個(gè)用戶從來沒有意識(shí)到這個(gè)工作區(qū)存在問題。有兩種方法可以解決這個(gè)問題：

1、馬上啟動(dòng)Visual Studio，然后連接到團(tuán)隊(duì)項(xiàng)目集合，這會(huì)填充這個(gè)本地的工作區(qū)緩存。
2、運(yùn)行“tf workspaces”來手動(dòng)填充這個(gè)緩存文件，通過命令來實(shí)現(xiàn)。

我選擇運(yùn)行“tf workspaces”。我們可以看到屬于其他用戶的這個(gè)工作區(qū)被顯示出來了，這說明我已經(jīng)可以訪問這個(gè)公有的工作區(qū)了?，F(xiàn)在我的“tf get”命令成功了。
 

神奇的所有權(quán)

如果用戶B擱置了用戶A的工作區(qū)中的變更，那么用戶B，是這個(gè)剛剛創(chuàng)建的擱置集的所有者。同樣地，如果用戶B簽入了用戶A的工作區(qū)中的變更，那么用戶B會(huì)被標(biāo)記為提交這些變更的用戶。

掛起的特定變更并沒有所有者——只有工作區(qū)才有所有者，如果用戶A簽出了用戶B的工作區(qū)中的file.txt文件來編輯，那么，雖然用戶A是掛起這個(gè)變更的人，但是一些UI組件還是會(huì)說明“file.txt”文件被用戶B打開了，正在編輯。它還會(huì)更精確地說明在工作區(qū)X中被打開編輯的“file.txt ”文件是屬于用戶B的。

權(quán)限檢查失敗

TFS（Team Foundation Server） 2005/2008中的錯(cuò)誤信息“TF14091：你不能在工作區(qū){0}上執(zhí)行這個(gè)操作，因?yàn)槟悴皇沁@個(gè)工作區(qū)的所有者。”在TFS（Team Foundation Server）2010中已經(jīng)不復(fù)存在了。取而代之，你會(huì)收到下面這條消息，它會(huì)指出這個(gè)操作需要哪個(gè)工作區(qū)的權(quán)限：

TF204017：這個(gè)操作不能被完成，因?yàn)橛脩?{0}) 沒有操作工作區(qū){2}所必需的一個(gè)或多個(gè)權(quán)限。

在下面這個(gè)例子中，只是在這個(gè)命令被執(zhí)行以前，把這個(gè)工作區(qū)切換成“Private”的了。
 

AdminWorkspaces全局性授權(quán)

從2005到2010，所有版本的（Team Foundation Server）都有一個(gè)全局性的授權(quán)，稱為“Administer Workspaces”或簡稱為“AdminWorkspaces”。默認(rèn)情況下，這個(gè)授權(quán)會(huì)被授予給團(tuán)隊(duì)項(xiàng)目集合的管理員們。即使他們?cè)瓉頉]有Administer權(quán)限，擁有AdminWorkspaces授權(quán)的用戶也可以自動(dòng)地在這個(gè)系統(tǒng)的所有工作區(qū)上獲得Administer權(quán)限。這個(gè)授權(quán)可以讓管理員們清除系統(tǒng)中過時(shí)的工作區(qū)，并且可以在假期中收回屬于員工的工作區(qū)所有權(quán)，或者收回不再屬于這個(gè)團(tuán)隊(duì)的合同工的所有權(quán)。擁有AdminWorkspaces授權(quán)的用戶可以代表其他用戶創(chuàng)建工作區(qū)。
 

讓我們回到前面那個(gè)例子上，在那個(gè)例子中，我的Edit Workspace對(duì)話框中有一些選項(xiàng)是鎖定的，因?yàn)檫@個(gè)工作區(qū)是“Public-limited”，如果我擁有AdminWorkspaces授權(quán)，我們可以看到我現(xiàn)在可以完全訪問這個(gè)對(duì)話框。我的有效權(quán)限是“Read, Use, Administer”。如果我想擁有“CheckIn”，我可以通過把這個(gè)工作區(qū)的權(quán)限配置變成“Public”來給自己授予這個(gè)權(quán)限。
 

自定義權(quán)限

雖然UI只提供了三個(gè)現(xiàn)成的權(quán)限模板，但是這個(gè)服務(wù)器支持在工作區(qū)上自定義訪問控制列表。你可以使用安全服務(wù)和版本控制服務(wù)來查詢完整的訪問控制列表。工作區(qū)的security命名空間的GUID（Globally Unique Identifier：全局統(tǒng)一標(biāo)識(shí)符)是一個(gè)眾所周知的常數(shù)，并且，對(duì)于任意給定的工作區(qū)來說，在這個(gè)命名空間中，版本控制客戶端對(duì)象模型會(huì)有一個(gè)標(biāo)記，可以通過Workspace.SecurityToken屬性來訪問這個(gè)標(biāo)記。下面的代碼樣例展示了如何提取和顯示通過當(dāng)前目錄推斷出的工作區(qū)的訪問控制列表。

（這個(gè)代碼樣例需要引用MS.TeamFoundation.Common程序集，MS.TeamFoundation.Client程序集，MS.TeamFoundation.VersionControl.Common,程序集和MS.TeamFoundation.VersionControl.Client程序集。）

using Microsoft.TeamFoundation;

using Microsoft.TeamFoundation.Common;
using Microsoft.TeamFoundation.Client;
using Microsoft.TeamFoundation.Framework.Common;
using Microsoft.TeamFoundation.Framework.Client;
using Microsoft.TeamFoundation.VersionControl.Common;
using Microsoft.TeamFoundation.VersionControl.Client;

…

// Use the current directory to infer the workspace and TFS team project collection.
WorkspaceInfo wi = Workstation.Current.GetLocalWorkspaceInfo(Environment.CurrentDirectory);
TfsTeamProjectCollection tpc = new TfsTeamProjectCollection(wi.ServerUri);
VersionControlServer vcs = tpc.GetService<VersionControlServer>();
Workspace workspace = vcs.GetWorkspace(wi);

// Get the identity service for the TPC.
IIdentityManagementService ims = tpc.GetService<IIdentityManagementService>();

// Get the security service for the TPC and use it to get the workspace security namespace.
ISecurityService security = tpc.GetService<ISecurityService>();
SecurityNamespace workspaceSecurityNamespace =
                       security.GetSecurityNamespace(SecurityConstants.WorkspaceSecurityNamespaceGuid);

// Get the access control list for the workspace, using the workspace's security token in the namespace.
AccessControlList acl = workspaceSecurityNamespace.QueryAccessControlList(workspace.SecurityToken,
                        null, false);

// Get the full TeamFoundationIdentity objects for the IdentityDescriptor of each access control entry.
List<IdentityDescriptor> descriptors = new List<IdentityDescriptor>();

foreach (AccessControlEntry ace in acl.AccessControlEntries)
    descriptors.Add(ace.Descriptor);

TeamFoundationIdentity[] identities = ims.ReadIdentities(descriptors.ToArray(), MembershipQuery.None,
                          ReadIdentityOptions.None);

// Display the access control list to the user.
Console.WriteLine("Access control list for " + workspace.DisplayName + Environment.NewLine);

int i = 0;

foreach (AccessControlEntry ace in acl.AccessControlEntries)
{
    if (null == identities[i])
        Console.WriteLine("  " + ace.Descriptor.Identifier + ":");
    else
        Console.WriteLine("  " + IdentityHelper.GetDomainUserName(identities[i]) + ":");

    if (0 != ace.Allow)
        Console.WriteLine("     Allow: " + ((WorkspacePermissions)ace.Allow).ToString());

    if (0 != ace.Deny)
        Console.WriteLine("     Deny: " + ((WorkspacePermissions)ace.Deny).ToString());

    i++;
}

回到我們的“public-limited”的工作區(qū)的例子，我們現(xiàn)在可以使用這些代碼來觀察這個(gè)工作區(qū)的完整訪問控制列表了。
 

修改訪問控制列表

我們可以對(duì)上面的代碼做進(jìn)一步的修改，來操作訪問控制列表。讓我們移除針對(duì)[Collection0]\Project Collection Valid Users的訪問控制條目，然后使用只給REDMOND\vseqa1授予所有權(quán)限的條目來替換它。在這個(gè)工作區(qū)上執(zhí)行這個(gè)操作需要Administer權(quán)限，當(dāng)然，擁有AdminWorkspaces全局性授權(quán)的用戶也可以做到。

// Use the current directory to infer the workspace and TFS team project collection.
WorkspaceInfo wi = Workstation.Current.GetLocalWorkspaceInfo(Environment.CurrentDirectory);
TfsTeamProjectCollection tpc = new TfsTeamProjectCollection(wi.ServerUri);
VersionControlServer vcs = tpc.GetService<VersionControlServer>();
Workspace workspace = vcs.GetWorkspace(wi);

// Get the security service for the TPC and use it to get the workspace security namespace.
ISecurityService security = tpc.GetService<ISecurityService>();
SecurityNamespace workspaceSecurityNamespace =
        security.GetSecurityNamespace(SecurityConstants.WorkspaceSecurityNamespaceGuid);

// Get the access control list for the workspace, using the workspace's security token in the namespace.
AccessControlList acl = workspaceSecurityNamespace.QueryAccessControlList(workspace.SecurityToken,
                           null, false);

WorkspacePermissions allWorkspacePermissions = WorkspacePermissions.Read | WorkspacePermissions.Use |
                                          WorkspacePermissions.CheckIn | WorkspacePermissions.Administer;

acl.RemoveAccessControlEntry(new IdentityDescriptor(IdentityConstants.TeamFoundationType,
                      GroupWellKnownSidConstants.EveryoneGroupSid));
acl.SetAccessControlEntry(new AccessControlEntry(tpc.AuthorizedIdentity.Descriptor,
                                 (int)allWorkspacePermissions, 0), false);

workspaceSecurityNamespace.SetAccessControlList(acl);

運(yùn)行這些代碼以后，我可以看到這個(gè)工作區(qū)的訪問控制列表只有兩個(gè)條目——一個(gè)是針對(duì)這個(gè)工作區(qū)的所有者的，另外一個(gè)是針對(duì)我的（REDMOND\vseqa1）。
 

因?yàn)檫@個(gè)工作區(qū)的訪問控制列表不再和預(yù)定義的“權(quán)限配置”（模板）匹配了，所以在Edit Workspace對(duì)話框中，這個(gè)“權(quán)限配置”顯示成了“Custom permissions”。
 

如果你把這個(gè)工作區(qū)的permissions組合框設(shè)置成了“Custom permissions”，那么你無需重寫這個(gè)自定義的訪問控制列表，就可以改變這個(gè)工作區(qū)的任何一個(gè)屬性了。但是如果你以后想切換回預(yù)定義的“權(quán)限配置”，只要在這個(gè)組合框中選擇相應(yīng)的“權(quán)限配置”，然后點(diǎn)擊“OK”就可以了。你的自定義訪問控制列表將會(huì)被消除和替換。如果我（所有者）不小心刪除了自己的ACE，會(huì)發(fā)生什么呢？

即使在安全服務(wù)的訪問控制列表中不存在所有者的ACE，版本控制權(quán)限檢查也會(huì)成功的。版本控制服務(wù)知道你是這個(gè)工作區(qū)的所有者，并且，也知道你擁有全部的權(quán)限。在所有者的ACE恢復(fù)以前，你無法通過安全服務(wù)更改訪問控制列表。要恢復(fù)所有者的ACE，你可以打開Edit Workspace對(duì)話框，然后隨便做一些改變（例如：改變描述）。當(dāng)你點(diǎn)擊OK的時(shí)候，在服務(wù)器上，這個(gè)工作區(qū)會(huì)被更新，所有者的ACE將會(huì)被恢復(fù)。