Grupy zabezpieczeń, konta usług i uprawnienia w Azure DevOps
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018
Ten artykuł zawiera kompleksową dokumentację dla każdego wbudowanego użytkownika, grupy i uprawnień. Jest to wiele informacji opisujących każdego wbudowanego użytkownika i grupę zabezpieczeń, a także każde uprawnienie.
Aby uzyskać krótkie informacje na temat przypisań domyślnych, zobacz Domyślne uprawnienia i dostęp. Aby zapoznać się z omówieniem sposobu zarządzania uprawnieniami i zabezpieczeniami, zobacz Wprowadzenie z uprawnieniami, dostępem i grupami zabezpieczeń. Oprócz grup zabezpieczeń istnieją również role zabezpieczeń, które zapewniają uprawnienia do wybranych obszarów.
Aby dowiedzieć się, jak dodać użytkowników do grupy lub ustawić określone uprawnienia, którymi można zarządzać za pośrednictwem portalu internetowego, zobacz następujące zasoby:
Użytkownicy i grupy
Witryna Wiki
DevOps
Śledzenie pracy
Raportowanie
Uwaga
Obrazy widoczne w portalu internetowym mogą różnić się od obrazów widocznych w tym temacie. Te różnice wynikają z aktualizacji wprowadzonych do Azure DevOps. Jednak podstawowe dostępne funkcje pozostają takie same, chyba że zostały jawnie wymienione.
Konta usług
Istnieje kilka kont usług, które są generowane przez system w celu obsługi określonych operacji. Należą do nich te opisane w poniższej tabeli. Te konta użytkowników są dodawane na poziomie organizacji lub kolekcji.
| Nazwa użytkownika | Opis |
|---|---|
| Usługa puli agentów | Ma uprawnienia do nasłuchiwania kolejki komunikatów dla określonej puli do odbierania pracy. W większości przypadków nie należy zarządzać członkami tej grupy. Proces rejestracji agenta zajmuje się tym za Ciebie. Konto usługi określone dla agenta (często usługa sieciowa) jest automatycznie dodawane podczas rejestrowania agenta. Odpowiedzialny za wykonywanie Azure Boards operacji odczytu/zapisu i aktualizowanie elementów roboczych podczas aktualizowania obiektów GitHub. |
| Azure Boards | Dodano, gdy Azure Boards jest połączona z GitHub. Nie należy zarządzać członkami tej grupy. Odpowiedzialny za zarządzanie tworzeniem linków między GitHub a Azure Boards. |
| PotokiSDK | Dodano je zgodnie z potrzebami, aby obsługiwać tokeny zakresu usługi zasad Pipelines. To konto użytkownika jest podobne do tożsamości usługi kompilacji, ale obsługuje oddzielne blokowanie uprawnień. W praktyce tokeny obejmujące tę tożsamość mają przyznane uprawnienia tylko do odczytu do zasobów potoku i jednorazową możliwość zatwierdzania żądań zasad. To konto powinno być traktowane w taki sam sposób, jak tożsamości usługi kompilacji są traktowane. |
| Nazwaprojektu Usługa kompilacji | Ma uprawnienia do uruchamiania usług kompilacji dla projektu. Jest to starszy użytkownik używany do kompilacji XAML. Jest dodawany do grupy usługi zabezpieczeń, która jest używana do przechowywania użytkowników, którzy otrzymali uprawnienia, ale nie jest dodawana do żadnej innej grupy zabezpieczeń. |
| usługa kompilacji kolekcji Project | Ma uprawnienia do uruchamiania usług kompilacji dla kolekcji. Jest dodawany do grupy usługi zabezpieczeń, która jest używana do przechowywania użytkowników, którzy otrzymali uprawnienia, ale nie jest dodawana do żadnej innej grupy zabezpieczeń. |
Grupy
Uprawnienia można udzielić bezpośrednio osobie lub grupie. Korzystanie z grup sprawia, że rzeczy są znacznie prostsze. System udostępnia kilka wbudowanych grup do tego celu. Te grupy i przypisane do nich uprawnienia domyślne są definiowane na różnych poziomach: serwer (tylko wdrożenie lokalne), kolekcja projektów, projekt i określone obiekty. Możesz również utworzyć własne grupy i przyznać im określony zestaw uprawnień odpowiednich dla określonych ról w organizacji.
Uwaga
Wszystkie grupy zabezpieczeń to jednostki na poziomie organizacji, nawet te grupy, które mają uprawnienia tylko do określonego projektu. W portalu internetowym widoczność niektórych grup zabezpieczeń może być ograniczona na podstawie uprawnień użytkowników. Można jednak odnaleźć nazwy wszystkich grup w organizacji przy użyciu narzędzia interfejsu wiersza polecenia usługi Azure DevOps lub naszych interfejsów API REST. Aby dowiedzieć się więcej, zobacz Dodawanie grup zabezpieczeń i zarządzanie nimi.
Uwaga
Wszystkie grupy zabezpieczeń to jednostki na poziomie kolekcji, nawet te grupy, które mają uprawnienia tylko do określonego projektu. W portalu internetowym widoczność niektórych grup zabezpieczeń może być ograniczona na podstawie uprawnień użytkowników. Można jednak odnaleźć nazwy wszystkich grup w organizacji przy użyciu narzędzia interfejsu wiersza polecenia usługi Azure DevOps lub naszych interfejsów API REST. Aby dowiedzieć się więcej, zobacz Dodawanie grup zabezpieczeń i zarządzanie nimi.
Uwaga
Wszystkie grupy zabezpieczeń to jednostki na poziomie kolekcji, nawet te grupy, które mają uprawnienia tylko do określonego projektu. W portalu internetowym widoczność niektórych grup zabezpieczeń może być ograniczona na podstawie uprawnień użytkowników. Można jednak odnaleźć nazwy wszystkich grup w organizacji przy użyciu interfejsów API REST. Aby dowiedzieć się więcej, zobacz Dodawanie grup zabezpieczeń i zarządzanie nimi.
Grupy na poziomie serwera
Podczas instalowania Azure DevOps Server system tworzy grupy domyślne, które mają uprawnienia na poziomie serwera dla całego wdrożenia. Nie można usunąć ani usunąć wbudowanych grup na poziomie serwera.
Nie można usunąć ani usunąć domyślnych grup na poziomie serwera.
Nazwa grupy
Uprawnienia
Członkostwo
konta usług Azure DevOps
Ma uprawnienia na poziomie usługi dla wystąpienia serwera.
Zawiera konto usługi, które zostało dostarczone podczas instalacji
Ta grupa powinna zawierać tylko konta usług, a nie konta użytkowników lub grupy zawierające konta użytkowników. Domyślnie ta grupa jest członkiem zespołu Team Foundation Administrators.
Jeśli musisz dodać konto do tej grupy po zainstalowaniu Azure DevOps Server lub TFS, możesz to zrobić za pomocą narzędzia TFSSecurity.exe w podfolderze Narzędzia katalogu instalacyjnego tfS.
Polecenie, które należy wykonać, to TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Azure DevOps prawidłowych użytkowników
Ma uprawnienia do wyświetlania informacji na poziomie wystąpienia serwera.
Zawiera wszystkich użytkowników znanych, że istnieją w wystąpieniu serwera. Nie można zmodyfikować członkostwa w tej grupie.
Administratorzy team foundation
Ma uprawnienia do wykonywania wszystkich operacji na poziomie serwera.
Lokalna grupa administratorów (BUILTIN\Administrators) dla dowolnego serwera, który hostuje usługi aplikacji Azure DevOPs/Team Foundation.
GrupaSerwer\Team Foundation Service Konta i członkowie grupy \Project Server Integration Service Accounts.
Ta grupa powinna być ograniczona do najmniejszej możliwej liczby użytkowników, którzy potrzebują całkowitej kontroli administracyjnej nad operacjami na poziomie serwera.
Uwaga
Jeśli wdrożenie używa SharePoint lub raportowania, rozważ dodanie członków tej grupy do grup Administratorzy farmy i Administratorzy zbioru witryn w SharePoint i grupy Menedżerowie zawartości Team Foundation w usługach Reporting Services.
Nazwa grupy
Uprawnienia
Członkostwo
Administratorzy team foundation
Ma uprawnienia do wykonywania wszystkich operacji na poziomie serwera.
Lokalna grupa administratorów (BUILTIN\Administrators) dla dowolnego serwera, który hostuje usługi aplikacji Azure DevOPs/Team Foundation.
GrupaSerwer\Team Foundation Service Konta i członkowie grupy \Project Server Integration Service Accounts.
Ta grupa powinna być ograniczona do najmniejszej możliwej liczby użytkowników, którzy potrzebują całkowitej kontroli administracyjnej nad operacjami na poziomie serwera.
Uwaga
Jeśli wdrożenie używa SharePoint lub raportowania, rozważ dodanie członków tej grupy do grup Administratorzy farmy i Administratorzy zbioru witryn w SharePoint i grupy Menedżerowie zawartości Team Foundation w usługach Reporting Services.
Konta usług serwera proxy programu Team Foundation
Ma uprawnienia na poziomie usługi dla serwera proxy Team Foundation Server oraz niektóre uprawnienia na poziomie usługi.
Uwaga
To konto jest tworzone podczas instalowania usługi serwera proxy TFS.
Ta grupa powinna zawierać tylko konta usług, a nie konta użytkowników lub grupy zawierające konta użytkowników.
konta Team Foundation Service
Ma uprawnienia na poziomie usługi dla wystąpienia serwera.
Zawiera konto usługi, które zostało dostarczone podczas instalacji
Ta grupa powinna zawierać tylko konta usług, a nie konta użytkowników lub grupy zawierające konta użytkowników. Domyślnie ta grupa jest członkiem zespołu Team Foundation Administrators.
Jeśli musisz dodać konto do tej grupy po zainstalowaniu Azure DevOps Server lub TFS, możesz to zrobić za pomocą narzędzia TFSSecurity.exe w podfolderze Narzędzia katalogu instalacyjnego tfS.
Polecenie, które należy wykonać, to TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Prawidłowi użytkownicy w programie Team Foundation
Ma uprawnienia do wyświetlania informacji na poziomie wystąpienia serwera.
Uwaga
Jeśli ustawisz uprawnienie Wyświetl informacje na poziomie wystąpienia na wartość Odmów lub Nie ustawiono dla tej grupy, żaden użytkownik nie będzie mógł uzyskać dostępu do wdrożenia.
Zawiera wszystkich użytkowników znanych, że istnieją w wystąpieniu serwera. Nie można zmodyfikować członkostwa w tej grupie.
Konta usługi integracji z serwerem Project
Ma uprawnienia na poziomie usługi dla wdrożeń serwera Project, które są skonfigurowane do współdziałania z wystąpieniem serwera i niektóre uprawnienia na poziomie usługi TFS.
Uwaga
Utworzony podczas instalowania integracji z usługą Project Service.
Ta grupa powinna zawierać tylko konta usług, a nie konta użytkowników lub grupy zawierające konta użytkowników. Domyślnie ta grupa jest członkiem zespołu Team Foundation Administrators.
SharePoint usług aplikacji internetowych
Ma uprawnienia na poziomie usługi dla SharePoint aplikacji internetowych skonfigurowanych do użytku z programem TFS i niektórych uprawnień na poziomie usługi dla serwera TFS.
Ta grupa powinna zawierać tylko konta usług, a nie konta użytkowników lub grupy zawierające konta użytkowników. W przeciwieństwie do grupy Konta usług ta grupa nie jest członkiem administratorzy team foundation.
Uwaga
Pełna nazwa każdej z tych grup to [Team Foundation]\{nazwa grupy}. Pełna nazwa grupy administratorów na poziomie serwera to [Team Foundation]\Team Foundation Administrators.
Grupy na poziomie kolekcji
Podczas tworzenia kolekcji organizacji lub projektu w Azure DevOps system tworzy grupy na poziomie kolekcji, które mają uprawnienia w tej kolekcji. Nie można usunąć ani usunąć wbudowanych grup na poziomie kolekcji.
Uwaga
Aby włączyć nowy interfejs użytkownika dla uprawnień organizacji Ustawienia strony w wersji 2, zobacz Włączanie funkcji w wersji zapoznawczej. Strona podglądu zawiera stronę ustawień grupy, która nie jest widoczna na bieżącej stronie.
Pełna nazwa każdej z tych grup to [{nazwa kolekcji}]\{nazwa grupy}. Pełna nazwa grupy administratorów dla kolekcji domyślnej to [Domyślna kolekcja]\Project Administratorzy kolekcji.
Nazwa grupy
Uprawnienia
Członkostwo
Administratorzy kolekcji Project
Ma uprawnienia do wykonywania wszystkich operacji dla kolekcji.
Zawiera grupę Administratorzy lokalni (BUILTIN\Administrators) dla serwera, na którym zainstalowano usługi warstwy aplikacji. Zawiera również członków grupy CollectionNameService/Accounts. Ta grupa powinna być ograniczona do najmniejszej możliwej liczby użytkowników, którzy potrzebują całkowitej kontroli administracyjnej nad kolekcją. W przypadku Azure DevOps przypisz do administratorów, którzy dostosują śledzenie pracy.
Uwaga
Jeśli wdrożenie korzysta z usług Reporting Services, rozważ dodanie członków tej grupy do grup Menedżerowie zawartości Team Foundation w usługach Reporting Services.
Administratorzy kompilacji kolekcji Project
Ma uprawnienia do administrowania zasobami kompilacji i uprawnieniami dla kolekcji.
Ogranicz tę grupę do najmniejszej możliwej liczby użytkowników, którzy potrzebują całkowitej kontroli administracyjnej nad serwerami i usługami kompilacji dla tej kolekcji.
konta usług kompilacji kolekcji Project
Ma uprawnienia do uruchamiania usług kompilacji dla kolekcji.
Ogranicz tę grupę do kont usług i grup, które zawierają tylko konta usług. Jest to starsza grupa używana na potrzeby kompilacji XAML. Użyj użytkownika usługi kompilacji kolekcji Project ({Twoja organizacja}), aby zarządzać uprawnieniami dla bieżących kompilacji.
Konta usługi serwera proxy kolekcji Project
Ma uprawnienia do uruchamiania usługi proxy dla kolekcji.
Ogranicz tę grupę do kont usług i grup, które zawierają tylko konta usług.
Konta usługi kolekcji Project
Ma uprawnienia na poziomie usługi dla kolekcji i dla Azure DevOps Server.
Zawiera konto usługi, które zostało dostarczone podczas instalacji. Ta grupa powinna zawierać tylko konta usług i grupy, które zawierają tylko konta usług. Domyślnie ta grupa jest członkiem grupy Administratorzy.
konta usługi testowej kolekcji Project
Ma uprawnienia usługi testowej dla kolekcji.
Ogranicz tę grupę do kont usług i grup, które zawierają tylko konta usług.
Project kolekcji prawidłowych użytkowników
Ma uprawnienia dostępu do projektów zespołowych i wyświetlania informacji w kolekcji.
Zawiera wszystkich użytkowników i grupy, które zostały dodane w dowolnym miejscu w kolekcji. Nie można zmodyfikować członkostwa w tej grupie.
Ma ograniczony dostęp do wyświetlania ustawień organizacji i projektów innych niż te, do których zostały specjalnie dodane. Ponadto opcje selektora osób są ograniczone do tych użytkowników i grup, które zostały jawnie dodane do projektu, z którymi użytkownik jest połączony.
Dodaj użytkowników do tej grupy, gdy chcesz ograniczyć ich widoczność i dostęp do tych projektów, do których jawnie je dodasz. Nie dodawaj użytkowników do tej grupy, jeśli są one również dodawane do grupy administratorzy kolekcji Project.
Uwaga
Grupa użytkownicy w zakresie Project staje się dostępna z ograniczonym dostępem, gdy funkcja wersji zapoznawczej na poziomie organizacji, opcja Ogranicz widoczność użytkownika i współpracę z określonymi projektami jest włączona. Aby dowiedzieć się więcej, zobacz Zarządzanie organizacją, Ograniczanie widoczności użytkowników dla projektów i nie tylko.
Grupa usług zabezpieczeń
Służy do przechowywania użytkowników, którzy otrzymali uprawnienia, ale nie są dodawani do żadnej innej grupy zabezpieczeń.
Nie przypisuj użytkowników do tej grupy. Jeśli usuwasz użytkowników ze wszystkich grup zabezpieczeń, sprawdź, czy musisz usunąć je z tej grupy.
grupy na poziomie Project
Dla każdego tworzonego projektu system tworzy następujące grupy na poziomie projektu. Te grupy mają przypisane uprawnienia na poziomie projektu.
Uwaga
Aby włączyć nowy interfejs użytkownika dla strony uprawnień Project Ustawienia, zobacz Włączanie funkcji w wersji zapoznawczej.
Aby wyświetlić pełny obraz, kliknij, aby rozwinąć.
Porada
Pełna nazwa każdej z tych grup to [{nazwa projektu}]\{nazwa grupy}. Na przykład grupa współautorów dla projektu o nazwie "Mój Project" to [Mój Project]\Współautorzy.
Nazwa grupy
Uprawnienia
Członkostwo
Administratorzy kompilacji
Ma uprawnienia do administrowania zasobami kompilacji i uprawnieniami kompilacji dla projektu. Członkowie mogą zarządzać środowiskami testowymi, tworzyć przebiegi testów i zarządzać kompilacjami.
Przypisz do użytkowników, którzy definiują potoki kompilacji i zarządzają nimi.
Współautorzy
Ma uprawnienia do pełnego współtworzenia bazy kodu projektu i śledzenia elementów roboczych. Główne uprawnienia, których nie mają, to te, które zarządzają zasobami lub zarządzają nimi.
Domyślnie grupa zespołu utworzona podczas tworzenia projektu jest dodawana do tej grupy, a każdy użytkownik dodawany do zespołu lub projektu jest członkiem tej grupy. Ponadto do tej grupy jest dodawany każdy zespół tworzony dla projektu.
Czytelnicy
Ma uprawnienia do wyświetlania informacji o projekcie, podstawy kodu, elementów roboczych i innych artefaktów, ale nie modyfikuje ich.
Przypisz do członków organizacji lub kolekcji, którym chcesz przyznać uprawnienia tylko do wyświetlania projektu. Ci użytkownicy mogą wyświetlać listy prac, tablice, pulpity nawigacyjne i nie tylko, ale nie dodawać ani edytować żadnych elementów.
Ma uprawnienia do administrowania wszystkimi aspektami zespołów i projektów, chociaż nie mogą tworzyć projektów zespołowych.
Przypisz do użytkowników, którzy zarządzają uprawnieniami użytkowników, tworzą lub edytują zespoły, modyfikują ustawienia zespołu, definiują ścieżkę iteracji obszaru lub dostosują śledzenie elementów roboczych. Członkowie grupy administratorzy Project mają uprawnienia do wykonywania następujących zadań:
- Dodawanie i usuwanie użytkowników z członkostwa w projekcie
- Dodawanie i usuwanie niestandardowych grup zabezpieczeń z projektu
- Dodawanie i administrowanie wszystkimi zespołami projektów i funkcjami związanymi z zespołem
- Edytowanie list ACL uprawnień na poziomie projektu
- Edytuj subskrypcje zdarzeń (adres e-mail lub soap) dla zespołów lub zdarzeń na poziomie projektu.
Project prawidłowych użytkowników
Ma uprawnienia dostępu do informacji o projekcie i wyświetlania ich.
Zawiera wszystkich użytkowników i grupy, które zostały dodane w dowolnym miejscu do projektu. Nie można zmodyfikować członkostwa w tej grupie.
Uwaga
Zalecamy, aby nie zmieniać domyślnych uprawnień dla tej grupy.
Administratorzy wydań
Ma uprawnienia do zarządzania wszystkimi operacjami wydania.
Przypisz do użytkowników, którzy definiują potoki wydania i zarządzają nimi.
Uwaga
Grupa Administrator wydania jest tworzona w tym samym czasie, gdy jest definiowany pierwszy potok wydania. Nie jest on tworzony domyślnie podczas tworzenia projektu.
Ma uprawnienia do pełnego współtworzenia bazy kodu projektu i śledzenia elementów roboczych. Domyślna grupa zespołu jest tworzona podczas tworzenia projektu, a domyślnie jest dodawana do grupy Współautorzy projektu. Wszystkie nowo utworzone zespoły będą również miały dla nich utworzoną grupę i dodane do grupy Współautorzy.
Dodaj członków zespołu do tej grupy. Aby udzielić dostępu do konfigurowania ustawień zespołu, dodaj członka zespołu do roli administratora zespołu.
Rola administratora zespołu
Dla każdego dodanego zespołu możesz przypisać jednego lub więcej członków zespołu jako administratorów. Rola administratora zespołu nie jest grupą z zestawem zdefiniowanych uprawnień. Zamiast tego rola administratora zespołu jest zadaniem zarządzania zasobami zespołu. Aby dowiedzieć się więcej, zobacz Zarządzanie zespołami i konfigurowanie narzędzi zespołu. Aby dodać użytkownika jako administratora zespołu, zobacz Dodawanie administratora zespołu.
Uwaga
Project Administratorzy mogą zarządzać wszystkimi obszarami administracyjnymi zespołu dla wszystkich zespołów.
Uprawnienia
System zarządza uprawnieniami na różnych poziomach — serwera, kolekcji, projektu lub obiektu — i domyślnie przypisuje je do co najmniej jednej wbudowanej grupy. Większość uprawnień można zarządzać za pośrednictwem portalu internetowego.
Uprawnienia na poziomie serwera
Uprawnienia na poziomie serwera można zarządzać za pomocą konsoli administracyjnej team foundation lub narzędzia wiersza polecenia TFSSecurity. Administratorzy programu Team Foundation otrzymują wszystkie uprawnienia na poziomie serwera. Inne grupy na poziomie serwera mają wybrane przypisania uprawnień.
Uprawnienie
Opis
Może przetwarzać lub zmieniać ustawienia magazynu danych lub modułu analizy SQL Server przy użyciu usługi sieci Web Kontroli magazynu.
Dodatkowe uprawnienia mogą być wymagane do pełnego przetwarzania lub ponownego kompilowania magazynu danych i modułu analizy.
Może tworzyć kolekcje i administrować nimi.
Może usunąć kolekcję z wdrożenia.
Uwaga
Usunięcie kolekcji nie spowoduje usunięcia bazy danych kolekcji z SQL Server.
Może edytować uprawnienia na poziomie serwera dla użytkowników i grup oraz dodawać lub usuwać grupy na poziomie serwera z kolekcji.
Uwaga
Edytowanie informacji na poziomie wystąpienia obejmuje możliwość wykonywania tych zadań dla wszystkich projektów zespołowych zdefiniowanych we wszystkich kolekcjach zdefiniowanych dla wystąpienia:
- Tworzenie i modyfikowanie obszarów i iteracji
- Edytowanie zasad ewidencjonowania
- Edytowanie zapytań dotyczących udostępnionych elementów roboczych
- Edytowanie list ACL uprawnień na poziomie projektu i na poziomie kolekcji
- Tworzenie i modyfikowanie list globalnych
- Edytuj subskrypcje zdarzeń (adres e-mail lub soap).
Po ustawieniu za pomocą menu uprawnienie Edytuj informacje na poziomie wystąpienia również niejawnie umożliwia użytkownikowi modyfikowanie uprawnień kontroli wersji. Aby przyznać wszystkie te uprawnienia w wierszu polecenia, należy użyć tf.exe Permission polecenia , aby przyznać uprawnienia AdminConfiguration i AdminConnections oprócz GENERIC_WRITE.
Może wykonywać operacje w imieniu innych użytkowników lub usług. Przypisz tylko do kont usług.
Może wyzwalać zdarzenia alertów na poziomie serwera. Przypisz tylko do kont usług i członków grupy Administratorzy programu Team Foundation.
Może używać wszystkich funkcji lokalnego portalu internetowego. To uprawnienie zostało uznane za przestarzałe w wersjach Azure DevOps Server 2019 i nowszych.
Uwaga
Jeśli uprawnienie Użyj funkcji pełnego dostępu do sieci Web jest ustawione na Odmów, użytkownik będzie widzieć tylko te funkcje dozwolone dla grupy uczestników projektu (zobacz Zmienianie poziomów dostępu). Odmowa zastąpi wszelkie niejawne zezwalanie, nawet w przypadku kont, które są członkami grup administracyjnych, takich jak Administratorzy programu Team Foundation.
Może wyświetlać członkostwo w grupie na poziomie serwera i uprawnienia tych użytkowników.
Uwaga
Uprawnienie Wyświetl informacje na poziomie wystąpienia jest również przypisane do grupy Team Foundation Valid Users.
Uprawnienia na poziomie organizacji
Uprawnienia na poziomie organizacji można zarządzać za pomocą kontekstu administracyjnego portalu internetowego lub za pomocą poleceń az devops security group . Project Administratorzy kolekcji otrzymują wszystkie uprawnienia na poziomie organizacji. Inne grupy na poziomie organizacji mają wybrane przypisania uprawnień.
Uwaga
Aby włączyć nowy interfejs użytkownika dla uprawnień organizacji Ustawienia strony w wersji 2, zobacz Włączanie funkcji w wersji zapoznawczej. Strona podglądu zawiera stronę ustawień grupy, która nie jest widoczna na bieżącej stronie.
Uprawnienie
Opis
Ogólne
Może zmienić ustawienia śledzenia na potrzeby zbierania bardziej szczegółowych informacji diagnostycznych dotyczących usług sieci Web Azure DevOps.
Może dodać projekt do organizacji lub kolekcji projektów. W zależności od wdrożenia lokalnego mogą być wymagane dodatkowe uprawnienia.
Może usunąć projekt.
Uwaga
Usunięcie projektu spowoduje usunięcie wszystkich danych skojarzonych z projektem. Nie można cofnąć usunięcia projektu, z wyjątkiem przywracania kolekcji do punktu przed usunięciem projektu.
Może dodawać użytkowników i grupy oraz edytować uprawnienia na poziomie organizacji dla użytkowników i grup.
Uwaga
Edytowanie informacji na poziomie wystąpienia obejmuje możliwość wykonywania tych zadań dla wszystkich projektów zdefiniowanych w kolekcji:
- Dodawanie i administrowanie zespołami oraz wszystkimi funkcjami związanymi z zespołem
- Edytowanie uprawnień na poziomie wystąpienia dla użytkowników i grup w kolekcji
- Dodawanie lub usuwanie grup zabezpieczeń na poziomie wystąpienia z kolekcji
- Niejawnie umożliwia użytkownikowi modyfikowanie uprawnień kontroli wersji
- Edytowanie list ACL uprawnień na poziomie projektu i na poziomie wystąpienia
- Edytuj subskrypcje zdarzeń (adres e-mail lub SOAP) dla zdarzeń na poziomie projektu lub kolekcji.
Po ustawieniu pozycji Edytuj informacje na poziomie wystąpienia na wartość Zezwalaj użytkownicy mogą dodawać lub usuwać grupy na poziomie kolekcji i niejawnie zezwalać tym użytkownikom na modyfikowanie uprawnień kontroli wersji.
Może wyświetlać członkostwo i uprawnienia grupy na poziomie kolekcji projektów.
Uwaga
Jeśli ustawisz uprawnienie Wyświetl informacje na poziomie wystąpienia na wartość Odmów lub Nie ustawiono dla tej grupy, żaden użytkownik nie będzie mógł uzyskiwać dostępu do projektów w organizacji lub kolekcji projektów.
Konto usługi
Może wykonywać operacje w imieniu innych użytkowników lub usług. Przypisz to uprawnienie tylko do lokalnych kont usług.
Może wyzwalać zdarzenia alertów projektu w kolekcji. Przypisz tylko do kont usług.
Uwaga
Użytkownicy z tym uprawnieniem nie mogą usuwać wbudowanych grup na poziomie kolekcji, takich jak administratorzy kolekcji Project.
Może wywoływać interfejsy programowania aplikacji synchronizacji. Przypisz tylko do kont usług.
Boards
Może modyfikować uprawnienia do dostosowywania śledzenia pracy przez tworzenie i dostosowywanie dziedziczych procesów.
Może utworzyć dziedziczony proces używany do dostosowywania śledzenia pracy i Azure Boards. Użytkownicy, którym udzielono dostępu w warstwie Podstawowa i Uczestnik projektu, domyślnie otrzymują to uprawnienie.
Może usunąć dziedziczony proces używany do dostosowywania śledzenia pracy i Azure Boards.
Może edytować niestandardowy proces dziedziczony.
Repos
Może usuwać zestawy półek utworzone przez innych użytkowników. Ma zastosowanie, gdy kontrola źródła jest używana jako kontrola źródła.
Może tworzyć i usuwać obszary robocze dla innych użytkowników. Ma zastosowanie, gdy kontrola źródła jest używana jako kontrola źródła.
Może utworzyć obszar roboczy kontroli wersji. Ma zastosowanie, gdy kontrola źródła jest używana jako kontrola źródła.
Uwaga
Uprawnienie Tworzenie obszaru roboczego jest przyznawane wszystkim użytkownikom w ramach członkostwa w grupie Project Kolekcja prawidłowych użytkowników.
Pipelines
Może modyfikować uprawnienia dla potoków kompilacji na poziomie organizacji lub kolekcji projektów. Obejmuje to następujące działania:
Może zarządzać komputerami kompilacji, agentami kompilacji i kontrolerami kompilacji.
Może zarezerwować i przydzielić agentów kompilacji. Przypisz tylko do kont usług kompilacji.
Może wyświetlać, ale nie używać kontrolerów kompilacji i agentów kompilacji skonfigurowanych dla organizacji lub kolekcji projektów.
Test Plans
Może rejestrować i wyrejestrować kontrolery testowe.
Może usunąć strumień inspekcji. Strumienie inspekcji są w wersji zapoznawczej. Aby uzyskać szczegółowe informacje, zobacz Tworzenie przesyłania strumieniowego inspekcji.
Może dodać strumień inspekcji. Strumienie inspekcji są w wersji zapoznawczej. Aby uzyskać szczegółowe informacje, zobacz Tworzenie przesyłania strumieniowego inspekcji.
Może wyświetlać i eksportować dzienniki inspekcji. Dzienniki inspekcji są dostępne w wersji zapoznawczej. Aby uzyskać szczegółowe informacje, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji).
Zasady
Można włączać i wyłączać zasady połączeń aplikacji zgodnie z opisem w temacie Zmienianie zasad połączenia aplikacji.
Uprawnienia na poziomie kolekcji
Uprawnienia na poziomie kolekcji można zarządzać za pomocą kontekstu administracyjnego portalu internetowego za pomocą poleceń az devops security group lub narzędzia wiersza polecenia TFSSecurity. Project Administratorzy kolekcji otrzymują wszystkie uprawnienia na poziomie kolekcji. Inne grupy na poziomie kolekcji mają wybrane przypisania uprawnień.
Uprawnienia na poziomie kolekcji można zarządzać za pomocą kontekstu administracyjnego portalu internetowego lub narzędzia wiersza polecenia TFSSecurity. Project Administratorzy kolekcji otrzymują wszystkie uprawnienia na poziomie kolekcji. Inne grupy na poziomie kolekcji mają wybrane przypisania uprawnień.
Uprawnienia dostępne dla Azure DevOps Server 2019 i nowszych wersji różnią się w zależności od modelu procesu skonfigurowanego dla kolekcji. Aby zapoznać się z omówieniem modeli procesów, zobacz Dostosowywanie śledzenia pracy.
Dziedziczony model procesu
Lokalny model procesu XML
Uprawnienie
Opis
Może modyfikować uprawnienia dla potoków kompilacji na poziomie kolekcji projektów. Obejmuje to następujące artefakty:
Może modyfikować uprawnienia do dostosowywania śledzenia pracy przez tworzenie i dostosowywanie dziedziczych procesów. Wymaga skonfigurowania kolekcji do obsługi modelu procesu dziedziczonego. Zobacz też:
Może usuwać zestawy półek utworzone przez innych użytkowników. Ma zastosowanie, gdy kontrola źródła jest używana jako kontrola źródła.
Może tworzyć i usuwać obszary robocze dla innych użytkowników. Ma zastosowanie, gdy kontrola źródła jest używana jako kontrola źródła.
Może zmienić ustawienia śledzenia na potrzeby zbierania bardziej szczegółowych informacji diagnostycznych dotyczących usług sieci Web Azure DevOps.
Może utworzyć obszar roboczy kontroli wersji. Ma zastosowanie, gdy kontrola źródła jest używana jako kontrola źródła. To uprawnienie jest przyznawane wszystkim użytkownikom w ramach członkostwa w grupie Project Kolekcja prawidłowych użytkowników.
Może dodawać projekty do kolekcji projektów. W zależności od wdrożenia lokalnego mogą być wymagane dodatkowe uprawnienia.
Może dodawać projekty do kolekcji projektów. W zależności od wdrożenia lokalnego mogą być wymagane dodatkowe uprawnienia.
Może utworzyć dziedziczony proces używany do dostosowywania śledzenia pracy i Azure Boards. Wymaga skonfigurowania kolekcji do obsługi modelu procesu dziedziczonego.
Może usunąć pole niestandardowe, które zostało dodane do procesu. W przypadku wdrożeń lokalnych wymaga skonfigurowania kolekcji do obsługi modelu procesu dziedziczonego.
Może usunąć dziedziczony proces używany do dostosowywania śledzenia pracy i Azure Boards. Wymaga skonfigurowania kolekcji do obsługi modelu procesów dziedziczonego.
Może usunąć projekt.
Uwaga
Usunięcie projektu powoduje usunięcie wszystkich danych skojarzonych z projektem. Nie można cofnąć usunięcia projektu, z wyjątkiem przywracania kolekcji do punktu przed usunięciem projektu.
Może dodawać użytkowników i grupy oraz edytować uprawnienia na poziomie kolekcji dla użytkowników i grup. Edytowanie informacji na poziomie kolekcji obejmuje możliwość wykonywania tych zadań dla wszystkich projektów zdefiniowanych w kolekcji:
- Dodawanie i administrowanie zespołami oraz wszystkimi funkcjami związanymi z zespołem
- Edytowanie uprawnień na poziomie kolekcji dla użytkowników i grup w kolekcji
- Dodawanie lub usuwanie grup zabezpieczeń na poziomie kolekcji
- Niejawnie umożliwia użytkownikowi modyfikowanie uprawnień kontroli wersji
- Edytowanie list ACL uprawnień na poziomie projektu i na poziomie kolekcji
- Edytowanie subskrypcji zdarzeń lub alertów (wiadomości e-mail lub SOAP) dla zespołów, projektów lub zdarzeń na poziomie kolekcji.
Po ustawieniu pozycji Edytuj informacje na poziomie kolekcji na wartość Zezwalaj użytkownicy mogą dodawać lub usuwać grupy na poziomie kolekcji i niejawnie zezwalać tym użytkownikom na modyfikowanie uprawnień kontroli wersji.
Aby przyznać wszystkie te uprawnienia w wierszu polecenia, oprócz GENERIC_WRITE należy użyć
tf.exe permissionpolecenia , aby udzielić uprawnień AdminConfiguration i AdminConnections .
Może edytować niestandardowy proces dziedziczony. Wymaga skonfigurowania kolekcji do obsługi modelu procesu dziedziczonego.
Może wykonywać operacje w imieniu innych użytkowników lub usług. Przypisz to uprawnienie tylko do lokalnych kont usług.
Może zarządzać komputerami kompilacji, agentami kompilacji i kontrolerami kompilacji.
Może pobierać, tworzyć, edytować i przekazywać szablony procesów. Szablon procesu definiuje bloki konstrukcyjne systemu śledzenia elementów roboczych, a także inne podsystemy, do których uzyskujesz dostęp za pośrednictwem Azure Boards. Wymaga skonfigurowania kolekcji do obsługi lokalnego modelu procesu XML.
Może rejestrować i wyrejestrować kontrolery testowe.
Może wyzwalać zdarzenia alertów projektu w kolekcji. Przypisz tylko do kont usług. Użytkownicy z tym uprawnieniem nie mogą usuwać wbudowanych grup na poziomie kolekcji, takich jak administratorzy kolekcji Project.
Może zarezerwować i przydzielić agentów kompilacji. Przypisz tylko do kont usług kompilacji.
Może wyświetlać, ale nie używać kontrolerów kompilacji i agentów kompilacji skonfigurowanych dla organizacji lub kolekcji projektów.
Może wyświetlać członkostwo i uprawnienia grupy na poziomie kolekcji projektów.
Może wywoływać interfejsy programowania aplikacji synchronizacji. Przypisz tylko do kont usług.
uprawnienia na poziomie Project
Uprawnienia na poziomie projektu można zarządzać za pomocą kontekstu administracyjnego portalu internetowego lub za pomocą poleceń az devops security group . Project Administratorzy otrzymują wszystkie uprawnienia na poziomie projektu. Inne grupy na poziomie projektu mają wybrane przypisania uprawnień.
Uwaga
Aby włączyć nowy interfejs użytkownika dla strony uprawnień Project Ustawienia, zobacz Włączanie funkcji w wersji zapoznawczej.
Uprawnienia na poziomie projektu można zarządzać za pomocą kontekstu administracyjnego portalu internetowego za pomocą poleceń az devops security group lub narzędzia wiersza polecenia TFSSecurity. Project Administratorzy otrzymują wszystkie uprawnienia na poziomie projektu. Inne grupy na poziomie projektu mają wybrane przypisania uprawnień.
Uprawnienia na poziomie projektu można zarządzać za pomocą kontekstu administracyjnego portalu internetowego lub narzędzia wiersza polecenia TFSSecurity. Project Administratorzy otrzymują wszystkie uprawnienia na poziomie projektu. Inne grupy na poziomie projektu mają wybrane przypisania uprawnień.
Uwaga
Kilka uprawnień jest udzielanych członkom grupy administratorzy Project i nie są udostępniane w interfejsie użytkownika.
Uprawnienie
Opis
Ogólne
Może usunąć projekt z kolekcji organizacji lub projektu.
Może edytować opis projektu i widoczność usług projektu.
Może udostępniać lub edytować metadane dla projektu. Na przykład użytkownik może podać ogólne informacje o zawartości projektu. Zmiana metadanych jest obsługiwana za pomocą interfejsu API REST Ustawianie właściwości projektu.
Może zmienić nazwę projektu.
Użytkownicy z tym uprawnieniem mogą aktualizować elementy robocze bez generowania powiadomień. Jest to przydatne podczas przeprowadzania migracji aktualizacji zbiorczych według narzędzi i pomijania generowania powiadomień.
Rozważ przyznanie tego uprawnienia do kont usług lub użytkowników, którym udzielono uprawnień pomijania dotyczących aktualizacji elementów roboczych . Parametr można ustawić na true wartość podczas aktualizowania pracy za pomocą elementów roboczych — aktualizowanie interfejsusuppressNotifications API REST.
Może zmienić widoczność projektu z prywatnego na publiczny lub publiczny na prywatny. Dotyczy tylko Azure DevOps Services.
Może wyświetlać informacje na poziomie projektu, w tym członkostwo w grupie informacji o zabezpieczeniach i uprawnienia.
Boards
Użytkownicy z tym uprawnieniem mogą zapisywać element roboczy, który ignoruje reguły, takie jak kopiowanie, ograniczenie lub reguły warunkowe zdefiniowane dla typu elementu roboczego. Scenariusze, w których jest to przydatne, to migracje, w których nie chcesz aktualizować pól według/daty podczas importowania lub gdy chcesz pominąć walidację elementu roboczego.
Reguły można pominąć na jeden z dwóch sposobów. Pierwszy z nich dotyczy elementów roboczych — aktualizowanie interfejsu API REST i ustawianie parametru bypassRules na truewartość . Drugi polega na modelu obiektów klienta przez zainicjowanie w trybie bypassrules (inicjowanie WorkItemStore za pomocą polecenia WorkItemStoreFlags.BypassRules).
W połączeniu z uprawnieniem "Edytuj informacje na poziomie projektu" umożliwia użytkownikom zmianę procesu dziedziczenia dla projektu. Aby dowiedzieć się więcej, zobacz Tworzenie procesów dziedziczynych i zarządzanie nimi.
Może dodawać tagi do elementu roboczego. Domyślnie wszyscy członkowie grupy Współautorzy mają to uprawnienie.
Wszyscy użytkownicy przyznali uczestnikom projektu prywatnego dostęp tylko do istniejących tagów, a nie dodawać nowych tagów, nawet jeśli uprawnienie Utwórz definicję tagu ma wartość Zezwalaj. Jest to część ustawień dostępu uczestnika projektu. Azure DevOps Services użytkownicy, którym udzielono dostępu uczestnikom projektu publicznego, domyślnie otrzymują to uprawnienie.
Może oznaczać elementy robocze w projekcie jako usunięte. Azure DevOps Services użytkownicy, którym udzielono dostępu uczestnikom projektu publicznego, domyślnie otrzymują to uprawnienie.
Może przenieść element roboczy z jednego projektu do innego projektu w kolekcji.
Może trwale usuwać elementy robocze z tego projektu.
Analiza
Może usuwać widoki analizy , które zostały zapisane w obszarze udostępnionym.
Może tworzyć i modyfikować udostępnione widoki analizy.
Może uzyskiwać dostęp do danych dostępnych w usłudze Analytics. Aby uzyskać szczegółowe informacje, zobacz Uprawnienia wymagane do uzyskania dostępu do usługi Analytics.
Test Plans
Może dodawać i usuwać wyniki testów oraz dodawać lub modyfikować przebiegi testów. Aby dowiedzieć się więcej, zobacz Kontrolowanie czasu przechowywania wyników testów i Uruchamianie testów ręcznych.
Może usunąć przebieg testowy.
Może tworzyć i usuwać konfiguracje testów.
Może tworzyć i usuwać środowiska testowe.
Może wyświetlać plany testów w ścieżce obszaru projektu.
Uprawnienia na poziomie projektu dostępne dla Azure DevOps Server 2019 i nowszych wersji różnią się w zależności od modelu procesu używanego przez projekt. Aby zapoznać się z omówieniem modeli procesów, zobacz Dostosowywanie śledzenia pracy.
Dziedziczony model procesu
Lokalny model procesu XML
Uprawnienie
Opis
Użytkownicy z tym uprawnieniem mogą zapisywać element roboczy, który ignoruje reguły, takie jak kopiowanie, ograniczenie lub reguły warunkowe zdefiniowane dla typu elementu roboczego. Scenariusze, w których jest to przydatne, to migracje, w których nie chcesz aktualizować pól według/daty podczas importowania lub gdy chcesz pominąć walidację elementu roboczego.
Reguły można pominąć na jeden z dwóch sposobów. Pierwszy z nich dotyczy elementów roboczych — aktualizowanie interfejsu API REST i ustawianie parametru bypassRules na truewartość . Drugi polega na modelu obiektów klienta przez zainicjowanie w trybie bypassrules (inicjowanie WorkItemStore za pomocą polecenia WorkItemStoreFlags.BypassRules).
W połączeniu z uprawnieniem "Edytuj informacje na poziomie projektu" umożliwia użytkownikom zmianę procesu dziedziczenia dla projektu. Aby dowiedzieć się więcej, zobacz Tworzenie procesów dziedziczynych i zarządzanie nimi. Wymaga, aby projekt używał modelu dziedziczonego procesu.
Może dodawać tagi do elementu roboczego Domyślnie wszyscy członkowie grupy Współautorzy mają to uprawnienie.
Uwaga
Wszyscy użytkownicy, którym udzielono dostępu uczestnikowi projektu, mogą dodawać tylko istniejące tagi, a nie dodawać nowych tagów, nawet jeśli uprawnienie Utwórz definicję tagu jest ustawione na wartość Zezwalaj. Jest to część ustawień dostępu uczestnika projektu.
Mimo że uprawnienie Tworzenie definicji tagu jest wyświetlane w ustawieniach zabezpieczeń na poziomie projektu, uprawnienia do tagowania są uprawnieniami na poziomie kolekcji, które są ograniczone na poziomie projektu, gdy są wyświetlane w interfejsie użytkownika.
Aby określić zakres uprawnień tagowania do pojedynczego projektu podczas korzystania z polecenia TFSSecurity , należy podać identyfikator GUID projektu w ramach składni polecenia.
W przeciwnym razie zmiana zostanie zastosowana do całej kolekcji.
Pamiętaj o tym podczas zmieniania lub ustawiania tych uprawnień.
Może dodawać i usuwać wyniki testów oraz dodawać lub modyfikować przebiegi testów. Aby dowiedzieć się więcej, zobacz Kontrolowanie czasu przechowywania wyników testów i Uruchamianie testów ręcznych.
Może oznaczać elementy robocze w projekcie jako usunięte.
- W przypadku serwera TFS 2015.1 i nowszych wersji grupa Współautorzy ma opcję Usuń i przywróć elementy robocze na poziomie projektu ustawioną na wartość Zezwalaj domyślnie.
- W przypadku serwera TFS 2015 i starszych wersji grupa Współautorzy ma pozycję Usuń elementy robocze w tym projekcie na poziomie projektu ustawionym na wartość Nie ustawiono domyślnie. To ustawienie powoduje, że grupa Współautorzy dziedziczy wartość z najbliższego elementu nadrzędnego, który ma ją jawnie ustawioną.
Może zmienić ustawienia śledzenia na potrzeby zbierania bardziej szczegółowych informacji diagnostycznych dotyczących usług sieci Web Azure DevOps.
Może usuwać widoki analizy , które zostały zapisane w obszarze udostępnionym. Wymaga, aby projekt używał modelu dziedziczonego procesu.
Może usunąć projekt z kolekcji projektów.
Może usunąć przebieg testowy.
Może edytować uprawnienia na poziomie projektu dla użytkowników i grup. To uprawnienie obejmuje możliwość wykonywania tych zadań dla projektu:
- Dodawanie i administrowanie zespołami oraz wszystkimi funkcjami związanymi z zespołem
- Edytowanie uprawnień na poziomie projektu dla użytkowników i grup w projekcie
- Dodawanie lub usuwanie grup zabezpieczeń na poziomie projektu
- Edytowanie list ACL uprawnień na poziomie projektu
- Edytowanie subskrypcji zdarzeń lub alertów dla zespołów lub projektu
Może tworzyć i modyfikować udostępnione widoki analizy. Wymaga, aby projekt używał modelu dziedziczonego procesu.
Może udostępniać lub edytować metadane dla projektu. Na przykład użytkownik może podać ogólne informacje o zawartości projektu. Zmiana metadanych jest obsługiwana za pomocą interfejsu API REST Ustawianie właściwości projektu.
Może tworzyć i usuwać konfiguracje testów.
Może tworzyć i usuwać środowiska testowe.
Może przenieść element roboczy z jednego projektu do innego projektu w kolekcji. Wymaga, aby projekt używał modelu dziedziczonego procesu.
Może trwale usuwać elementy robocze z tego projektu.
Może zmienić nazwę projektu.
Użytkownicy z tym uprawnieniem mogą aktualizować elementy robocze bez generowania powiadomień. Jest to przydatne podczas przeprowadzania migracji aktualizacji zbiorczych według narzędzi i pomijania generowania powiadomień.
Rozważ przyznanie tego uprawnienia do kont usług lub użytkowników, którym udzielono uprawnień pomijania dotyczących aktualizacji elementów roboczych . Parametr można ustawić suppressNotifications na true wartość podczas aktualizowania pracy za pośrednictwem interfejsu API REST — Elementy robocze.
Może uzyskiwać dostęp do danych dostępnych w usłudze Analytics. Aby uzyskać szczegółowe informacje, zobacz Uprawnienia wymagane do uzyskania dostępu do usługi Analytics. Wymaga, aby projekt używał modelu dziedziczonego procesu.
Może wyświetlać członkostwo i uprawnienia grupy na poziomie projektu.
Może wyświetlać plany testów w ścieżce obszaru projektu.
Widoki analizy (na poziomie obiektu)
W przypadku widoków analizy udostępnionej można przyznać określone uprawnienia do wyświetlania, edytowania lub usuwania utworzonego widoku. Zabezpieczenia widoków analizy można zarządzać z poziomu portalu internetowego.
Następujące uprawnienia są definiowane dla każdego udostępnionego widoku analizy. Wszyscy prawidłowi użytkownicy otrzymują automatycznie wszystkie uprawnienia do zarządzania widokami usługi Analytics. Rozważ przyznanie uprawnień do określonych widoków udostępnionych innym członkom zespołu lub utworzonej grupie zabezpieczeń. Zobacz też: Co to są widoki analizy?
Uprawnienie
Opis
Może usunąć widok udostępnionej analizy.
Może zmienić parametry widoku udostępnionej analizy.
Może wyświetlać widok udostępnionej analizy i korzystać z niego z poziomu pulpitu Power BI.
Pulpity nawigacyjne (poziom obiektu)
Uprawnienia do pulpitów nawigacyjnych zespołu i projektu można ustawić indywidualnie. Domyślne uprawnienia dla zespołu można ustawić dla projektu. Zabezpieczenia pulpitów nawigacyjnych można zarządzać z poziomu portalu internetowego.
uprawnienia Project pulpitu nawigacyjnego
Domyślnie twórcą pulpitu nawigacyjnego projektu jest właściciel pulpitu nawigacyjnego i udzielono wszystkich uprawnień do tego pulpitu nawigacyjnego.
| Uprawnienie | Opis |
|---|---|
| Usuwanie pulpitu nawigacyjnego | Może usunąć pulpit nawigacyjny projektu. |
| Edytuj pulpit nawigacyjny | Może dodawać widżety i zmieniać układ pulpitu nawigacyjnego projektu. |
| Zarządzanie uprawnieniami | Może zarządzać uprawnieniami do pulpitu nawigacyjnego projektu. |
Uprawnienia do pulpitów nawigacyjnych zespołu można ustawić indywidualnie. Domyślne uprawnienia dla zespołu można ustawić dla projektu. Zabezpieczenia pulpitów nawigacyjnych można zarządzać z poziomu portalu internetowego.
Domyślne uprawnienia pulpitu nawigacyjnego zespołu
Domyślnie administratorzy zespołu otrzymują wszystkie uprawnienia do pulpitów nawigacyjnych zespołu, w tym zarządzanie domyślnymi i indywidualnymi uprawnieniami pulpitu nawigacyjnego.
| Uprawnienie | Opis |
|---|---|
| Tworzenie pulpitów nawigacyjnych | Może utworzyć pulpit nawigacyjny zespołu. |
| Edytowanie pulpitów nawigacyjnych | Może dodawać widżety i zmieniać układ pulpitu nawigacyjnego zespołu. |
| Usuwanie pulpitów nawigacyjnych | Może usunąć pulpit nawigacyjny zespołu. |
Uprawnienia do pulpitu nawigacyjnego poszczególnych zespołów
Administratorzy zespołu mogą zmieniać uprawnienia poszczególnych pulpitów nawigacyjnych zespołu, zmieniając następujące dwa uprawnienia.
| Uprawnienie | Opis |
|---|---|
| Usuwanie pulpitu nawigacyjnego | Może usunąć określony pulpit nawigacyjny zespołu. |
| Edytuj pulpit nawigacyjny | Może dodawać widżety i zmieniać układ określonego pulpitu nawigacyjnego zespołu. |
Kompilacja (poziom obiektu)
Uprawnienia do kompilacji można zarządzać dla każdej kompilacji zdefiniowanej w portalu internetowym lub za pomocą narzędzia wiersza polecenia TFSSecurity. Project administratorzy otrzymują wszystkie uprawnienia do kompilacji, a administratorzy kompilacji mają przypisane większość tych uprawnień. Możesz ustawić uprawnienia kompilacji dla wszystkich definicji kompilacji lub dla każdej definicji kompilacji.
Uprawnienia w kompilacji są zgodne z modelem hierarchicznym. Wartości domyślne dla wszystkich uprawnień można ustawić na poziomie projektu i można je zastąpić przy użyciu pojedynczej definicji kompilacji.
Aby ustawić uprawnienia na poziomie projektu dla wszystkich definicji kompilacji w projekcie, wybierz pozycję Zabezpieczenia na pasku akcji na stronie głównej centrum Kompilacje.
Aby ustawić lub zastąpić uprawnienia dla określonej definicji kompilacji, wybierz pozycję Zabezpieczenia z menu kontekstowego definicji kompilacji.
Następujące uprawnienia są zdefiniowane w sekcji Kompilacja. Wszystkie te elementy można ustawić na obu poziomach.
Uprawnienie
Opis
Może administrować uprawnieniami kompilacji dla innych użytkowników.
Może usuwać definicje kompilacji dla tego projektu.
Może usunąć ukończoną kompilację. Kompilacje, które są usuwane, są zachowywane na karcie Usunięte przez pewien czas przed ich zniszczeniem.
Może trwale usunąć ukończoną kompilację.
Może zapisywać wszelkie zmiany w potoku kompilacji, w tym zmienne konfiguracji, wyzwalacze, repozytoria i zasady przechowywania. Dostępne w wersji Azure DevOps Services, Azure DevOps Server 2019 1.1 i nowszych.
Edytowanie potoku kompilacji Może zapisywać wszelkie zmiany w potoku kompilacji, w tym zmienne konfiguracji, wyzwalacze, repozytoria i zasady przechowywania. Dostępne w wersji Azure DevOps Services, Azure DevOps Server 2019 1.1 i nowszych. Zastępuje opcję Edytuj definicję kompilacji.
Edytowanie definicji kompilacji Może tworzyć i modyfikować definicje kompilacji dla tego projektu.
Należy wyłączyć dziedziczenie dla definicji kompilacji, gdy chcesz kontrolować uprawnienia dla określonych definicji kompilacji.
Gdy dziedziczenie jest włączone, definicja kompilacji uwzględnia uprawnienia kompilacji zdefiniowane na poziomie projektu lub grupy lub użytkownika. Na przykład niestandardowa grupa Menedżerowie kompilacji ma uprawnienia ustawione na ręczne kolejkowanie kompilacji dla projektu Fabrikam. Każda definicja kompilacji z dziedziczeniem Włączone dla projektu Fabrikam zezwala członkowi grupy Menedżerów kompilacji na ręczne kolejkowanie kompilacji.
Jednak po wyłączeniu dziedziczenia dla projektu Fabrikam można ustawić uprawnienia, które zezwalają tylko administratorom Project na ręczne kolejkowanie kompilacji dla określonej definicji kompilacji. Umożliwiłoby to mi ustawienie uprawnień dla tej definicji kompilacji.
Może dodawać informacje o jakości kompilacji za pośrednictwem programu Team Explorer lub portalu internetowego.
Może dodawać lub usuwać cechy kompilacji. Dotyczy tylko kompilacji XAML.
Może anulować, ponownie utworzyć lub odroczyć kompilacje w kolejce. Dotyczy tylko kompilacji XAML.
Może zatwierdzić zestaw zmian TFVC, który ma wpływ na definicję kompilacji bramnej bez wyzwalania systemu na półce i skompilowania ich zmian.
Przypisz weryfikację zastąpień przez uprawnienie kompilacji tylko do kont usług kompilacji oraz do tworzenia administratorów, którzy są odpowiedzialni za jakość kodu. Dotyczy kompilacji ewidencjonowania bramkowanego kontroli wersji serwera Team Foundation. Nie dotyczy to kompilacji żądania ściągnięcia. Aby uzyskać więcej informacji, zobacz Ewidencjonowanie w folderze kontrolowanym przez proces kompilacji zaewidencjonowanej bramki.
Można umieścić kompilację w kolejce za pośrednictwem interfejsu kompilacji team foundation lub w wierszu polecenia. Mogą również zatrzymać kompilacje, które zostały w kolejce.
Można przełączać flagę zachowywania przez czas nieokreślony w kompilacji. Ta funkcja oznacza kompilację, dzięki czemu system nie zostanie automatycznie usunięty na podstawie żadnych odpowiednich zasad przechowywania.
Może zatrzymać wszystkie trwające kompilacje, w tym kompilacje w kolejce i uruchomione przez innego użytkownika.
Może dodawać węzły informacji o kompilacji do systemu, a także dodawać informacje o jakości kompilacji. Przypisz tylko do kont usług.
Może wyświetlać definicje kompilacji, które zostały utworzone dla projektu.
Może wyświetlać kompilacje w kolejce i ukończone dla tego projektu.
Repozytorium Git (na poziomie obiektu)
Zabezpieczenia każdego repozytorium Git lub gałęzi można zarządzać z poziomu portalu internetowego, narzędzia wiersza polecenia TF lub narzędzia wiersza polecenia TFSSecurity. Project Administratorzy otrzymują większość tych uprawnień (które są wyświetlane tylko dla projektu skonfigurowanego przy użyciu repozytorium Git). Możesz zarządzać tymi uprawnieniami dla wszystkich repozytoriów Git lub dla określonego repozytorium Git.
Ustaw uprawnienia we wszystkich repozytoriach Git, wprowadzając zmiany we wpisie repozytoriów Git najwyższego poziomu.
Poszczególne repozytoria dziedziczą uprawnienia po wpisie repozytoriów Git najwyższego poziomu. Gałęzie dziedziczą uprawnienia z przypisań wykonanych na poziomie repozytorium.
Domyślnie grupy Czytelnicy na poziomie projektu mają tylko uprawnienia do odczytu.
Uprawnienie
Opis
Może zdecydować się na zastąpienie zasad gałęzi, zaznaczając pozycję Zastąpij zasady gałęzi i włączając scalanie podczas kończenia żądania ściągnięcia.
Uwaga
Pomiń zasady podczas kończenia żądań ściągnięcia i pomijania zasad podczas wypychania funkcji Wyklucz z wymuszania zasad. Dotyczy Azure DevOps Server 2019 i nowszych wersji.
Może wypchnąć do gałęzi z włączonymi zasadami gałęzi. Gdy użytkownik z tym uprawnieniem wykonuje wypychanie, które zastąpi zasady gałęzi, wypychanie automatycznie pomija zasady gałęzi bez zgody lub ostrzeżenia.
Uwaga
Pomiń zasady podczas kończenia żądań ściągnięcia i pomijania zasad podczas wypychania funkcji Wyklucz z wymuszania zasad. Dotyczy Azure DevOps Server 2019 i nowszych wersji.
Na poziomie repozytorium można wypchnąć zmiany do istniejących gałęzi w repozytorium i ukończyć żądania ściągnięcia. Użytkownicy, którzy nie mają tego uprawnienia, ale mają uprawnienie Utwórz gałąź , mogą wypychać zmiany do nowych gałęzi. Nie zastępuje ograniczeń w miejscu z zasad gałęzi.
Na poziomie gałęzi można wypchnąć zmiany do gałęzi i zablokować gałąź. Blokowanie gałęzi blokuje dodawanie nowych zatwierdzeń do gałęzi przez inne osoby i uniemożliwia innym użytkownikom zmianę istniejącej historii zatwierdzeń.
Może tworzyć, komentować i głosować na żądania ściągnięcia.
Może tworzyć i publikować gałęzie w repozytorium. Brak tego uprawnienia nie ogranicza użytkowników do tworzenia gałęzi w repozytorium lokalnym; Uniemożliwia jedynie publikowanie gałęzi lokalnych na serwerze.
Uwaga
Gdy użytkownik tworzy nową gałąź na serwerze, domyślnie ma uprawnienia Współtworzenie, Edytowanie zasad, Wymuszanie wypychania, Zarządzanie uprawnieniami i Usuwanie blokad innych osób dla tej gałęzi. Oznacza to, że użytkownicy mogą dodawać nowe zatwierdzenia do repozytorium za pośrednictwem swojej gałęzi.
Może tworzyć nowe repozytoria. To uprawnienie jest dostępne tylko w oknie dialogowym Zabezpieczenia dla obiektu repozytoriów Git najwyższego poziomu.
Może wypychać tagi do repozytorium.
Może usunąć repozytorium. Na poziomie repozytoriów Git najwyższego poziomu można usunąć dowolne repozytorium.
Może edytować zasady dla repozytorium i jego gałęzi.
Można pominąć zasady gałęzi i wykonać następujące dwie akcje:
- Zastąpij zasady gałęzi i ukończ żądania ściągnięcia, które nie spełniają zasad gałęzi
- Wypychanie bezpośrednio do gałęzi z ustawionymi zasadami gałęzi
Uwaga
Dotyczy programu TFS 2015 do TFS 2018 Update 2. (W Azure DevOps jest on zastępowany następującymi dwoma uprawnieniami: Pomijanie zasad podczas kończenia żądań ściągnięcia i pomijania zasad podczas wypychania.
Może wymusić aktualizację gałęzi, usunąć gałąź i zmodyfikować historię zatwierdzeń gałęzi. Może usuwać tagi i notatki.
Może wypychać i edytować notatki usługi Git.
Może ustawić uprawnienia dla repozytorium.
Może klonować, pobierać, ściągać i eksplorować zawartość repozytorium.
Może usuwać blokady gałęzi ustawione przez innych użytkowników. Blokowanie gałęzi blokuje dodawanie nowych zatwierdzeń do gałęzi przez inne osoby i uniemożliwia innym użytkownikom zmianę istniejącej historii zatwierdzeń.
Może zmienić nazwę repozytorium. Po ustawieniu wpisu repozytoriów Git najwyższego poziomu można zmienić nazwę dowolnego repozytorium.
Uwaga
Ustaw uprawnienia we wszystkich repozytoriach Git, wprowadzając zmiany we wpisie repozytoriów Git najwyższego poziomu. Poszczególne repozytoria dziedziczą uprawnienia po wpisie repozytoriów Git najwyższego poziomu. Gałęzie dziedziczą uprawnienia z przypisań wykonanych na poziomie repozytorium. Domyślnie grupy Czytelnicy na poziomie projektu mają tylko uprawnienia do odczytu.
Aby zarządzać uprawnieniami repozytorium Git i gałęzi, zobacz Ustawianie uprawnień gałęzi.
TfVC (poziom obiektu)
Zabezpieczenia każdej gałęzi kontroli wersji serwera Team Foundation można zarządzać z poziomu portalu internetowego lub za pomocą narzędzia wiersza polecenia TFSSecurity. Project Administratorzy otrzymują większość tych uprawnień, które są wyświetlane tylko dla projektu skonfigurowanego do używania Kontrola wersji serwera Team Foundation jako systemu kontroli źródła. W uprawnieniach kontroli wersji jawna odmowa ma pierwszeństwo przed uprawnieniami grupy administratorów.
Te uprawnienia są wyświetlane tylko dla konfiguracji projektu, aby używać Kontrola wersji serwera Team Foundation jako systemu kontroli źródła.
W uprawnieniach kontroli wersji jawna odmowa ma pierwszeństwo przed uprawnieniami grupy administratorów.
Uprawnienie
Opis
Administrowanie etykietami
Może edytować lub usuwać etykiety utworzone przez innego użytkownika.
Zaewidencjonuj
Może zaewidencjonować elementy i poprawić wszystkie zatwierdzone komentarze zestawu zmian. Oczekujące zmiany są zatwierdzane podczas ewidencjonu.
Uwaga
Rozważ dodanie tych uprawnień do wszystkich ręcznie dodanych użytkowników lub grup, które przyczyniają się do rozwoju projektu; wszyscy użytkownicy, którzy powinni być w stanie zaewidencjonować i wyewidencjonować zmiany, wprowadzić oczekującą zmianę do elementów w folderze lub poprawić wszelkie zatwierdzone komentarze zestawu zmian.
Zaewidencjonuj zmiany innych użytkowników
Może zaewidencjonować zmiany wprowadzone przez innych użytkowników. Oczekujące zmiany są zatwierdzane podczas ewidencjonu.
Wyewidencjonuj (do wersji TFS 2015)
Pend zmiany w obszarze roboczym serwera (TFS 2017 i nowszych)
Może wyewidencjonować i wprowadzić oczekującą zmianę elementów w folderze. Przykłady oczekujących zmian obejmują dodawanie, edytowanie, zmienianie nazw, usuwanie, nieuzupełnianie, rozgałęzianie i scalanie pliku. Oczekujące zmiany muszą być zaewidencjonowane, więc użytkownicy będą również potrzebować uprawnień zaewidencjonowania, aby udostępnić swoje zmiany zespołowi.
Uwaga
Rozważ dodanie tych uprawnień do wszystkich ręcznie dodanych użytkowników lub grup, które przyczyniają się do rozwoju projektu; wszyscy użytkownicy, którzy powinni być w stanie zaewidencjonować i wyewidencjonować zmiany, wprowadzić oczekującą zmianę do elementów w folderze lub poprawić wszelkie zatwierdzone komentarze zestawu zmian.
Etykieta
Może oznaczać elementy etykiet.
Może blokować i odblokowywać foldery lub pliki. Śledzony folder lub plik można zablokować lub odblokować w celu odmowy lub przywrócenia uprawnień użytkownika. Uprawnienia obejmują wyewidencjonowanie elementu do edycji w innym obszarze roboczym lub zaewidencjonowanie oczekujących zmian w elemencie z innego obszaru roboczego. Aby uzyskać więcej informacji, zobacz Blokowanie polecenia.
Zarządzanie gałęzią
Może przekonwertować dowolny folder pod tą ścieżką na gałąź, a także wykonać następujące akcje w gałęzi: edytuj jego właściwości, przeprowadź jego reparent i przekonwertuj go na folder. Użytkownicy, którzy mają to uprawnienie, mogą rozgałęzić tę gałąź tylko wtedy, gdy mają również uprawnienie Scalanie dla ścieżki docelowej. Użytkownicy nie mogą tworzyć gałęzi z gałęzi, dla której nie mają uprawnień Zarządzaj gałęzią.
Zarządzanie uprawnieniami
Może zarządzać uprawnieniami innych użytkowników do folderów i plików w kontroli wersji.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które przyczyniają się do rozwoju projektu i które muszą być w stanie tworzyć gałęzie prywatne, chyba że projekt jest w bardziej restrykcyjnych praktykach programistycznych.
Może scalić zmiany w tej ścieżce.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które przyczyniają się do rozwoju projektu i które muszą być w stanie scalić pliki źródłowe, chyba że projekt jest w bardziej restrykcyjnych praktykach programistycznych.
Odczyt
Może odczytywać zawartość pliku lub folderu. Jeśli użytkownik ma uprawnienia do odczytu dla folderu, użytkownik może zobaczyć zawartość folderu i właściwości plików w nim, nawet jeśli użytkownik nie ma uprawnień do otwierania plików.
Poprawianie zmian innych użytkowników
Może edytować komentarze dotyczące plików zaewidencjonowany, nawet jeśli inny użytkownik zaewidencjonował plik.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które są odpowiedzialne za nadzorowanie lub monitorowanie projektu i które mogą lub muszą zmienić komentarze w plikach zaewidencjonowania, nawet jeśli inny użytkownik zaewidencjonował plik.
Cofnij zmiany innych użytkowników scalanie
Może cofnąć oczekujące zmiany wprowadzone przez innego użytkownika.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które są odpowiedzialne za nadzorowanie lub monitorowanie projektu i które mogą lub muszą zmienić komentarze w plikach zaewidencjonowania, nawet jeśli inny użytkownik zaewidencjonował plik.
Odblokowywanie zmian innych użytkowników
Może odblokować pliki zablokowane przez innych użytkowników.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które są odpowiedzialne za nadzorowanie lub monitorowanie projektu i które mogą lub muszą zmienić komentarze w plikach zaewidencjonowania, nawet jeśli inny użytkownik zaewidencjonował plik.
Ścieżka obszaru (poziom obiektu)
Uprawnienia ścieżki obszaru przyznają lub ograniczają dostęp do gałęzi hierarchii obszaru oraz do elementów roboczych w tych obszarach. Zabezpieczenia każdej ścieżki obszaru można zarządzać z poziomu portalu internetowego lub za pomocą narzędzia wiersza polecenia TFSSecurity. Uprawnienia obszaru przyznają lub ograniczają dostęp do tworzenia ścieżek obszaru i zarządzania nimi, a także tworzenia i modyfikowania elementów roboczych zdefiniowanych w ścieżkach obszaru.
Członkowie grupy administratorzy Project są automatycznie udzielani uprawnień do zarządzania ścieżkami obszaru dla projektu. Rozważ przyznanie administratorom zespołu lub zespołom uprawnień do tworzenia, edytowania lub usuwania węzłów obszaru.
Uwaga
Wiele zespołów może współtworzyć projekt. W takim przypadku można skonfigurować zespoły skojarzone z obszarem. Uprawnienia do elementów roboczych zespołu są przypisywane przez przypisanie uprawnień do obszaru. Istnieją inne ustawienia zespołu , które konfigurują narzędzia do planowania elastycznego zespołu.
Uprawnienie
Opis
Może tworzyć węzły obszaru. Użytkownicy, którzy mają zarówno to uprawnienie, jak i uprawnienie Edytuj ten węzeł , mogą przenosić lub zmieniać kolejność dowolnych węzłów obszaru podrzędnego.
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać usunięcia, dodania lub zmiany nazwy węzłów obszaru.
Użytkownicy, którzy mają zarówno to uprawnienie, jak i uprawnienie Edytuj ten węzeł dla innego węzła, mogą usuwać węzły obszaru i ponownie klasyfikować istniejące elementy robocze z usuniętego węzła. Jeśli usunięty węzeł ma węzły podrzędne, te węzły zostaną również usunięte.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać usunięcia, dodania lub zmiany nazwy węzłów obszaru.
Może ustawić uprawnienia dla tego węzła i zmienić nazwę węzłów obszaru.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać usunięcia, dodania lub zmiany nazwy węzłów obszaru.
Może edytować elementy robocze w tym węźle obszaru.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać edytowania elementów roboczych w węźle obszaru.
Może modyfikować właściwości planu testów, takie jak ustawienia kompilacji i testowania.
Uwaga
Rozważ dodanie uprawnień Zarządzaj zestawami testów do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać zarządzania planami testów lub zestawami testów w tym węźle obszaru.
Może tworzyć i usuwać zestawy testów, dodawać i usuwać przypadki testowe z zestawów testów, zmieniać konfiguracje testów skojarzone z zestawami testów i modyfikować hierarchię pakietu (przenieś zestaw testów).
Rozważ dodanie uprawnień Zarządzaj zestawami testów do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać zarządzania planami testów lub zestawami testów w tym węźle obszaru.
Może wyświetlić ustawienia zabezpieczeń dla tego węzła.
Może wyświetlać, ale nie zmieniać elementów roboczych w tym węźle obszaru.
Uwaga
Jeśli ustawisz opcję Wyświetl elementy robocze w tym węźle na Odmów, użytkownik nie będzie mógł zobaczyć żadnych elementów roboczych w tym węźle obszaru. Odmowa zastąpi wszelkie niejawne zezwalanie, nawet dla użytkowników, którzy są członkami grup administracyjnych.
Ścieżka iteracji (poziom obiektu)
Uprawnienia ścieżki iteracji przyznają lub ograniczają dostęp do tworzenia ścieżek iteracji i zarządzania nimi, nazywanych również przebiegami.
Zabezpieczenia każdej ścieżki iteracji można zarządzać z poziomu portalu internetowego lub za pomocą narzędzia wiersza polecenia TFSSecurity.
Członkowie grupy administratorzy Project automatycznie otrzymują te uprawnienia dla każdej iteracji zdefiniowanej dla projektu. Rozważ przyznanie administratorom zespołu, mistrzom scrum lub zespołom uprawnień do tworzenia, edytowania lub usuwania węzłów iteracji.
Uprawnienie
Opis
Może tworzyć węzły iteracji. Użytkownicy, którzy mają zarówno to uprawnienie, jak i uprawnienie Edytuj ten węzeł , mogą przenosić lub zmieniać kolejność wszystkich węzłów iteracji podrzędnej.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać usunięcia, dodania lub zmiany nazwy węzłów iteracji.
Użytkownicy, którzy mają zarówno to uprawnienie, jak i uprawnienie Edytuj ten węzeł dla innego węzła, mogą usuwać węzły iteracji i klasyfikować istniejące elementy robocze z usuniętego węzła. Jeśli usunięty węzeł ma węzły podrzędne, te węzły również zostaną usunięte.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać usunięcia, dodania lub zmiany nazwy węzłów iteracji.
Może ustawić uprawnienia dla tego węzła i zmienić nazwę węzłów iteracji.
Uwaga
Rozważ dodanie tego uprawnienia do wszystkich ręcznie dodanych użytkowników lub grup, które mogą wymagać usunięcia, dodania lub zmiany nazwy węzłów iteracji.
Może wyświetlić ustawienia zabezpieczeń dla tego węzła.
Uwaga
Członkowie kolekcji Project Valid Users, Project Valid Users lub dowolny użytkownik lub grupa z informacjami na poziomie kolekcji Widok na poziomie kolekcji lub Wyświetl informacje na poziomie projektu mogą wyświetlać uprawnienia dowolnego węzła iteracji.
Zapytanie i folder zapytania elementu roboczego (poziom obiektu)
Uprawnienia do folderów zapytań i zapytań można zarządzać za pośrednictwem portalu internetowego. Project administratorzy otrzymują wszystkie te uprawnienia. Współautorzy otrzymują tylko uprawnienia do odczytu. Rozważ przyznanie uprawnień Współtworzenie użytkownikom lub grupom, które wymagają możliwości tworzenia i udostępniania zapytań dotyczących elementów roboczych dla projektu.
Rozważ przyznanie uprawnień Współtworzenie użytkownikom lub grupom, które wymagają możliwości tworzenia i udostępniania zapytań dotyczących elementów roboczych dla projektu. Aby dowiedzieć się więcej, zobacz Ustawianie uprawnień do zapytań.
Uwaga
Aby utworzyć wykresy zapytań , potrzebujesz dostępu podstawowego.
Uprawnienie
Opis
Może wyświetlać i modyfikować to zapytanie lub folder zapytań.
Może usunąć kwerendę lub folder kwerendy i jego zawartość.
Może zarządzać uprawnieniami dla tego zapytania lub folderu zapytań.
Może wyświetlać zapytanie lub kwerendy w folderze i używać ich, ale nie może modyfikować zawartości kwerendy ani folderu kwerendy.
Plany dostarczania (poziom obiektu)
Uprawnienia planu można zarządzać za pośrednictwem portalu internetowego. Uprawnienia dla każdego planu można zarządzać za pomocą okna dialogowego Zabezpieczenia. Project administratorzy otrzymują wszystkie uprawnienia do tworzenia, edytowania i zarządzania planami. Prawidłowych użytkowników udzielono uprawnień Wyświetl (tylko do odczytu).
Uprawnienie
Opis
Może usunąć wybrany plan.
Może edytować konfigurację i ustawienia zdefiniowane dla wybranego planu.
Może zarządzać uprawnieniami dla wybranego planu.
Może wyświetlać listy planów, otwierać i korzystać z planu, ale nie może modyfikować konfiguracji lub ustawień planu.
Proces (poziom obiektu)
Możesz zarządzać uprawnieniami dla każdego dziedziczonego procesu tworzonego za pośrednictwem portalu internetowego. Uprawnienia dla każdego procesu można zarządzać za pomocą okna dialogowego Zabezpieczenia. Project Administratorzy kolekcji otrzymują wszystkie uprawnienia do tworzenia, edytowania i zarządzania procesami. Prawidłowych użytkowników udzielono uprawnień Wyświetl (tylko do odczytu).
Uprawnienie
Opis
Może ustawić lub zmienić uprawnienia dla dziedziczonego procesu.
Może usunąć dziedziczony proces.
Może utworzyć dziedziczony proces z procesu systemowego lub skopiować lub zmodyfikować dziedziczony proces.
Tagi elementów roboczych
Uprawnienia tagowania można zarządzać za pomocą polecenia az devops security permission lub narzędzia wiersza polecenia TFSSecurity . Współautorzy mogą dodawać tagi do elementów roboczych i używać ich do szybkiego filtrowania listy prac, tablicy lub widoku wyników zapytania.
Uprawnienia tagowania można zarządzać przy użyciu narzędzia wiersza polecenia TFSSecurity. Współautorzy mogą dodawać tagi do elementów roboczych i używać ich do szybkiego filtrowania listy prac, tablicy lub widoku wyników zapytania.
Uprawnienie
Opis
Może tworzyć nowe tagi i stosować je do elementów roboczych. Użytkownicy bez tego uprawnienia mogą wybierać tylko z istniejącego zestawu tagów dla projektu.
Uwaga
Domyślnie współautorzy mają przypisane uprawnienie Tworzenie definicji tagu . Mimo że uprawnienie Tworzenie definicji tagu jest wyświetlane w ustawieniach zabezpieczeń na poziomie projektu, uprawnienia do tagowania są uprawnieniami na poziomie kolekcji, które są ograniczone na poziomie projektu, gdy są wyświetlane w interfejsie użytkownika. Aby określić zakres uprawnień tagowania do pojedynczego projektu podczas korzystania z narzędzia wiersza polecenia, należy podać identyfikator GUID projektu w ramach składni polecenia. W przeciwnym razie zmiana zostanie zastosowana do całej kolekcji. Pamiętaj o tym podczas zmieniania lub ustawiania tych uprawnień.
Może usunąć tag z listy dostępnych tagów dla tego projektu.
Uwaga
To uprawnienie nie jest wyświetlane w interfejsie użytkownika. Można go ustawić tylko za pomocą narzędzia wiersza polecenia. Nie ma również interfejsu użytkownika do jawnego usunięcia tagu. Zamiast tego, gdy tag nie był używany przez 3 dni, system automatycznie go usuwa.
Może wyświetlić listę tagów dostępnych dla elementu roboczego w projekcie. Użytkownicy bez tego uprawnienia nie będą mieli listy dostępnych tagów, z których można wybrać w formularzu elementu roboczego lub w edytorze zapytań.
Uwaga
To uprawnienie nie jest wyświetlane w interfejsie użytkownika. Można go ustawić tylko za pomocą narzędzia wiersza polecenia. Opcja Wyświetl informacje na poziomie projektu niejawnie umożliwia użytkownikom wyświetlanie istniejących tagów.
Można zmienić nazwę tagu przy użyciu interfejsu API REST.
Uwaga
To uprawnienie nie jest wyświetlane w interfejsie użytkownika. Można go ustawić tylko za pomocą narzędzia wiersza polecenia.
Wydanie (poziom obiektu)
Zarządzasz uprawnieniami dla każdej wersji zdefiniowanej w portalu internetowym. Project administratorzy i administratorzy wydań otrzymują wszystkie uprawnienia do zarządzania wydaniami. Te uprawnienia można udzielić lub odmówić w modelu hierarchicznym na poziomie projektu, dla określonego potoku wydania lub dla określonego środowiska w potoku wydania. W tej hierarchii uprawnienia mogą być dziedziczone z elementu nadrzędnego lub zastępowane.
Uwaga
Grupa administratora wydania na poziomie projektu jest tworzona w tym samym czasie, gdy jest definiowany pierwszy potok wydania.
Ponadto można przypisać osoby zatwierdzające do określonych kroków w potoku wydania, aby upewnić się, że wdrażane aplikacje spełniają standardy jakości.
Następujące uprawnienia są zdefiniowane w Release Management. W kolumnie zakresu wyjaśniono, czy uprawnienie można ustawić na poziomie projektu, potoku wydania lub środowiska.
Uprawnienie
Opis
Zakresy
Można zmienić dowolne inne uprawnienia wymienione tutaj.
Project, potok wydania, środowisko
Może tworzyć nowe wydania.
Project, potok wydania
Może usuwać potoki wydania.
Project, potok wydania
Może usuwać środowiska w potokach wydania.
Project, potok wydania, środowisko
Może usuwać wydania dla potoku.
Project, potok wydania
Może dodawać i edytować potok wydania, w tym zmienne konfiguracji, wyzwalacze, artefakty i zasady przechowywania, a także konfigurację w środowisku potoku wydania. Aby wprowadzić zmiany w określonym środowisku w potoku wydania, użytkownik musi również mieć uprawnienie Edytuj środowisko wydania .
Project, potok wydania
Może edytować środowiska w potokach wydania. Aby zapisać zmiany w potoku wydania, użytkownik musi również mieć uprawnienie Edytuj potok wydania . To uprawnienie określa również, czy użytkownik może edytować konfigurację w środowisku określonego wystąpienia wydania. Użytkownik musi również mieć uprawnienie Zarządzanie wersjami , aby zapisać zmodyfikowaną wersję.
Project, potok wydania, środowisko
Może zainicjować bezpośrednie wdrożenie wydania w środowisku. To uprawnienie dotyczy tylko wdrożeń bezpośrednich inicjowanych ręcznie przez wybranie akcji Wdróż w wersji. Jeśli warunek w środowisku jest ustawiony na dowolny typ wdrożenia automatycznego, system automatycznie inicjuje wdrożenie bez sprawdzania uprawnień użytkownika, który utworzył wydanie.
Project, potok wydania, środowisko
Może dodawać lub edytować osoby zatwierdzające dla środowisk w potokach wydania. To uprawnienie określa również, czy użytkownik może edytować osoby zatwierdzające w środowisku określonego wystąpienia wydania.
Project, potok wydania, środowisko
Może edytować konfigurację wydania, taką jak etapy, osoby zatwierdzające i zmienne. Aby edytować konfigurację określonego środowiska w wystąpieniu wydania, użytkownik musi również mieć uprawnienie Edytuj środowisko wydania .
Project, potok wydania
Może wyświetlać potoki wydania.
Project, potok wydania
Może wyświetlać wydania należące do potoków wydań.
Project, potok wydania
Wartości domyślne dla wszystkich tych uprawnień są ustawiane dla kolekcji projektów zespołowych i grup projektów. Na przykład administratorzy kolekcji Project, administratorzy Project i administratorzy wydań domyślnie otrzymują wszystkie powyższe uprawnienia. Współautorzy otrzymują wszystkie uprawnienia, z wyjątkiem administrowania uprawnieniami wydania. Czytelnicy domyślnie odrzucają wszystkie uprawnienia, z wyjątkiem Wyświetl potok wydania i Wyświetl wydania.
Uprawnienia grupy zadań (kompilacja i wydanie)
Uprawnienia dla grup zadań można zarządzać z poziomu centrum Kompilowanie i wydawanie portalu internetowego. Project, kompilacji i administratorzy wydań otrzymują wszystkie uprawnienia. Uprawnienia grupy zadań są zgodne z modelem hierarchicznym. Wartości domyślne dla wszystkich uprawnień można ustawić na poziomie projektu i można je zastąpić przy użyciu pojedynczej definicji grupy zadań.
Grupy zadań służą do hermetyzacji sekwencji zadań zdefiniowanych już w kompilacji lub definicji wydania w ramach pojedynczego zadania wielokrotnego użytku. Grupy zadań można definiować i zarządzać nimi na karcie Grupy zadań w centrum Kompilacja i wydawanie .
| Uprawnienie | Opis |
|---|---|
| Administrowanie uprawnieniami grupy zadań | Może dodawać i usuwać użytkowników lub grupy do zabezpieczeń grupy zadań. |
| Usuwanie grupy zadań | Może usunąć grupę zadań. |
| Edytowanie grupy zadań | Może tworzyć, modyfikować lub usuwać grupę zadań. |
Powiadomienia lub alerty
Brak uprawnień interfejsu użytkownika skojarzonych z zarządzaniem powiadomieniami e-mail lub alertami. Zamiast tego można nimi zarządzać za pomocą polecenia az devops security permission lub TFSSecurity command-line tools.
Brak uprawnień interfejsu użytkownika skojarzonych z zarządzaniem powiadomieniami e-mail lub alertami. Zamiast tego można nimi zarządzać za pomocą narzędzia wiersza polecenia TFSSecurity .
- Domyślnie członkowie grupy Współautorzy na poziomie projektu mogą subskrybować alerty dla siebie.
- Członkowie grupy administratorzy kolekcji Project lub użytkownicy, którzy mają informacje na poziomie edycji kolekcji, mogą ustawiać alerty w tej kolekcji dla innych lub dla zespołu.
- Członkowie grupy administratorzy Project lub użytkownicy, którzy mają edytować informacje na poziomie projektu, mogą ustawiać alerty w tym projekcie dla innych lub dla zespołu.
Uprawnienia alertów można zarządzać przy użyciu programu TFSSecurity.
Akcja TFSSecurity
Przestrzeń nazw TFSSecurity
Opis
Administratorzy kolekcji Project&
Konta usługi kolekcji Project
CREATE_SOAP_SUBSCRIPTION
EventSubscription
Może utworzyć subskrypcję usługi internetowej opartej na protokole SOAP.
✔️
GENERIC_READ
EventSubscription
Może wyświetlać zdarzenia subskrypcji zdefiniowane dla projektu.
✔️
GENERIC_WRITE
EventSubscription
Może tworzyć alerty dla innych użytkowników lub dla zespołu.
✔️
UNSUBSCRIBE
EventSubscription
Może anulować subskrypcję zdarzeń.
✔️
Pokrewne artykuły:
- Wprowadzenie z uprawnieniami, dostępem i grupami zabezpieczeń
- Narzędzia do zarządzania zabezpieczeniami i uprawnieniami
- Konta usług i zależności
- Dodawanie użytkowników do organizacji (Azure DevOps Services)
- Dodawanie użytkowników do zespołu lub projektu
- Dodawanie użytkowników do roli administratora
- Tworzenie użytkownika administratorem zespołu
- Rozwiązywanie problemów z uprawnieniami