Usar TFSSecurity para administrar grupos y permisos para Azure DevOps

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Nota

Azure DevOps Server anteriormente se denominaba Visual Studio Team Foundation Server.

Puede usar la herramienta de línea de comandos TFSSecurity para crear, modificar y eliminar grupos y usuarios en Azure DevOps Server y, además, modificar permisos para grupos y usuarios. Para obtener información sobre cómo realizar estas tareas en la interfaz de usuario, vea Agregar usuarios o grupos a un proyecto.

Importante

La herramienta de línea de comandos TFSSecurity está en desuso para su uso con Azure DevOps Services. Aunque TFSSecurity puede funcionar en algunos escenarios de Azure DevOps Services, no se admite. El método recomendado para realizar cambios en los grupos de seguridad y los permisos para Azure DevOps Services es usar el portal web, las herramientas de línea de comandos AZ DevOps Security o AZ DEVOPS Permission , o la API de REST de seguridad.

Ubicación de la herramienta de línea de comandos

Las herramientas de línea de comandos de Azure DevOps se instalan en el directorio/Tools de un servidor de capa de aplicación DevOps de Azure.

  • Azure DevOps Server 2020: %programfiles%\Azure DevOps Server 2020\Tools
  • Azure DevOps Server 2019: %programfiles%\Azure DevOps Server 2019\Tools
  • TFS 2018: %programfiles%\Microsoft Team Foundation Server 2018\Tools
  • TFS 2017: %programfiles%\Microsoft Team Foundation Server 15.0\Tools
  • TFS 2015: %programfiles%\Microsoft Team Foundation Server 14.0\Tools
  • TFS 2013: %programfiles%\Microsoft Team Foundation Server 12.0\Tools
  • TFS 2012: %programfiles%\Microsoft Team Foundation Server 11.0\Tools
  • TFS 2010: %programfiles%\Microsoft Team Foundation Server 2010\Tools

Nota

Aunque haya iniciado sesión con credenciales administrativas, debe abrir un símbolo del sistema con privilegios elevados para realizar esta función.

Permisos

/a +: agregar permisos

Use /a + para agregar permisos para un usuario o un grupo en un grupo de nivel de servidor, de nivel de colección o de nivel de proyecto. Para agregar usuarios a grupos desde el portal web, vea establecer permisos en el nivel de proyecto o de colección.

tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /a + , debe tener el permiso ver información de nivel de colección o ver información de nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Si va a cambiar los permisos de un proyecto, también debe tener el permiso editar información de nivel de proyecto para el proyecto establecido en permitir. Para obtener más información, vea referencia de permisos y grupos.

Parámetros

Argumento Descripción
Espacio de nombres Espacio de nombres que contiene el grupo al que desea agregar los permisos de un usuario o grupo. También puede usar el comando TFSSecurity/a para ver una lista de espacios de nombres en el nivel de servidor, colección y proyecto.
Identidad Identidad del usuario o el grupo. Para obtener más información sobre los especificadores de identidad, vea especificadores de identidad más adelante en este artículo.
  • CEDA
    El grupo o usuario puede realizar la operación que especifica la acción.
  • DENY
    El grupo o usuario no puede realizar la operación que especifica la acción.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

Las entradas de control de acceso son mecanismos de seguridad que determinan qué operaciones está autorizado a realizar un usuario, grupo, servicio o equipo.

Ejemplo: mostrar los espacios de nombres disponibles

En el ejemplo siguiente se muestra qué espacios de nombres están disponibles en el nivel de servidor para el servidor de capa de aplicación que se denomina ADatumCorporation.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /a /server:ServerURL 

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Ejemplo: mostrar las acciones disponibles

En el ejemplo siguiente se muestran las acciones que están disponibles para el espacio de nombres de nivel de servidor en el nivel de colección.

tfssecurity /a Server /collection:CollectionURL 

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Ejemplo: asignar un permiso de nivel de instancia

En el ejemplo siguiente se concede el permiso de información de nivel de instancia de vista de nivel de servidor a la implementación de ADatumCorporation para el usuario de dominio Datum1 John personas (Datum1 \ jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
      [+] GenericRead                        DATUM1\jpeoples

    Done.

Ejemplo: asignar un permiso de nivel de colección

En el ejemplo siguiente se concede el permiso de información de nivel de colección de vista de nivel de colección a la colección de proyectos Collection0 para el usuario de dominio Datum1 John pueblos (Datum1 \ jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts
      [+] GenericRead                        DATUM1\jpeoples

    Done.

/a-(: quitar un usuario o un grupo de la pertenencia a un grupo

Use el comando /a-( para quitar un usuario o un grupo de la pertenencia a un grupo de nivel de servidor, de nivel de colección o de nivel de proyecto. Para quitar usuarios de grupos en el portal web, consulte quitar cuentas de usuario.

tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]

Requisitos previos

Para usar el comando /a-( , debe tener el permiso ver información de nivel de colección o ver información de nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Si va a cambiar los permisos de un proyecto, también debe tener el permiso editar información de nivel de proyecto para el proyecto establecido en permitir.

Parámetros

Argumento Descripción
Espacio de nombres El espacio de nombres que contiene el grupo al que desea quitar los permisos de un usuario o grupo. También puede usar el comando TFSSecurity/a para ver una lista de espacios de nombres en el nivel de servidor, colección y proyecto.
Identidad Identidad del usuario o el grupo. Para obtener más información sobre los especificadores de identidad, vea especificadores de identidad más adelante en este artículo.
  • CEDA
    El grupo o usuario puede realizar la operación que especifica la acción.
  • DENY
    El grupo o usuario no puede realizar la operación que especifica la acción.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

Las entradas de control de acceso son mecanismos de seguridad que determinan qué operaciones está autorizado a realizar un equipo, servicio, grupo o usuario en un equipo o un servidor.

Ejemplo: mostrar los espacios de nombres de nivel de servidor

El ejemplo siguiente muestra qué espacios de nombres están disponibles en el nivel de servidor para el servidor de capa de aplicación denominado ADatumCorporation.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /a /server:ServerURL 

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Ejemplo: mostrar las acciones disponibles en el nivel de colección

En el ejemplo siguiente se muestran las acciones que están disponibles para el espacio de nombres del servidor en el nivel de colección.

tfssecurity /a Server /collection:CollectionURL 

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Ejemplo: quitar un permiso de nivel de instancia

En el ejemplo siguiente se quita el permiso de información de nivel de instancia de vista de nivel de servidor para la implementación de ADatumCorporation para el usuario de dominio Datum1 John personas (Datum1 \ jpeoples).

tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators

    Done.

Ejemplo: quitar un permiso de nivel de colección

En el ejemplo siguiente se quita el permiso de información de nivel de colección de vista de nivel de colección en la colección de proyectos Collection0 para el usuario de dominio Datum1 John pueblos (Datum1 \ jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts

    Done.

/ACL (: Mostrar la lista de control de acceso

Use /ACL ( para mostrar la lista de control de acceso que se aplica a un objeto determinado.

tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /ACL ( , debe tener el permiso ver información de nivel de colección o ver información de nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Para obtener más información, vea referencia de permisos para Azure DevOps Server.

Parámetros

Argumento Descripción
Espacio de nombres El espacio de nombres que contiene el grupo para el que desea ver los permisos de un usuario o grupo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

Las entradas de control de acceso son mecanismos de seguridad que determinan qué operaciones está autorizado a realizar un equipo, servicio, grupo o usuario en un equipo o un servidor.

Ejemplo: enumerar las asignaciones de ACL en un espacio de nombres de nivel de servidor

En el ejemplo siguiente se muestra qué usuarios y grupos tienen acceso al token de FrameworkGlobalSecurity en el espacio de nombres del servidor dentro de la implementación de ADatumCorporation.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL 

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Retrieving the access control list for object "Server"...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
      [+] GenericRead                        DATUM1\jpeoples

    Done.

Grupos

/g: enumerar los grupos

Use /g para mostrar los grupos en un proyecto, en una colección de proyectos o en Azure DevOps Server.

tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /g , debe tener el permiso ver información de nivel de colección o ver información de nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Para usar el comando/g en el ámbito de un único proyecto, debe tener el permiso ver información de nivel de proyecto establecido en permitir. Para obtener más información, vea referencia de permisos y grupos.

Parámetros

Argumento Descripción
scope Opcional. Especifica el URI del proyecto para el que desea mostrar los grupos. Para obtener el URI de un proyecto, abra Team Explorer, haga clic con el botón derecho en el proyecto, haga clic en propiedades y copie la entrada completa de la dirección URL.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

El comando /g de la utilidad de línea de comandos TFSSecurity muestra información acerca de todos los grupos del ámbito seleccionado. Este ámbito puede ser la colección de proyectos (/Server) o el servidor de capa de aplicación (/Instance). Si se usa con el ámbito de un proyecto, solo mostrará información sobre los grupos asociados a ese proyecto.

Ejemplo: Mostrar información de grupo en el nivel de colección

En el ejemplo siguiente se muestra información de todos los grupos de una colección de proyectos.

tfssecurity /g /collection:CollectionURL

/g+: agregar un usuario u otro grupo a un grupo existente.

Use /g + para agregar un usuario u otro grupo a un grupo existente.

tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /g + , debe tener los permisos ver información de nivel de colección y editar información en el nivel de colección o ver información de nivel de instancia y editar información en el nivel de instancia establecido en permitir, dependiendo de si usa el parámetro/Collection o/Server, respectivamente. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
groupIdentity Especifica la identidad del grupo. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
memberIdentity Especifica la identidad de miembro. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

También puede Agregar usuarios y grupos a un grupo existente mediante Team Explorer. Para obtener más información, vea establecer permisos en el nivel de proyecto o de colección.

Ejemplo: agregar un usuario a un grupo de nivel de servidor

En el ejemplo siguiente se agrega el usuario del dominio Datum1 John pueblos (Datum1 \ jpeoples) al grupo administradores de Team Foundation.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    4 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/g-(: quitar un usuario o grupo

Use /g-( para quitar un usuario o un grupo de usuarios de un grupo existente.

tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /g-( , debe tener los permisos ver información de nivel de colección y editar información en el nivel de colección o ver información de nivel de instancia y editar información en el nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
groupIdentity Especifica la identidad del grupo. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
memberIdentity Especifica la identidad de miembro. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

También puede Agregar usuarios y grupos a un grupo existente mediante Team Explorer. Para obtener más información, vea quitar usuarios de un grupo de proyectos o establecer permisos en el nivel de proyecto o de colección.

Ejemplo: quitar un usuario de un grupo de nivel de servidor

En el ejemplo siguiente se quita el usuario del dominio Datum1 John pueblos (Datum1 \ jpeoples) del Grupo Team Foundation Administrators.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    3 member(s):
      [U] Datum1\hholt (Holly Holt)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/gc: crear un grupo de nivel de proyecto.

Use /GC en un símbolo del sistema para crear un grupo de nivel de proyecto. Para crear un grupo de nivel de proyecto desde la interfaz de usuario, vea administrar usuarios o grupos .

tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]

Requisitos previos

Para usar el comando /GC , debe tener el permiso editar Project-Level información para ese proyecto establecido en permitir. Para obtener más información, vea referencia de permisos para Azure DevOps Server .

Parámetros

Argumento Descripción
Ámbito El URI del proyecto al que desea agregar un grupo de nivel de proyecto. Para obtener el URI de un proyecto, conéctese a él y abra Team Explorer, mantenga el mouse sobre el nombre del proyecto en casa y lea la dirección. Como alternativa, conéctese al proyecto en Web Access y copie la dirección URL.
NombreDeGrupo El nombre del nuevo grupo.
GroupDescription Descripción del grupo de proyecto. Opcional.
/Collection : CollectionURL Dirección URL de la colección de proyectos. Obligatorio. El grupo se creará dentro de la colección de proyectos. El formato de la dirección URL es http:// ServerName : puerto / nombredirectoriovirtual / CollectionName

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

Un grupo de nivel de proyecto es un grupo de seguridad para el proyecto. Puede utilizar grupos de proyecto para conceder permisos de lectura, escritura y administración que cumplan con los requisitos de seguridad de su organización.

Ejemplo: agregar un grupo de seguridad a un proyecto

En el siguiente ejemplo se crea un grupo especifico para el proyecto que especifica el URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000". El grupo se denomina "Test Group" y en su descripción se indica que se trata de un grupo para pruebas.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

Debe reemplazar el GUID del marcador de posición por el URI del proyecto para el que desea crear este grupo. Para obtener el URI de un proyecto, abra Team Explorer, haga clic con el botón secundario en el proyecto, haga clic en propiedades y copie el valor completo de la propiedad URL.

Después de ejecutar el comando, puede comprobar el grupo en Team Explorer. Haga clic con el botón secundario en el proyecto que usó en el comando, haga clic en configuración del proyecto y, a continuación, en pertenencias a grupos. En el cuadro de diálogo grupos de proyectos de Nombredeproyectodeequipo, la lista grupos incluye test Group.

Nota

Puede usar el comando /GC para crear grupos, pero no para agregar usuarios a los grupos ni para asignar permisos. Para cambiar la pertenencia del grupo, vea /g +: agregar un usuario u otro grupo a un grupo existente y /g-(: quitar un usuario o grupo. Para cambiar los permisos del grupo, vea /a +: agregar permisos y /a-(: quitar un usuario o un grupo de la pertenencia a un grupo.

tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL

/gcg: crear un grupo de nivel de servidor o colección.

Use el comando /GCG ( para crear un grupo de nivel de servidor o de nivel de colección. Para crear un grupo de nivel de colección desde el portal web, vea establecer permisos en el nivel de proyecto o de colección.

tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`

Requisitos previos

Para usar el comando /GCG ( , debe tener el permiso editar información de nivel de proyecto para ese proyecto establecido en permitir. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
NombreDeGrupo El nombre del grupo.
GroupDescription Una descripción del grupo. Opcional.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

Los grupos de nivel de servidor se crean directamente en la capa de aplicación y se aplican a todas las colecciones de proyectos. El nivel de colección se crea en el nivel de colección de proyectos. Se aplican a esa colección y tienen implicaciones para todos los proyectos de la colección. En cambio, los grupos de proyectos se aplican a un proyecto específico dentro de una colección, pero no a otros proyectos de esa colección. Puede asignar permisos a los grupos de nivel de servidor para que los miembros de esos grupos puedan realizar tareas en Azure DevOps Server misma, como la creación de colecciones de proyectos. Puede asignar permisos a los grupos de nivel de colección para que los miembros de esos grupos puedan realizar tareas en una colección de proyectos, como la administración de usuarios.

Nota

Puede usar el comando /GCG ( para crear grupos, pero no puede usarlo para agregar usuarios a los grupos o para asignar permisos. Para obtener información sobre cómo cambiar la pertenencia de un grupo, vea /g +: agregar un usuario u otro grupo a un grupo existente y /g-(: quitar un usuario o grupo. Para obtener información sobre cómo cambiar los permisos para el grupo, vea /a +: Add Permissions and /a-(: Remove a User or a Group from pertenencia a un grupo.

Ejemplo: agregar un grupo de seguridad de nivel de colección

En el ejemplo siguiente se crea un grupo de nivel de colección denominado "testers de referencia" con la descripción "A. Evaluadores de Datum Corporation ".

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL

En el ejemplo siguiente se crea un grupo de nivel de servidor denominado "auditores de referencia" con la descripción "A. Auditores de Datum Corporation ".

tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL

/gd: eliminar un grupo de nivel de servidor o colección.

Use /GD para eliminar un grupo de nivel de servidor o de nivel de colección.

tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /GD , debe tener los permisos ver información de nivel de colección y editar información en el nivel de colección o ver información de nivel de instancia y editar información en el nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
groupIdentity Especifica la identidad del grupo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps. Para modificar los permisos a través del portal web, vea establecer permisos en el nivel de proyecto o de colección.

Ejemplo: eliminación de un grupo de seguridad de nivel de colección

En el ejemplo siguiente se elimina un grupo de la colección de proyectos. El grupo se identifica mediante "S-1-5-21-2127521184-1604012920-1887927527-588340", el identificador de seguridad (SID). Para obtener más información sobre cómo encontrar el SID de un grupo, vea /IM: Mostrar información sobre las identidades que componen la pertenencia directa. También puede usar el nombre descriptivo para eliminar un grupo.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL

/gud: cambiar la descripción de un grupo de nivel de servidor o colección.

Use /GUD ( para cambiar la descripción de un grupo de nivel de servidor o de nivel de colección.

tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /GUD ( , debe tener el permiso editar información de nivel de proyecto establecido en permitir. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
GroupIdentity Especifica la identidad del grupo. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
GroupDescription Especifica la nueva descripción del grupo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

Ejemplo: agregar una descripción a un grupo de seguridad

En el ejemplo siguiente se asocia la descripción "los miembros de este grupo prueban el código para este proyecto" con el grupo "evaluadores de referencia".

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL

/Gun (: cambiar el nombre de un grupo

Use /Gun ( para cambiar el nombre de un grupo de nivel de servidor o de nivel de colección.

tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /Gun ( , debe tener los permisos ver información de nivel de colección y editar información en el nivel de colección o ver información de nivel de instancia y editar información en el nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
GroupIdentity Especifica la identidad del grupo. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
NombreDeGrupo Especifica el nuevo nombre del grupo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

Ejemplo: cambiar el nombre de un grupo de seguridad

En el ejemplo siguiente se cambia el nombre del grupo de nivel de colección "A. Datum Corporation evaluadores "a". Ingenieros de prueba de Datum Corporation ".

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL

Identidades y pertenencia

/i: mostrar información de identidad para un grupo especificado.

Use /i para mostrar la información de identidad de un grupo especificado en una implementación de Azure DevOps Server.

tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /i , debe tener el permiso ver información de nivel de colección o ver información de nivel de instancia establecido en permitir, en función de si usa el parámetro/Collection o/Server, respectivamente. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
Identidad La identidad del usuario o el grupo de aplicaciones. Para obtener más información sobre los especificadores de identidad, vea especificadores de identidad más adelante en este artículo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

El comando /i de la utilidad de línea de comandos TFSSecurity muestra información sobre cada grupo de la colección de proyectos (/Server) o el servidor de capa de aplicación (/Instance). No muestra ninguna información de pertenencia.

Ejemplo: Mostrar la información de identidad de un grupo de seguridad

En el ejemplo siguiente se muestra información de identidad para el grupo "Team Foundation Administrators".

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /i "Team Foundation Administrators" /server:ServerURL 

Resultados del ejemplo:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: Team Foundation Administrators
      Description: Members of this application group can perform all privileged operations on the server.

Ejemplo: Mostrar la información de identidad de un grupo de seguridad

En el ejemplo siguiente se muestra información de identidad para el grupo de administradores de la colección de proyectos mediante el especificador adm: Identity.

tfssecurity /i adm: /collection:CollectionURL 

Resultados del ejemplo:

    Resolving identity "adm:"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [DatumOne]\Project Collection Administrators
      Description: Members of this application group can perform all privileged operations on the project collection.

En el ejemplo siguiente se muestra información de identidad para el grupo de administradores de proyectos para el proyecto "Datum" mediante el especificador adm: Identity.

tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Resultados del ejemplo:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Datum
     Display name: [Datum]\Project Administrators
      Description: Members of this application group can perform all operations in the project.

/IM: muestra información acerca de las identidades que componen la pertenencia directa

Use /im para mostrar información sobre las identidades que componen la pertenencia directa de un grupo que especifique.

tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /im , debe tener el permiso ver información de nivel de colección o ver información de nivel de instancia establecido en permitir, en función de si usa el parámetro/Collection o/Server, respectivamente. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
Identidad Identidad del usuario o el grupo. Para obtener más información sobre los especificadores de identidad, vea especificadores de identidad más adelante en este artículo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

El comando /im de TFSSecurity muestra solo los miembros directos del grupo especificado. Esta lista incluye otros grupos que son miembros del grupo especificado. Sin embargo, no se enumeran los miembros en sí de los grupos de miembros.

Ejemplo: mostrar las identidades de pertenencia de un grupo de seguridad

En el ejemplo siguiente se muestra información de identidad de pertenencia directa del grupo "Administradores de Team Foundation" en el dominio "Datum1" de la compañía ficticia "A. Datum Corporation".

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /im "Team Foundation Administrators" /server:ServerURL

Resultados del ejemplo:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    3 member(s):
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Ejemplo: Mostrar la información de identidad de un grupo de seguridad

En el ejemplo siguiente se muestra información de identidad para el grupo de administradores de la colección de proyectos en la colección de proyectos "DatumOne" en el dominio "Datum1" de la compañía ficticia "A. Datum Corporation" usando el especificador de identidad adm:.

tfssecurity /im adm: /collection:CollectionURL 

Resultados del ejemplo:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    5 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)

    Done.

Ejemplo: Mostrar información de identidad de un grupo de seguridad mediante un especificador de identidad

En el ejemplo siguiente se muestra información de identidad para el grupo de administradores de proyectos para el proyecto "Datum" en la colección de proyectos "DatumOne" en el dominio "Datum1" de la compañía ficticia "A. Datum Corporation" usando el especificador de identidad adm:.

tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Resultados del ejemplo:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

/IMX (: muestra información acerca de las identidades que la pertenencia expandida

Use /IMX ( para mostrar información sobre las identidades que componen la pertenencia expandida de un grupo especificado.

tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /IMX ( , debe tener el permiso ver información de nivel de colección o ver información de nivel de instancia establecido en permitir, en función de si usa el parámetro /Collection o /Server , respectivamente. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Parámetros

Argumento Descripción
Identidad Identidad del usuario o el grupo. Para obtener más información sobre los especificadores de identidad, vea especificadores de identidad más adelante en este artículo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en un servidor de capa de aplicación para Azure DevOps.

El comando /IMX ( de TFSSecurity solo muestra los miembros expandidos del grupo especificado. Esta lista no solo incluye otros grupos que son miembros del grupo especificado, sino también los miembros de los grupos de miembros.

Ejemplo: Mostrar la información de pertenencia expandida de un grupo de seguridad

En el ejemplo siguiente se muestra información de identidad de pertenencia expandida del grupo "Administradores de Team Foundation" en el dominio "Datum1" de la compañía ficticia "A. Datum Corporation".

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /imx "Team Foundation Administrators" /server:ServerURL

Resultados del ejemplo:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    10 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [U] Datum1\tommyh (Tommy Hartono)
      [U] Datum1\henriea (Henriette Andersen)
      [U] Datum1\djayne (Darcy Jayne)
      [U] Datum1\aprilr (April Reagan)
      [G] Datum1\InfoSec Secure Environment
      [U] Datum1\nbento (Nuno Bento)
      [U] Datum1\cristp (Cristian Petculescu)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 3 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

En el ejemplo siguiente se muestra información de identidad para el grupo de administradores de la colección de proyectos en la colección de proyectos "DatumOne" en el dominio "Datum1" de la compañía ficticia "A. Datum Corporation" usando el especificador de identidad adm:.

tfssecurity /imx adm: /collection:CollectionURL 

Resultados del ejemplo:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    6 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [InstanceName]\Team Foundation Service Accounts
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

Ejemplo: Mostrar información de identidad de un grupo de seguridad mediante un especificador de identidad

En el ejemplo siguiente se muestra información de identidad para el grupo de administradores de proyectos para el proyecto "Datum" en la colección de proyectos "DatumOne" en el dominio "Datum1" de la compañía ficticia "A. Datum Corporation" usando el especificador de identidad adm:.

tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Resultados del ejemplo:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 2 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Para obtener más información sobre los especificadores de salida, como [G] y [U], vea especificadores de identidad más adelante en este artículo.

/m: comprobar la pertenencia a grupos explícita e implícita

Use /m para comprobar la información de pertenencia a grupos explícita e implícita para un grupo o usuario especificado.

tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]

Requisitos previos

Para usar el comando /m , debe ser miembro del grupo de seguridad administradores de Team Foundation. Para obtener más información, consulte grupos de seguridad y referencia de permisos.

Nota

Aunque haya iniciado sesión con credenciales administrativas, debe abrir un símbolo del sistema con privilegios elevados para realizar esta función.

Parámetros

Argumento Descripción
GroupIdentity Especifica la identidad del grupo. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
MemberIdentity Especifica la identidad de miembro. De forma predeterminada, el valor de este argumento es la identidad del usuario que ejecuta el comando. Para obtener más información sobre los especificadores de identidad válidos, vea especificadores de identidad más adelante en este artículo.
/Collection : CollectionURL Obligatorio si no se usa /Server . Especifica la dirección URL de una colección de proyectos con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual / nombreColección
/Server : ServerURL Obligatorio si no se utiliza /Collection . Especifica la dirección URL de un servidor de capa de aplicación con el siguiente formato: http:// nombreDeServidor : puerto / nombredirectoriovirtual

Observaciones

Ejecute este comando en el equipo de la capa de aplicación local.

El comando /m de la utilidad de línea de comandos TFSSecurity comprueba la pertenencia directa y extendida.

Ejemplo: comprobar la pertenencia de un usuario a un grupo de seguridad

En el ejemplo siguiente se comprueba si el usuario "Datum1 \ jpeoples" pertenece al grupo de nivel de servidor administradores de Team Foundation.

Nota

Los ejemplos tienen solo propósitos ilustrativos y son ficticios. No se pretende establecer ni inferir ninguna asociación real.

tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Resultados del ejemplo:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Checking group membership...

    John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.

    Done.

Espacios de nombres de seguridad

Nota

Los espacios de nombres y los tokens son válidos para todas las versiones de Azure DevOps. Los espacios de nombres están sujetos a cambios a lo largo del tiempo. Para obtener la lista más reciente de espacios de nombres, ejecute una de las herramientas de línea de comandos o la API de REST. Algunos espacios de nombres están desusados. Para obtener más información, vea seguridad espacio de nombres y referencia de permisos.

Especificadores de identidad

Puede hacer referencia a una identidad mediante una de las notaciones de la tabla siguiente.

Identity (especificador) Descripción Ejemplo
SID: Junction. Hace referencia a la identidad que tiene el identificador de seguridad (SID) especificado. SID: S-1-5-21-2127521184-1604012920-1887927527-588340
n:[D omain ] Name Hace referencia a la identidad que tiene el nombre especificado. En Windows, nombre es el nombre de la cuenta. Si la identidad a la que se hace referencia está en un dominio, se requiere el nombre de dominio. En el caso de los grupos de aplicaciones, nombre es el nombre para mostrar del grupo y dominio es el URI o GUID del proyecto que lo contiene. En este contexto, si se omite Domain, se supone que el ámbito está en el nivel de colección. Para hacer referencia a la identidad del usuario " John pueblos " en el dominio " Datum1 " en la empresa ficticia " a. Datum Corporation:"

n:DATUM1\jpeoples

Para hacer referencia a grupos de aplicaciones:

n: " empleados a tiempo completo"

n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors
adm:[ámbito] Hace referencia al grupo de aplicaciones administrativas del ámbito, como los " administradores de Team Foundation " para el nivel de servidor o " los administradores de la colección de proyectos " en el nivel de colección. El ámbito del parámetro opcional es un URI o una dirección URL del proyecto, incluido el GUID y la cadena de conexión. Si se omite el ámbito, se supone que se trata del ámbito del servidor o de la colección en función de si se usa el parámetro/instance o/Server. En cualquier caso, sigue siendo necesario el signo de dos puntos. adm: vstfs:///Classification/teamproject/ VOLUMEN
SVR Hace referencia al grupo de aplicaciones para las cuentas de servicio. No aplicable
todos Hace referencia a todos los grupos e identidades. No aplicable
String Hace referencia a una cadena no calificada. Si la cadena comienza con S-1-, se identifica como SID. Si la cadena comienza con CN = o LDAP:// , se identifica como un nombre distintivo. De lo contrario, la cadena se identifica como un nombre. "Evaluadores de equipo"

Marcadores de tipo

Los marcadores siguientes se usan para identificar los tipos de identidades y las ACE en los mensajes de salida.

Marcadores de tipo de identidad

Marcador de tipo de identidad Descripción
U Usuario de Windows.
G Grupo de Windows.
A Azure DevOps Server grupo de aplicaciones.
un [****] Grupo de aplicaciones administrativas.
s [ A ] Grupo de aplicación de la cuenta de servicio.
X La identidad no es válida.
? Se desconoce la identidad.

Marcadores de entrada de control de acceso

Marcador de entrada de control de acceso Descripción
+ PERMITIR entrada de control de acceso.
- Denegar entrada de control de acceso.
* [] Entrada de control de acceso heredada.