Verwenden von TFSSecurity zum Verwalten von Gruppen und Berechtigungen für Azure DevOps

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

Sie können das Befehlszeilentool TFSSecurity verwenden, um Gruppen und Benutzer in Azure DevOps Server zu erstellen, zu ändern und darüber hinaus Berechtigungen für Gruppen und Benutzer zu ändern. Informationen zum Ausführen dieser Aufgaben auf der Benutzeroberfläche finden Sie unter Hinzufügen von Benutzern oder Gruppen zu einem Projekt.

Wichtig

Das Befehlszeilentool TFSSecurity wurde für die Verwendung mit Azure DevOps Services veraltet. Während TFSSecurity für einige Azure DevOps Services Szenarien funktioniert, wird sie nicht unterstützt. Die empfohlene Methode zum Vornehmen von Änderungen an Sicherheitsgruppen und Berechtigungen für Azure DevOps Services verwendet entweder das Webportal, die az devops-Sicherheit oder az devops-Berechtigungs-Befehlszeilentools oder die Security REST-API.

Befehlszeilentoolspeicherort

Azure DevOps Befehlszeilentools werden im Verzeichnis "/Tools" eines Azure DevOps Anwendungsebenenservers installiert.

  • Azure DevOps Server 2020:%programfiles%\Azure DevOps Server 2020\Tools
  • Azure DevOps Server 2019:%programfiles%\Azure DevOps Server 2019\Tools
  • TFS 2018: %programfiles%\Microsoft Team Foundation Server 2018\Tools
  • TFS 2017: %programfiles%\Microsoft Team Foundation Server 15.0\Tools
  • TFS 2015: %programfiles%\Microsoft Team Foundation Server 14.0\Tools
  • TFS 2013: %programfiles%\Microsoft Team Foundation Server 12.0\Tools
  • TFS 2012: %programfiles%\Microsoft Team Foundation Server 11.0\Tools
  • TFS 2010: %programfiles%\Microsoft Team Foundation Server 2010\Tools

Hinweis

Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.

Berechtigungen

/a+: Berechtigungen hinzufügen

Verwenden Sie /a+ zum Hinzufügen von Berechtigungen für einen Benutzer oder eine Gruppe in einer Gruppe auf Serverebene, Auflistungsebene oder Projektebene. Informationen zum Hinzufügen von Benutzern zu Gruppen aus dem Webportal finden Sie unter "Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene".

tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/a+ " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, müssen Sie auch über die Berechtigung "Projektebene bearbeiten" verfügen, damit das Projekt auf "Zulassen" festgelegt ist. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.

Parameter

Argument BESCHREIBUNG
Namespace Der Namespace, der die Gruppe enthält, der Sie Berechtigungen für einen Benutzer oder eine Gruppe hinzufügen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen.
Identity Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
  • ERMÖGLICHEN
    Die Gruppe oder der Benutzer kann den Vorgang ausführen, den die Aktion angibt.
  • DENY
    Die Gruppe oder der Benutzer kann den Vorgang nicht ausführen, den die Aktion angibt.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName /
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer ausführen darf.

Beispiel: Anzeigen verfügbarer Namespaces

Im folgenden Beispiel wird angezeigt, welche Namespaces auf Serverebene für den Anwendungsebenenserver verfügbar sind, der mit dem Namen ADatumCorporation bezeichnet wird.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /a /server:ServerURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Beispiel: Anzeigen verfügbarer Aktionen

Im folgenden Beispiel wird angezeigt, welche Aktionen für den Namespace auf Serverebene auf Sammlungsebene verfügbar sind.

tfssecurity /a Server /collection:CollectionURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Beispiel: Zuweisen einer Berechtigung auf Instanzebene

Im folgenden Beispiel wird die Informationsberechtigung auf Serverebene für die ADatumCorporation-Bereitstellung für den Domänenbenutzer John Peoples (Datum1\jpeoples) gewährt.

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
      [+] GenericRead                        DATUM1\jpeoples

    Done.

Beispiel: Zuweisen einer Berechtigung auf Sammlungsebene

Im folgenden Beispiel wird die Informationsberechtigung auf Sammlungsebene für die Sammlung0-Projektsammlung für Domänenbenutzer John Peoples (Datum1\jpeoples) erteilt.

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts
      [+] GenericRead                        DATUM1\jpeoples

    Done.

/a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe

Verwenden Sie den Befehl "/a" , um einen Benutzer oder eine Gruppe aus der Mitgliedschaft in einer Gruppe auf Serverebene, Auflistungsebene oder Projektebene zu entfernen. Informationen zum Entfernen von Benutzern aus Gruppen aus dem Webportal finden Sie unter "Entfernen von Benutzerkonten".

tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]

Voraussetzungen

Um den Befehl "/a- " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, müssen Sie auch über die Berechtigung "Projektebene bearbeiten" verfügen, damit das Projekt auf "Zulassen" festgelegt ist.

Parameter

Argument BESCHREIBUNG
Namespace Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe entfernen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen.
Identity Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
  • ERMÖGLICHEN
    Die Gruppe oder der Benutzer kann den Vorgang ausführen, den die Aktion angibt.
  • DENY
    Die Gruppe oder der Benutzer kann den Vorgang nicht ausführen, den die Aktion angibt.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName /
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.

Beispiel: Anzeigen von Namespaces auf Serverebene

Das folgende Beispiel zeigt, welche Namespaces auf der Serverebene für den Anwendungsebenenserver "ADatumCorporation" verfügbar sind.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /a /server:ServerURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Beispiel: Anzeigen verfügbarer Aktionen auf Sammlungsebene

Im folgenden Beispiel wird angezeigt, welche Aktionen für den Servernamespace auf Sammlungsebene verfügbar sind.

tfssecurity /a Server /collection:CollectionURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Beispiel: Entfernen einer Berechtigung auf Instanzebene

Im folgenden Beispiel wird die Informationsberechtigung auf Serverebene für die ADatumCorporation-Bereitstellung für den Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.

tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators

    Done.

Beispiel: Entfernen einer Berechtigung auf Sammlungsebene

Im folgenden Beispiel wird die Informationsberechtigung auf Sammlungsebene für die Sammlung0-Projektsammlung für Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts

    Done.

/acl: Anzeigen der Zugriffssteuerungsliste

Verwenden Sie /acl , um die Zugriffssteuerungsliste anzuzeigen, die für ein bestimmtes Objekt gilt.

tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/acl " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung für die Berechtigung "Informationen auf Instanzebene anzeigen " verfügen, die auf "Zulassen" festgelegt ist, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Berechtigungsreferenz für Azure DevOps Server.

Parameter

Argument BESCHREIBUNG
Namespace Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe anzeigen möchten.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName /
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.

Beispiel: Auflisten von ACL-Zuordnungen zu einem Namespace auf Serverebene

Im folgenden Beispiel wird angezeigt, welche Benutzer und Gruppen Zugriff auf das FrameworkGlobalSecurity-Token im Servernamespace innerhalb der ADatumCorporation-Bereitstellung haben.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL 

Beispielausgabe:

	TFSSecurity - Team Foundation Server Security Tool
	Copyright (c) Microsoft Corporation.  All rights reserved.
	The target Team Foundation Server is http://ADatumCorporation:8080/.
	Retrieving the access control list for object "Server"...

	Effective ACL on object "FrameworkGlobalSecurity":
	  [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
	  [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
	  [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
	  [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
	  [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
	  [+] GenericRead                        DATUM1\jpeoples

	Done.

Gruppen

/g: Auflisten der Gruppen

Verwenden Sie /g, um die Gruppen in einem Projekt, in einer Projektsammlung oder über Azure DevOps Server auflisten.

tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/g " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Um den Befehl "/g" im Bereich eines einzelnen Projekts zu verwenden, müssen Sie über die Berechtigung " Informationen auf Projektebene anzeigen " verfügen, die auf "Zulassen" festgelegt ist. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.

Parameter

Argument BESCHREIBUNG
scope Optional. Gibt den URI des Projekts an, für das Gruppen angezeigt werden sollen. Um den URI für ein Projekt abzurufen, öffnen Sie Team-Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Eintrag für die URL.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName /
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Der Befehl "/g" des Befehlszeilenprogramm TFSSecurity zeigt Informationen zu jeder Gruppe innerhalb des ausgewählten Bereichs an. Dieser Bereich kann die Projektsammlung (/server) oder der Anwendungsebenenserver (/Instanz) sein. Wenn sie mit dem Umfang eines Projekts verwendet wird, werden nur Informationen zu den Gruppen angezeigt, die diesem Projekt zugeordnet sind.

Beispiel: Anzeigen von Gruppeninformationen auf Sammlungsebene

Im folgenden Beispiel werden Informationen für alle Gruppen in einer Projektsammlung angezeigt.

tfssecurity /g /collection:CollectionURL

/g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe

Verwenden Sie /g+ , um einem Benutzer oder einer anderen Gruppe eine vorhandene Gruppe hinzuzufügen.

tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/g+ " zu verwenden, müssen Sie die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder informationen auf Instanzebene anzeigen und Berechtigungen auf Instanzebene bearbeiten, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
groupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
memberIdentity Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName /
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Sie können auch Benutzer und Gruppen zu einer vorhandenen Gruppe mithilfe des Team-Explorers hinzufügen. Weitere Informationen finden Sie unter "Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene".

Beispiel: Hinzufügen eines Benutzers zu einer Gruppe auf Serverebene

Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) der Gruppe "Team Foundation-Administratoren" hinzugefügt.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    4 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/g-: Entfernen eines Benutzers oder einer Gruppe

Verwenden Sie "/g" , um einen Benutzer oder eine Benutzergruppe aus einer vorhandenen Gruppe zu entfernen.

tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /g- zu verwenden, müssen Sie über die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder informationen auf Instanzebene anzeigen und Berechtigungen auf Instanzebene bearbeiten, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
groupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen.
memberIdentity Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.

Sie können auch Benutzer und Gruppen zu einer vorhandenen Gruppe mithilfe des Team-Explorers hinzufügen. Weitere Informationen finden Sie unter Entfernen von Benutzern aus einer Projektgruppeoder festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

Beispiel: Entfernen eines Benutzers aus einer Serverebenengruppe

Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) aus der Gruppe "Team Foundation-Administratoren" entfernt.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    3 member(s):
      [U] Datum1\hholt (Holly Holt)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/gc: Erstellen einer Projektebenengruppe

Verwenden Sie "/gc " in einer Eingabeaufforderung, um eine Gruppe auf Projektebene zu erstellen. Informationen zum Erstellen einer Projektebenengruppe über die Benutzeroberfläche finden Sie unter Verwalten von Benutzern oder Gruppen.

tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]

Voraussetzungen

Um den Befehl "/gc " zu verwenden, müssen Sie über die Berechtigung "Informationen bearbeiten Project-Level" für dieses Projekt verfügen, das auf "Zulassen" festgelegt ist. Weitere Informationen finden Sie unter Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
`Scope` Der URI des Projekts, zu dem Sie eine Projektebenengruppe hinzufügen möchten. Um den URI für ein Projekt abzurufen, stellen Sie eine Verbindung mit dem Projekt her, und öffnen Sie den Team-Explorer, zeigen Sie auf den Namen des Projekts in Home, und lesen Sie die Adresse. Alternativ können Sie in Web Access eine Verbindung mit dem Projekt herstellen und die URL kopieren.
GroupName Der Name der neuen Gruppe.
Groupdescription Eine Beschreibung der Projektgruppe. Optional.
/collection :CollectionURL Die URL der Projektsammlung. Erforderlich. Die Gruppe wird innerhalb der Projektsammlung erstellt. Das Format für die URL ist http:// ServerName : Port / VirtualDirectoryName-AuflistungName /

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.

Eine Projektebenengruppe ist eine Sicherheitsgruppe für Ihr Projekt. Mithilfe von Projektgruppen können Sie Lese-, Schreib- und Administratorberechtigungen gewähren, die die Sicherheitsanforderungen Ihrer Organisation erfüllen.

Beispiel: Hinzufügen einer Sicherheitsgruppe zu einem Projekt

Im folgenden Beispiel wird eine Gruppe erstellt, die spezifisch für das vom URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000" angegebene Projekt ist. Die Gruppe hat den Namen "Test Group" und die Beschreibung "This group is for testing."

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

Sie müssen die Platzhalter-GUID durch den URI des Projekts ersetzen, für das Sie diese Gruppe erstellen möchten. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Wert der URL-Eigenschaft.

Nachdem Sie den Befehl ausgeführt haben, können Sie die Gruppe im Team-Explorer überprüfen. Klicken Sie mit der rechten Maustaste auf das Projekt, das Sie im Befehl verwendet haben, klicken Sie auf Project Einstellungen, und klicken Sie dann auf Gruppenmitgliedschaften. Im Dialogfeld Projektgruppen in Teamprojektname enthält die Liste Gruppen den Eintrag "Test Group".

Hinweis

Sie können den Befehl /gc verwenden, um Gruppen zu erstellen, aber keine Benutzer zu den Gruppen hinzuzufügen oder Berechtigungen zuzuweisen. Informationen zum Ändern der Mitgliedschaft der Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.

tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL

/gcg: Erstellen einer Server- oder Sammlungsebenengruppe

Verwenden Sie den Befehl "/gcg ", um eine Gruppe auf Serverebene oder Auflistungsebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Sammlungsebene im Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`

Voraussetzungen

Um den Befehl "/gcg " zu verwenden, müssen Sie über die Berechtigung "Projektebene bearbeiten " für dieses Projekt verfügen, das auf "Zulassen" festgelegt ist. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.

Parameter

Argument BESCHREIBUNG
GroupName Der Gruppenname.
Groupdescription Eine Beschreibung der Gruppe. Optional.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.

Serverebenengruppen werden direkt auf der Anwendungsebene erstellt und gelten für alle Projektsammlungen. Sammlungsebene wird auf Projektsammlungsebene erstellt. Sie gelten für diese Sammlung und haben Auswirkungen auf alle Projekte in der Sammlung. Im Gegensatz dazu gelten Projektgruppen für ein bestimmtes Projekt in einer Auflistung, aber nicht für andere Projekte in dieser Auflistung. Sie können Berechtigungen für Gruppen auf Serverebene zuweisen, damit Mitglieder dieser Gruppen Aufgaben in Azure DevOps Server selbst ausführen können, z. B. das Erstellen von Projektsammlungen. Sie können Gruppen auf Sammlungsebene Berechtigungen zuweisen, damit Mitglieder dieser Gruppen Aufgaben in einer Projektsammlung ausführen können, z. B. die Verwaltung von Benutzern.

Hinweis

Sie können den Befehl "/gcg " verwenden, um Gruppen zu erstellen, sie können jedoch keine Benutzer zu den Gruppen hinzufügen oder Berechtigungen zuweisen. Informationen zum Ändern der Mitgliedschaft einer Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.

Beispiel: Hinzufügen einer Sicherheitsgruppe auf Auflistungsebene

Im folgenden Beispiel wird eine Auflistungsebenengruppe erstellt, die "Datum Tester" mit der Beschreibung "A" genannt wird. Datum Corporation Tester."

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL

Im folgenden Beispiel wird eine Serverebene-Gruppe erstellt, die "Datum Auditoren" mit der Beschreibung "A" genannt wird. Datum Corporation Auditoren."

tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL

/gd: Löschen einer Server- oder Sammlungsebenengruppe

Verwenden Sie /gd , um eine Gruppe auf Serverebene oder Auflistungsebene zu löschen.

tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /gd zu verwenden, müssen Sie über die Informationen auf Sammlungsebene auf Sammlungsebene und Die Informationen auf Sammlungsebene bearbeiten oder die Informationen auf Instanzebene auf Instanzebene und die Berechtigungen für Die Instanzebene bearbeiten, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.

Parameter

Argument BESCHREIBUNG
groupIdentity Gibt die Gruppenidentität an.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus. Informationen zum Ändern von Berechtigungen über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

Beispiel: Löschen einer Sicherheitsgruppe auf Auflistungsebene

Im folgenden Beispiel wird eine Gruppe aus der Projektsammlung gelöscht. Die Gruppe wird von "S-1-5-21-2127521184-1604012920-1887927927527-588340", dem Sicherheitsbezeichner (SID) identifiziert. Weitere Informationen zum Suchen der SID einer Gruppe finden Sie unter /im: Anzeigen von Informationen zu Identitäten, die direkte Mitgliedschaft verfassen. Sie können auch den Anzeigenamen verwenden, um eine Gruppe zu löschen.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL

/gud: Ändern der Beschreibung für eine Server- oder Sammlungsebenengruppe

Verwenden Sie /gud , um die Beschreibung für eine Gruppe auf Serverebene oder Auflistungsebene zu ändern.

tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/gud " zu verwenden, müssen Sie die Berechtigung "Projektebeneninformationen bearbeiten" auf "Zulassen" festlegen. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.

Parameter

Argument BESCHREIBUNG
GroupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen.
Groupdescription Gibt die neue Beschreibung für die Gruppe an.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.

Beispiel: Hinzufügen einer Beschreibung zu einer Sicherheitsgruppe

Im folgenden Beispiel wird die Beschreibung "Die Mitglieder dieser Gruppe testen den Code für dieses Projekt" mit der Gruppe "Datum Testers" verknüpft.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL

/gun: Umbenennen einer Gruppe

Verwenden Sie /gun , um eine Gruppe auf Serverebene oder Auflistungsebene umzubenennen.

tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/gun " zu verwenden, müssen Sie die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder die Informationen auf Instanzebene auf Instanzebene und die Berechtigungen auf Instanzebene bearbeiten, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.

Parameter

Argument BESCHREIBUNG
GroupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen.
GroupName Gibt den neuen Namen der Gruppe an.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.

Beispiel: Umbenennen einer Sicherheitsgruppe

Im folgenden Beispiel wird die Gruppe "A auf Auflistungsebene" umbenannt. Datum Corporation Testers" auf "A. Datum Corporation Test Engineers."

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL

Identitäten und Mitgliedschaft

/i: Anzeigen von Identitätsinformationen für eine angegebene Gruppe

Verwenden Sie /i, um Identitätsinformationen für eine angegebene Gruppe in einer Bereitstellung von Azure DevOps Server anzuzeigen.

tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/i " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Ansichtsebene" auf "Zulassen" verfügen, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.

Parameter

Argument BESCHREIBUNG
Identity Die Identität des Benutzers oder der Anwendungsgruppe. Weitere Informationen zu Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Der Befehl "/i " des Befehlszeilenprogramms TFSSecurity zeigt Informationen zu jeder Gruppe in der Projektsammlung (/server) oder dem Anwendungsebenenserver (/instanz) an. Es werden keine Mitgliedschaftsinformationen angezeigt.

Beispiel: Auflisten von Identitätsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Team Foundation-Administratoren" angezeigt.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /i "Team Foundation Administrators" /server:ServerURL 

Beispielausgabe:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: Team Foundation Administrators
      Description: Members of this application group can perform all privileged operations on the server.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Sammlungsadministratoren" mithilfe der "adm: Identitätsbezeichner" angezeigt.

tfssecurity /i adm: /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [DatumOne]\Project Collection Administrators
      Description: Members of this application group can perform all privileged operations on the project collection.

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Administratoren" für das Projekt "Datum" mithilfe des Adm: Identitätsbezeichners angezeigt.

tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Datum
     Display name: [Datum]\Project Administrators
      Description: Members of this application group can perform all operations in the project.

/im: Anzeigen von Informationen zu Identitäten, die direkte Mitgliedschaft verfassen

Verwenden Sie "/im ", um Informationen zu den Identitäten anzuzeigen, die die direkte Mitgliedschaft einer von Ihnen angegebenen Gruppe verfassen.

tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/im " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
Identity Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName /
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Der Befehl "/im " von TFSSecurity zeigt nur die direkten Mitglieder der angegebenen Gruppe an. Diese Liste umfasst weitere Gruppen, die Mitglieder der angegebenen Gruppe sind. Die tatsächlichen Mitglieder der Mitgliedsgruppen werden jedoch nicht aufgelistet.

Beispiel: Anzeigen von Mitgliedschaftsidentitäten für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen zu direkten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /im "Team Foundation Administrators" /server:ServerURL

Beispielausgabe:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    3 member(s):
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Sammlungsadministratoren" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /im adm: /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    5 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)

    Done.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Administratoren" für das Projekt "DatumOne" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

/imx: Anzeigen von Informationen zu den Identitäten, die die erweiterte Mitgliedschaft haben

Verwenden Sie "/imx ", um Informationen zu den Identitäten anzuzeigen, die die erweiterte Mitgliedschaft einer angegebenen Gruppe verfassen.

tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/imx " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt ist, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
Identity Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName /
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsserver für Azure DevOps aus.

Der Befehl "/imx" von TFSSecurity zeigt nur die erweiterten Mitglieder der angegebenen Gruppe an. Diese Liste enthält nicht nur andere Gruppen, die Elemente der angegebenen Gruppe sind, sondern auch Elemente der Elementgruppen.

Beispiel: Anzeigen erweiterter Mitgliedschaftsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen zu erweiterten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /imx "Team Foundation Administrators" /server:ServerURL

Beispielausgabe:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    10 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [U] Datum1\tommyh (Tommy Hartono)
      [U] Datum1\henriea (Henriette Andersen)
      [U] Datum1\djayne (Darcy Jayne)
      [U] Datum1\aprilr (April Reagan)
      [G] Datum1\InfoSec Secure Environment
      [U] Datum1\nbento (Nuno Bento)
      [U] Datum1\cristp (Cristian Petculescu)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 3 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Sammlungsadministratoren" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /imx adm: /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    6 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [InstanceName]\Team Foundation Service Accounts
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Administratoren" für das Projekt "DatumOne" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 2 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Weitere Informationen zu den Ausgabebezeichnern, z. B. [G] und [U], finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .

/m: Überprüfen der expliziten und impliziten Gruppenmitgliedschaft

Verwenden Sie "/m ", um explizite und implizite Gruppenmitgliedschaftsinformationen für eine angegebene Gruppe oder einen bestimmten Benutzer zu überprüfen.

tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl "/m " zu verwenden, müssen Sie Mitglied der Sicherheitsgruppe "Team Foundation-Administratoren" sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Hinweis

Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.

Parameter

Argument BESCHREIBUNG
GroupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen.
MemberIdentity Gibt die Mitgliedsidentität an. Standardmäßig ist der Wert dieses Arguments die Identität des Benutzers, der den Befehl ausführt. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf dem lokalen Anwendungsebenencomputer aus.

Der Befehl "/m " des Befehlszeilen-Dienstprogramms TFSSecurity überprüft sowohl direkte als auch erweiterte Mitgliedschaften.

Beispiel: Überprüfen der Mitgliedschaft eines Benutzers in einer Sicherheitsgruppe

Im folgenden Beispiel wird überprüft, ob der Benutzer "Datum1\jpeoples" zur Gruppe "Team Foundation-Administratoren" gehört.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Checking group membership...

    John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.

    Done.

Sicherheitsnamespaces

Hinweis

Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Namespaces unterliegen der Änderung im Laufe der Zeit. Um die neueste Liste der Namespaces abzurufen, führen Sie eine der Befehlszeilentools oder REST-API aus. Einige Namespaces wurden veraltet. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz.

Identitätsspezifikationen

Sie können auf eine Identität verweisen, indem Sie eine der Notationen in der folgenden Tabelle verwenden.

Identitätsbezeichner BESCHREIBUNG Beispiel
Sid: Sid. Verweist auf die Identität, die den angegebenen Sicherheitsbezeichner (SID) aufweist. sid:S-1-5-21-2127521184-1604012920-188792752727-588340
n:[D omain]Name Verweist auf die Identität, die den angegebenen Namen hat. Für Windows ist der Name der Kontoname. Wenn sich die referenzierte Identität in einer Domäne befindet, ist der Domänenname erforderlich. Für Anwendungsgruppen ist Name der Gruppenanzeigename und Domäne der URI oder GUID des enthaltenden Projekts. Wenn die Domäne nicht angegeben wird, wird der Bereich auf Sammlungsebene angenommen. Um auf die Identität des Benutzers "John Peoples" in der Domäne "Datum1" im fiktiven Unternehmen "A" zu verweisen. Datum Corporation:"

n:DATUM1\jpeoples

So verweisen Sie auf Anwendungsgruppen:

n:"Vollzeitmitarbeiter"

n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors
adm:[Bereich] Verweist auf die Administrative Anwendungsgruppe für den Bereich, z. B. "Team Foundation-Administratoren" für die Serverebene oder "Project Sammlungsadministratoren" auf Sammlungsebene. Der optionale ParameterBereich ist ein Projekt-URI oder eine URL, einschließlich seiner GUID- und Verbindungszeichenfolge. Wenn der Bereich nicht angegeben wird, wird der Server- oder Auflistungsbereich basierend auf der Verwendung des /instance- oder /server-Parameters angenommen. In beiden Fällen ist der Doppelpunkt noch erforderlich. adm:vstfs:///Classification/TeamProject/ GUID
Srv: Verweist auf die Anwendungsgruppe für Dienstkonten. Nicht verfügbar
Alle: Verweist auf alle Gruppen und Identitäten. Nicht verfügbar
String Verweist auf eine nicht qualifizierte Zeichenfolge. Wenn String mit S-1 beginnt, wird er als SID identifiziert. Wenn String mit CN= oder LDAP:// beginnt, wird er als unterschiedener Name identifiziert. Andernfalls wird Zeichenfolge als Name identifiziert. "Team-Tester"

Typmarkierungen

Die folgenden Markierungen werden verwendet, um Typen von Identitäten und ACEs in Ausgabenachrichten zu identifizieren.

Identitätstypmarkierungen

Identitätstypmarkierung Beschreibung
U Windows Benutzer.
G Windows-Gruppe.
A Azure DevOps Server Anwendungsgruppe.
a [ A ] Administrative Anwendungsgruppe.
s [ A ] Dienstkontoanwendungsgruppe.
X Die Identität ist ungültig.
? Identität ist unbekannt.

Zugriffssteuerungseintragsmarkierungen

Zugriffssteuerungseintragsmarkierung BESCHREIBUNG
+ Zugriffssteuerungseintrag ZULASSEN.
- Zugriffssteuerungseintrag verweigern.
* [] Geerbter Zugriffssteuerungseintrag.