陈中祥的BLOG

我在给企业做project server实施过程中了解到，很多公司对project server的权限管理都不是特别清楚，在此我简单做一下说明，以便大家更好的了解它：

1.1 了解 Project Web Access 权限

1.1.1 概述
权限定义了用户在通过 Microsoft Project Professional 2003 或 Microsoft Project Web Access 与 Microsoft Project Server 交互时有权执行的操作。
通过创建定义了权限集的安全模板，您可以允许或拒绝个别或一组 Microsoft Project Web Access 用户的权限，然后在模板的基础上指派用户和组权限。 您可以使用类别来定义这些用户和组有权查看的指定项目和资源。 您还可以为 Microsoft Project Web Access 功能设置权限，设置这些功能是否在组织内通用（使其从整体上对单位可用或不可用）。
Microsoft Project Web Access 权限的工作方式类似于 Microsoft Windows 2000 和 Microsoft Windows NT 中的权限。用户和组是安全主体。类别和单位是安全对象。可以用权限来允许或拒绝安全主体访问安全对象。

下面是 Microsoft Project Server 安全模型的实体：
“用户” 被授予 Microsoft Project Server 指定区域的访问权限的个人，用户可以被分配至组。
“组” 对 Microsoft Project Server 有相同访问要求的用户的集合。
“模板” 一组用于授予用户、组和类别权限的预定义权限。
“类别” 一组安全对象。 例如，项目组或资源组。
“单位” 存在于 Microsoft Project Server 单个安装中的项目、资源和数据层。
“权限” 与安全对象相关联的规则，用于规定对 Microsoft Project Server 的访问权。 权限的两种类型： 全局权限规定对指定功能和用户活动的访问权（例如，访问企业全局模板的权限），而对象权限则规定对应用程序内指定区域的访问权。

1.1.2 用户
用户即Microsoft Project Server的使用者，用户不同于资源，资源是项目中具体工作任务的承担者；在Microsoft Project Server中用户和资源的关系是：资源一定是用户，用户不一定是资源，排除企业常规资源。
必须为每个用户授予查看或访问 Microsoft Project Web Access 特定区域中数据的权限。您可以按用户级别授予权限，也可以将用户分配到组中（建议使用这种方式），然后按组级别授予权限。一个用户可以是任意多个组的成员。

1.1.3 组
用户组只是分配了相同权限的单个用户的集合。您可以将具有共同安全要求的单个用户合并到一个组中，以减少需要管理的安全主体数。如果需要提供访问单位内部数据的新方法（例如当公司雇用了承包商时，可能希望承包商具有与一般工作组成员不同的权限集），可以创建自定义组。
将安全模板和组结合使用，可以简化权限的设置过程。首先新建一个安全模板（最好和组具有相同的名称），然后根据新的安全模板为组中的所有用户授予权限。

Microsoft Project Web Access 包含下列默认组：
管理员：管理员组被授予 Microsoft Project Server 中的所有可用权限和“我的单位”类别中的所有权限。
主管人员：组织中需要项目和资源的查看权利的用户可被加到“主管人员”组中。 该组有权查看保存或发布至服务器的任何项目和资源。 管理员必须手动为主管人员创建用户帐号。 只有工作组成员和项目经理账户可以自动创建。主管人员组被授予“我的单位”类别上的权限。主管人员组被授予查看 Project Center、Resource Center、Portfolio Analyzer 和 Portfolio Modeler 中项目和资源信息的全局权限。

项目组合经理：组织中管理企业啊模板和企业资源的用户可以被添加至“项目组合经理”组。 这些用户拥有创建和编辑数据的能力，但不能执行服务器管理任务（例如，他们不能添加用户或组）。 项目组合经理能查看和编辑组织内的所有项目和资源。 该组被授予“我的单位”类别上的权限。
项目经理：项目经理组被授予“我的单位”类别上的权限。 项目经理组能查看和编辑该类别下的项目。 项目经理被授予众多全局权限，他们有权创建新项目、状态报告和待办事项。 此外该组还被授予“我的项目”类别上的有限权限。

资源经理：该组适用于不需要管理项目，但需要有限的查看和编辑项目信息的能力的用户。 该组被授予我的项目, 我的直接下属, 我的资源, 新业务资源类别上的权限。
工作组领导：该组适用于不需要管理项目，但需要有限的查看和编辑项目信息的能力的用户。 该组被授予“我的项目”类别上的权限。

资源：在项目被发布至服务器时，服务器端将为该项目计划中的所有新资源创建账户。 默认情况下，服务器添加新的资源至工作组成员组，该组被授予“我的任务”类别的权限。 工作组成员组通常拥有查看该类别下数据的权限，但没有编辑权限。 工作组成员账户被授权众多的全局权限，有权使用 Microsoft Project Web Access 时间表、状态报告和待办事项功能。
注释  一个组不能是其他组的组成部分。

1.1.4 模板
安全模板是预定义的权限集。对于需要访问相同数据的用户组，使用安全模板可以简化权限的授予过程。您可以使任意数量的单个用户和组和一个安全模板相关联。

Microsoft Project Web Access 包含下列默认模板：
管理员: Project Server 管理员默认权限模板, 默认权限包括：存比较基准, 保存企业全局设置, 保存项目, 保存项目模板, 备份全局模板, 编辑企业资源数据, 查看“调整实际值”, 查看风险, 查看风险、问题和文档, 查看工作分配视图, 查看工作分配视图中的资源分配, 查看模型, 查看企业资源数据, 查看时间表, 查看文档, 查看问题, 查看项目视图, 查看项目视图的项目, 查看项目中心, 查看项目中心的项目, 查看项目组合分析器, 查看主页, 查看状态报告列表, 查看资源分配, 查看资源中心, 创建管理项目, 创建和管理待办事项列表, 从 Microsoft Office Project 创建帐户, 从 Project Web Access 脱机, 打开项目, 打开项目模板, 登录, 调整实际值, 读取企业全局设置, 发布/更新/状态, 发布待办事项列表到所有用户, 分配待办事项列表任务, 分配资源, 更改工作日, 关于 Microsoft Office Project Server 2003, 管理 Windows SharePoint Services, 管理安全性, 管理服务器配置, 管理规则, 管理企业功能, 管理任务更改, 管理视图, 管理用户和组, 管理状态报告请求, 基于项目建立工作组, 基于新项目建立工作组, 连接到使用 Microsoft Project 2002 的 Project Server, 批准资源的时间表, 签入我的项目, 请求状态报告时创建帐户, 删除项目, 设置个人通知, 设置资源通知, 时间表批准, 提交状态报告, 委派任务, 委派任务时创建帐户, 向项目工作组分配资源, 新建任务分配, 新建任务或工作分配, 新建项目, 新建项目任务, 新建资源, 修改密码, 用户定义 1 , 用户定义 2 , 用户定义 3 , 与外部时间表系统结合, 在时间表中隐藏任务, 整理 Project Server 数据库, 自定义 Project Web Access。

主管人员 默认权限包括：查看风险, 查看风险、问题和文档, 查看工作分配视图, 查看工作分配视图中的资源分配, 查看模型, 查看企业资源数据, 查看文档, 查看问题, 查看项目视图, 查看项目视图的项目, 查看项目中心, 查看项目中心的项目, 查看项目组合分析器, 查看主页, 查看状态报告列表, 查看资源分配, 查看资源中心, 创建和管理待办事项列表, 从 Project Web Access 脱机, 登录, 发布待办事项列表到所有用户, 分配待办事项列表任务, 管理状态报告请求, 签入我的项目, 设置个人通知, 设置资源通知, 提交状态报告, 修改密码, 用户定义 1 , 用户定义 2 , 用户定义 3 , 与外部时间表系统结合。

项目组合经理 默认权限包括：保存企业全局设置, 保存项目, 保存项目模板, 编辑企业资源数据, 查看风险, 查看风险、问题和文档, 查看工作分配视图, 查看工作分配视图中的资源分配, 查看模型, 查看企业资源数据, 查看文档, 查看问题, 查看项目视图, 查看项目视图的项目, 查看项目中心, 查看项目中心的项目, 查看项目组合分析器, 查看主页, 查看资源分配, 查看资源中心, 从 Project Web Access 脱机, 打开项目, 打开项目模板, 登录, 读取企业全局设置, 发布/更新/状态, 分配资源, 管理企业功能, 管理视图, 基于项目建立工作组, 基于新项目建立工作组, 签入我的项目, 删除项目, 设置个人通知, 设置资源通知, 向项目工作组分配资源, 新建项目, 新建资源, 修改密码, 用户定义 1 , 用户定义 2 , 用户定义 3 , 与外部时间表系统结合。

项目经理 默认权限包括：保存比较基准, 保存项目, 保存项目模板, 查看风险, 查看风险、问题和文档, 查看工作分配视图, 查看工作分配视图中的资源分配, 查看企业资源数据, 查看时间表, 查看文档, 查看问题, 查看项目视图, 查看项目视图的项目, 查看项目中心, 查看项目中心的项目, 查看主页, 查看状态报告列表, 创建和管理待办事项列表, 从 Microsoft Office Project 创建帐户, 从 Project Web Access 脱机, 打开项目, 打开项目模板, 登录, 读取企业全局设置, 发布/更新/状态, 发布待办事项列表到所有用户, 分配待办事项列表任务, 管理规则, 管理任务更改, 管理状态报告请求, 基于项目建立工作组, 基于新项目建立工作组, 签入我的项目, 请求状态报告时创建帐户, 删除项目, 设置个人通知, 设置资源通知, 提交状态报告, 委派任务, 委派任务时创建帐户, 向项目工作组分配资源, 新建任务分配, 新建任务或工作分配, 新建项目, 新建项目任务, 修改密码, 用户定义 1 , 用户定义 2 , 用户定义 3 , 与外部时间表系统结合, 在时间表中隐藏任务。

资源经理 默认权限包括：查看风险, 查看风险、问题和文档, 查看工作分配视图, 查看文档, 查看问题, 查看项目视图, 查看项目中心, 查看项目中心的项目, 查看主页, 查看状态报告列表, 查看资源分配, 查看资源中心, 创建管理项目, 创建和管理待办事项列表, 从 Project Web Access 脱机, 登录, 读取企业全局设置, 发布待办事项列表到所有用户, 分配待办事项列表任务, 管理状态报告请求, 基于新项目建立工作组, 签入我的项目, 设置个人通知, 设置资源通知, 时间表批准, 提交状态报告, 向项目工作组分配资源, 新建任务或工作分配, 新建资源, 修改密码, 用户定义 1 , 用户定义 2 , 用户定义 3 , 与外部时间表系统结合。

工作组领导 默认权限包括：查看风险, 查看风险、问题和文档, 查看工作分配视图, 查看工作分配视图中的资源分配, 查看文档, 查看问题, 查看项目视图的项目, 查看项目中心的项目, 查看主页, 查看状态报告列表, 创建和管理待办事项列表, 从 Project Web Access 脱机, 登录, 发布待办事项列表到所有用户, 分配待办事项列表任务, 管理状态报告请求, 签入我的项目, 设置个人通知, 设置资源通知, 提交状态报告, 新建任务或工作分配, 修改密码, 用户定义 1 , 用户定义 2 , 用户定义 3 , 与外部时间表系统结合。

工作组成员 默认权限包括：查看风险, 查看风险、问题和文档, 查看时间表, 查看文档, 查看问题, 查看项目视图, 查看项目视图的项目, 查看项目中心, 查看项目中心的项目, 查看主页, 查看状态报告列表, 创建和管理待办事项列表, 从 Project Web Access 脱机, 登录, 发布待办事项列表到所有用户, 分配待办事项列表任务, 更改工作日, 签入我的项目, 设置个人通知, 提交状态报告, 新建任务分配, 新建任务或工作分配, 新建项目任务, 修改密码, 用户定义 1 , 用户定义 2 , 用户定义 3 , 与外部时间表系统结合, 在时间表中隐藏任务。

1.1.5 类别
类别是授权用户或组进行查看的项目或资源的集合。有关创建类别的详细信息，请参阅 Microsoft Project Web Access 帮助中的“添加类别”。当需要提供新的访问项目和资源数据的方式时，可以创建自定义类别。Microsoft Project Web Access 包含下列默认类别：
我的单位：“我的单位”类别通过安全规则将发布或保存至服务器的所有项目、资源和工作分配包含在内。

我的项目：“我的项目”类别通过安全规则将项目经理保存或发布至服务器的所有项目以及项目中的所有分配包含在内。
我的任务：“我的任务”类别通过安全规则将指派给工作组成员的所有项目及所有工作组成员的任务分配包含在内。

1.1.6 单位
单位是存在于单个 Microsoft Project Server 2003 安装中的项目、用户和数据的集合。按单位级别设置权限允许您根据权限，使功能同时对 Project Web Access 或 Microsoft Project Server 的所有用户可用或不可用。如果在单位级别上允许或拒绝权限，不论其他位置的权限设置如何，单位内的所有用户都将受到影响。
注释  每个 Microsoft Project Server 只能有一个单位。

1.2 权限

何时选择“允许”、“拒绝”或“不允许”权限？
在 Microsoft Project Web Access 中，每个权限都可以设为“允许”、“拒绝”或“不允许”：

1.2.1 允许
• 若要使任何用户或组成员都能执行和权限相关联的操作，必须选择“允许”。
注释  根据默认的组，在大多数情况下，Project Web Access 中的默认组权限都设置为“允许”。在单位级别上，所有权限都设为“允许”。

1.2.2 拒绝
• 应慎用“拒绝”。如果在某个 Microsoft Project Web Access 位置处拒绝了一个用户的某个特定权限，不论组、模板或类别如何，vProject Web Access 的所有位置都会拒绝该用户的此访问权限。
注释  默认情况下，没有权限被设置为“拒绝”。

1.2.3 不允许
• 严格地讲，“不允许”并不是一种权限，它是既没有为相同组中的相同权限选择“允许”又没有为其选择“拒绝”时的一种状态。如果一个用户属于多个组，这些组中至少有一个组的相同权限设为“允许”（而非“拒绝”），该用户可以执行和所有组的该权限相关联的操作。也就是说，如果在一个组或类别中允许用户使用某个权限，将在该用户所属的或相关联的所有组和类别中允许其使用该权限。

1.2.4 示例
在以下示例中，如果列 A 设为 1，权限将设为“允许”；如果列 D 设为 1，权限将设为“拒绝”；如果两列都设为 0，既不允许也不拒绝该权限（“不允许”）：
• 某个用户属于三个组：“组 1”、“组 2”及“资源”。“组 1”和“组 2”是您创建的自定义组，但您已将这些自定义组的权限“向用户分配任务”设置为“拒绝”：

• 
• Name      A   D
• -------- --- ---
• Group 1   0   1
• Group 2   0   1
• Resource  1   0
在这种情况下，已明确拒绝了用户向自定义组中的用户分配任务的权限，这将覆盖“资源”组中设为“允许”的权限。此用户无法向用户分配任务。

• 某个用户属于两个组：“组 1”和“组 2”。这是您创建的两个自定义组，但您忘记授予了“允许查看时间表”权限：
• 
• Name      A   D
• -------- --- ---
• Group 1   0   0
• Group 2   0   0
在这种情况下，既不允许也不拒绝用户查看其时间表的权限。由于未明确允许该用户查看时间表，因此他将无权访问时间表。

• 某个用户属于三个组：“资源”、“组 1”及“组 2”。“组 1”和“组 2”是您创建的自定义组，但您未指定属于这些自定义组的用户是否可以登录：
• 
• Name      A   D
• -------- --- ---
• Resource  1   0
• Group 1   0   0
• Group 2   0   0
在这种情况下，用户仍然可以登录，这是因为您未在任何组中拒绝此权限，而在某个组中却允许他们使用该权限。

在设置权限时应考虑的一点是：由于“拒绝”可以覆盖其他区域中得到允许的权限，因此具有很强的限制性。您也许发现尽可能少地使用“拒绝”会更便于管理大型用户组。

1.3 Microsoft Project Web Access 中的全局权限

1.3.1 常规权限

1.3.2 任务权限

1.3.5 查看权限

1.3.10

1.3.11

1.4 Microsoft Project Web Access 中的对象权限

对象权限