Zarządzanie grupami i uprawnieniami dla usługi Azure DevOps za pomocą programu TFSSecurity
Azure DevOps Server 2022 r. | Azure DevOps Server 2020 r. | Azure DevOps Server 2019 r.
Za pomocą narzędzia wiersza polecenia TFSSecurity można tworzyć, modyfikować i usuwać grupy i użytkowników w Azure DevOps Server oraz dodatkowo modyfikować uprawnienia dla grup i użytkowników. Aby uzyskać informacje o sposobie wykonywania tych zadań w interfejsie użytkownika, zobacz Dodawanie użytkowników lub grup do projektu.
Ważne
Narzędzie wiersza polecenia TFSSecurity zostało przestarzałe do użytku z Azure DevOps Services. Chociaż tfSSecurity może działać w niektórych scenariuszach Azure DevOps Services, nie jest obsługiwana. Zalecana metoda wprowadzania zmian w grupach zabezpieczeń i uprawnieniach dla Azure DevOps Services jest używana przy użyciu portalu internetowego, az devops security lub az devops uprawnienia narzędzia wiersza polecenia lub interfejsu API REST zabezpieczeń.
Lokalizacja narzędzia wiersza polecenia
Narzędzia wiersza polecenia usługi Azure DevOps są instalowane w katalogu /Tools serwera warstwy aplikacji usługi Azure DevOps.
- Azure DevOps Server 2020 r.:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019 r.:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Uwaga
Nawet jeśli zalogowano się przy użyciu poświadczeń administracyjnych, musisz otworzyć wiersz polecenia z podwyższonym poziomem uprawnień, aby wykonać tę funkcję.
Uprawnienia
/a+: Dodawanie uprawnień
Użyj /a+ , aby dodać uprawnienia dla użytkownika lub grupy w grupie na poziomie serwera, na poziomie kolekcji lub na poziomie projektu. Aby dodać użytkowników do grup z portalu internetowego, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /a+ polecenia, musisz mieć widok informacji na poziomie kolekcji lub uprawnienia Wyświetl informacje na poziomie wystąpienia ustawione na Wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Jeśli zmieniasz uprawnienia dla projektu, musisz również mieć uprawnienie Edytuj informacje na poziomie projektu dla projektu ustawione na wartość Zezwalaj. Aby uzyskać więcej informacji, zobacz Dokumentacja uprawnień i grup.
Parametry
| Argument | Opis |
|---|---|
| Przestrzeń nazw | Przestrzeń nazw zawierająca grupę, do której chcesz dodać uprawnienia dla użytkownika lub grupy. Możesz również użyć polecenia tfssecurity /a , aby wyświetlić listę przestrzeni nazw na poziomie serwera, kolekcji i projektu. |
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu.
|
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Wpisy kontroli dostępu to mechanizmy zabezpieczeń, które określają, które operacje mają być wykonywane przez użytkownika, grupę, usługę lub komputer.
Przykład: Wyświetlanie dostępnych przestrzeni nazw
W poniższym przykładzie pokazano, jakie przestrzenie nazw są dostępne na poziomie serwera dla serwera warstwy aplikacji o nazwie ADatumCorporation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /a /server:ServerURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Przykład: Wyświetlanie dostępnych akcji
W poniższym przykładzie przedstawiono akcje dostępne dla przestrzeni nazw na poziomie serwera na poziomie kolekcji.
tfssecurity /a Server /collection:CollectionURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Przykład: Przypisywanie uprawnień na poziomie wystąpienia
Poniższy przykład przyznaje użytkownikowi domeny Datum1 Użytkownika John Peoples (Datum1\jpeoples) uprawnienie do wyświetlania informacji na poziomie serwera do wdrożenia usługi ADatumCorporation dla użytkownika domeny Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Przykład: przypisywanie uprawnienia na poziomie kolekcji
Poniższy przykład przyznaje użytkownikowi domeny Datum1 użytkownika John Peoples (Datum1\jpeoples) uprawnienie do wyświetlania informacji na poziomie kolekcji kolekcji na poziomie kolekcji.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Usuwanie użytkownika lub grupy z członkostwa w grupie
Użyj polecenia /a- , aby usunąć użytkownika lub grupę z członkostwa w grupie na poziomie serwera, kolekcji lub na poziomie projektu. Aby usunąć użytkowników z grup z portalu internetowego, zobacz Usuwanie kont użytkowników.
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Wymagania wstępne
Aby użyć /a- polecenia, musisz mieć informacje na poziomie kolekcji lub Wyświetl informacje o poziomie wystąpienia ustawione na wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Jeśli zmieniasz uprawnienia dla projektu, musisz również mieć uprawnienie Edytuj informacje na poziomie projektu dla projektu ustawione na wartość Zezwalaj.
Parametry
| Argument | Opis |
|---|---|
| Przestrzeń nazw | Przestrzeń nazw zawierająca grupę, do której chcesz usunąć uprawnienia dla użytkownika lub grupy. Możesz również użyć polecenia tfssecurity /a , aby wyświetlić listę przestrzeni nazw na poziomie serwera, kolekcji i projektu. |
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu.
|
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Wpisy kontroli dostępu to mechanizmy zabezpieczeń określające, które operacje użytkownika, grupy, usługi lub komputera są autoryzowane do wykonywania na komputerze lub serwerze.
Przykład: Wyświetlanie przestrzeni nazw na poziomie serwera
W poniższym przykładzie pokazano, jakie przestrzenie nazw są dostępne na poziomie serwera dla serwera warstwy aplikacji o nazwie ADatumCorporation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /a /server:ServerURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Przykład: Wyświetlanie dostępnych akcji na poziomie kolekcji
W poniższym przykładzie przedstawiono akcje dostępne dla przestrzeni nazw serwera na poziomie kolekcji.
tfssecurity /a Server /collection:CollectionURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Przykład: usuwanie uprawnienia na poziomie wystąpienia
W poniższym przykładzie usunięto uprawnienie do informacji na poziomie serwera widoku wystąpienia do wdrożenia ADatumCorporation dla użytkownika domeny Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Przykład: usuwanie uprawnienia na poziomie kolekcji
Poniższy przykład usuwa uprawnienia na poziomie kolekcji Wyświetlanie informacji na poziomie kolekcji do kolekcji projektów Collection0 dla użytkownika domeny Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Wyświetlanie listy kontroli dostępu
Użyj /acl , aby wyświetlić listę kontroli dostępu, która ma zastosowanie do określonego obiektu.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /acl polecenia, musisz mieć widok informacji na poziomie kolekcji lub uprawnienia Wyświetl informacje na poziomie wystąpienia ustawione na Wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Dokumentacja uprawnień dla Azure DevOps Server.
Parametry
| Argument | Opis |
|---|---|
| Przestrzeń nazw | Przestrzeń nazw zawierająca grupę, do której chcesz wyświetlić uprawnienia dla użytkownika lub grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Wpisy kontroli dostępu to mechanizmy zabezpieczeń, które określają, które operacje użytkownik, grupa, usługa lub komputer jest autoryzowany do wykonywania na komputerze lub serwerze.
Przykład: Wyświetlanie listy przypisań listy ACL do przestrzeni nazw na poziomie serwera
W poniższym przykładzie pokazano, którzy użytkownicy i grupy mają dostęp do tokenu FrameworkGlobalSecurity w przestrzeni nazw serwera we wdrożeniu ADatumCorporation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Grupy
/g: Wyświetlanie listy grup
Użyj /g, aby wyświetlić listę grup w projekcie, w kolekcji projektów lub w Azure DevOps Server.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /g polecenia, musisz mieć widok informacji na poziomie kolekcji lub uprawnienia wyświetl informacje na poziomie wystąpienia ustawione na Wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby użyć /g polecenia w zakresie pojedynczego projektu, musisz mieć uprawnienie Wyświetl informacje na poziomie projektu ustawione na Zezwalaj. Aby uzyskać więcej informacji, zobacz Informacje o uprawnieniach i grupach.
Parametry
| Argument | Opis |
|---|---|
| scope | Opcjonalny. Określa identyfikator URI projektu, dla którego chcesz wyświetlić grupy. Aby uzyskać identyfikator URI projektu, otwórz program Team Explorer, kliknij prawym przyciskiem myszy projekt, kliknij polecenie Właściwości i skopiuj cały wpis adresu URL. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Polecenie /g narzędzia wiersza polecenia TFSSecurity wyświetla informacje o każdej grupie w wybranym zakresie. Ten zakres może być kolekcją projektów (/serwerem) lub serwerem warstwy aplikacji (/wystąpieniem). W przypadku użycia z zakresem projektu będą wyświetlane tylko informacje o grupach skojarzonych z tym projektem.
Przykład: Wyświetlanie informacji o grupie na poziomie kolekcji
Poniższy przykład przedstawia informacje dotyczące wszystkich grup w kolekcji projektów.
tfssecurity /g /collection:CollectionURL
/g+: Dodaj użytkownika lub inną grupę do istniejącej grupy
Użyj /g+ , aby dodać użytkownika lub inną grupę do istniejącej grupy.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /g+ polecenia, musisz mieć widok informacji na poziomie kolekcji i Edytować informacje na poziomie kolekcji lub Wyświetl informacje na poziomie wystąpienia i Edytuj informacje na poziomie wystąpienia uprawnienia do zezwalania, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| groupIdentity | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| memberIdentity | Określa tożsamość elementu członkowskiego. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Możesz również dodać użytkowników i grupy do istniejącej grupy przy użyciu programu Team Explorer. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
Przykład: dodawanie użytkownika do grupy na poziomie serwera
Poniższy przykład dodaje użytkownika domeny Datum1 John Peoples (Datum1\jpeoples) do grupy Administratorzy team Foundation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Usuwanie użytkownika lub grupy
Użyj /g- , aby usunąć użytkownika lub grupę użytkowników z istniejącej grupy.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /g- polecenia, musisz mieć widok informacji na poziomie kolekcji i Edytować informacje na poziomie kolekcji lub Wyświetl informacje na poziomie wystąpienia i Edytuj informacje na poziomie wystąpienia uprawnienia do zezwalania, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| groupIdentity | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| memberIdentity | Określa tożsamość elementu członkowskiego. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Możesz również dodać użytkowników i grupy do istniejącej grupy przy użyciu programu Team Explorer. Aby uzyskać więcej informacji, zobacz Usuwanie użytkowników z grupy projektów lub Ustawianie uprawnień na poziomie projektu lub kolekcji.
Przykład: usuwanie użytkownika z grupy na poziomie serwera
Poniższy przykład usuwa użytkownika domeny Datum1 John Peoples (Datum1\jpeoples) z grupy Administratorzy programu Team Foundation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Tworzenie grupy na poziomie projektu
Użyj polecenia /gc w wierszu polecenia, aby utworzyć grupę na poziomie projektu. Aby utworzyć grupę na poziomie projektu na podstawie interfejsu użytkownika, zobacz Zarządzanie użytkownikami lub grupami.
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Wymagania wstępne
Aby użyć polecenia /gc , musisz mieć uprawnienie Edytuj informacje Project-Level dla tego projektu ustawione na Zezwalaj. Aby uzyskać więcej informacji, zobacz Dokumentacja uprawnień.
Parametry
| Argument | Opis |
|---|---|
| Zakres | Identyfikator URI projektu, do którego chcesz dodać grupę na poziomie projektu. Aby uzyskać identyfikator URI projektu, połącz się z nim i otwórz program Team Explorer, umieść kursor nad nazwą projektu na stronie głównej i odczytaj adres. Alternatywnie połącz się z projektem w programie Web Access i skopiuj adres URL. |
| Groupname | Nazwa nowej grupy. |
| Groupdescription | Opis grupy projektów. Opcjonalny. |
| /collection :CollectionURL | Adres URL kolekcji projektów. Wymagane. Grupa zostanie utworzona w kolekcji projektów. Format adresu URL to http:// ServerName : Port / VirtualDirectoryName CollectionName / |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Grupa na poziomie projektu jest grupą zabezpieczeń dla projektu. Grupy projektów umożliwiają przyznawanie uprawnień do odczytu, zapisu i uprawnień administracyjnych spełniających wymagania dotyczące zabezpieczeń organizacji.
Przykład: dodawanie grupy zabezpieczeń do projektu
Poniższy przykład tworzy grupę specyficzną dla projektu, którą określa identyfikator URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000". Grupa nosi nazwę "Grupa testowa" i ma opis "Ta grupa jest do testowania".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
Musisz zastąpić zastępczy identyfikator GUID identyfikatorem URI projektu, dla którego chcesz utworzyć tę grupę. Aby uzyskać identyfikator URI projektu, otwórz program Team Explorer, kliknij prawym przyciskiem myszy projekt, kliknij polecenie Właściwości i skopiuj całą wartość właściwości ADRESU URL.
Po uruchomieniu polecenia możesz zweryfikować grupę w programie Team Explorer. Kliknij prawym przyciskiem myszy projekt używany w poleceniu, kliknij pozycję Ustawienia projektu, a następnie kliknij pozycję Członkostwa w grupach. W oknie dialogowym Grupy projektów w projekcie TeamProjectName lista Grupy zawiera grupę testowa .
Uwaga
Polecenia /gc można użyć do tworzenia grup, ale nie do dodawania żadnych użytkowników do grup lub przypisywania żadnych uprawnień. Aby zmienić członkostwo w grupie, zobacz /g+: Dodaj użytkownika lub inną grupę do istniejącej grupy i /g-: Usuń użytkownika lub grupę. Aby zmienić uprawnienia dla grupy, zobacz /a+: Dodawanie uprawnień i /a-: Usuwanie użytkownika lub grupy z członkostwa w grupie.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Tworzenie serwera lub grupy na poziomie kolekcji
Użyj polecenia /gcg , aby utworzyć grupę na poziomie serwera lub na poziomie kolekcji. Aby utworzyć grupę na poziomie kolekcji w portalu internetowym, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Wymagania wstępne
Aby użyć polecenia /gcg , musisz mieć uprawnienie Edytuj informacje na poziomie projektu dla tego projektu ustawione na wartość Zezwalaj. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| Groupname | Nazwa grupy. |
| Groupdescription | Opis grupy. Opcjonalny. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Grupy na poziomie serwera są tworzone bezpośrednio w warstwie aplikacji i mają zastosowanie do wszystkich kolekcji projektów. Poziom kolekcji jest tworzony na poziomie kolekcji projektów. Mają one zastosowanie do tej kolekcji i mają wpływ na wszystkie projekty w kolekcji. Natomiast grupy projektów mają zastosowanie do określonego projektu w kolekcji, ale nie do żadnych innych projektów w tej kolekcji. Można przypisać uprawnienia do grup na poziomie serwera, aby członkowie tych grup mogli wykonywać zadania w Azure DevOps Server siebie, takich jak tworzenie kolekcji projektów. Możesz przypisać uprawnienia do grup na poziomie kolekcji, aby członkowie tych grup mogli wykonywać zadania w kolekcji projektów, takich jak administrowanie użytkownikami.
Uwaga
Do tworzenia grup można użyć polecenia /gcg , ale nie można jej użyć do dodania żadnych użytkowników do grup ani przypisania żadnych uprawnień. Aby uzyskać informacje o sposobie zmiany członkostwa w grupie, zobacz /g+: Dodawanie użytkownika lub innej grupy do istniejącej grupy i /g-: Usuwanie użytkownika lub grupy. Aby uzyskać informacje o sposobie zmiany uprawnień dla grupy, zobacz /a+: Dodawanie uprawnień i /a-: Usuwanie użytkownika lub grupy z członkostwa w grupie.
Przykład: Dodawanie grupy zabezpieczeń na poziomie kolekcji
Poniższy przykład tworzy grupę na poziomie kolekcji o nazwie "Testerzy datum" z opisem "A. Datum Corporation Testers.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
Poniższy przykład tworzy grupę na poziomie serwera o nazwie "Audytorzy datum" z opisem "A. Datum Corporation Auditor".
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Usuwanie serwera lub grupy na poziomie kolekcji
Użyj /gd , aby usunąć grupę na poziomie serwera lub na poziomie kolekcji.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /gd polecenia, musisz mieć widok informacji na poziomie kolekcji i Edytować informacje na poziomie kolekcji lub Wyświetl informacje na poziomie wystąpienia i Edytuj informacje na poziomie wystąpienia uprawnienia do zezwalania, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| groupIdentity | Określa tożsamość grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps. Aby zmodyfikować uprawnienia za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
Przykład: usuwanie grupy zabezpieczeń na poziomie kolekcji
Poniższy przykład usuwa grupę z kolekcji projektów. Grupa jest identyfikowana przez "S-1-5-21-2127521184-1604012920-1887927527-588340", identyfikator zabezpieczeń (SID). Aby uzyskać więcej informacji na temat znajdowania identyfikatora SID grupy, zobacz /im: Wyświetlanie informacji o tożsamościach tworzących członkostwo bezpośrednie. Możesz również użyć przyjaznej nazwy, aby usunąć grupę.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Zmień opis grupy na poziomie serwera lub kolekcji
Użyj /gud , aby zmienić opis grupy na poziomie serwera lub kolekcji.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /gud polecenia, musisz mieć uprawnienie Edytuj informacje na poziomie projektu ustawione na Zezwalaj. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| Identyfikator grupy | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| Groupdescription | Określa nowy opis grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Przykład: Dodawanie opisu do grupy zabezpieczeń
Poniższy przykład kojarzy opis "Członkowie tej grupy testować kod dla tego projektu" z grupą "Datum Testers".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Zmienianie nazwy grupy
Użyj /gun , aby zmienić nazwę grupy na poziomie serwera lub kolekcji.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /gun polecenia, musisz mieć widok informacji na poziomie kolekcji i Edytować informacje na poziomie kolekcji lub Wyświetl informacje na poziomie wystąpienia i Edytuj informacje na poziomie wystąpienia uprawnienia do zezwalania, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| Identyfikator grupy | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| Groupname | Określa nową nazwę grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Przykład: zmiana nazwy grupy zabezpieczeń
Poniższy przykład zmienia nazwę grupy na poziomie kolekcji "A. Datum Corporation Testers" do "A. Datum Corporation Test Engineers".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Tożsamości i członkostwo
/i: Wyświetlanie informacji o tożsamości dla określonej grupy
Użyj /i, aby wyświetlić informacje o tożsamości dla określonej grupy we wdrożeniu Azure DevOps Server.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /i polecenia, musisz mieć widok informacji na poziomie kolekcji lub wyświetl wystąpienie - informacje o poziomie uprawnienia ustawione na wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| Tożsamość | Tożsamość użytkownika lub grupy aplikacji. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Polecenie /i narzędzia wiersza polecenia TFSSecurity wyświetla informacje o każdej grupie w kolekcji projektu (/server) lub serwerze warstwy aplikacji (/instance). Nie wyświetla żadnych informacji o członkostwie.
Przykład: Wyświetlanie listy informacji o tożsamości dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje o tożsamości dla grupy "Administratorzy team foundation".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Przykładowe dane wyjściowe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje o tożsamości dla grupy Administratorzy kolekcji projektów przy użyciu specyfikatora tożsamości adm.
tfssecurity /i adm: /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
W poniższym przykładzie przedstawiono informacje o tożsamości dla grupy Administratorzy projektu "Datum" przy użyciu specyfikatora tożsamości adm: .
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Wyświetlanie informacji o tożsamościach, które tworzą członkostwo bezpośrednie
Użyj /im , aby wyświetlić informacje o tożsamościach, które tworzą bezpośrednie członkostwo w określonej grupie.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /im polecenia, musisz mieć widok informacji na poziomie kolekcji lub uprawnienia wyświetl informacje na poziomie wystąpienia ustawione na Wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Polecenie /imtfSSecurity wyświetla bezpośrednich członków określonej grupy tylko. Ta lista zawiera inne grupy, które są członkami określonej grupy. Jednak rzeczywistych członków grup członkowskich nie ma na liście.
Przykład: wyświetlanie tożsamości członkostwa dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje o tożsamości członkostwa bezpośredniego dla grupy "Administratorzy team foundation" w domenie "Datum1" w fikcyjnej firmie "A. Datum Corporation".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Przykładowe dane wyjściowe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje o tożsamości dla grupy Administratorzy kolekcji projektów w kolekcji projektu "DatumOne" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation" przy użyciu adm: specyfikator tożsamości.
tfssecurity /im adm: /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń przy użyciu specyfikatora tożsamości
Poniższy przykład przedstawia informacje o tożsamości dla grupy Administratorzy projektu "Datum" w kolekcji projektu "DatumOne" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation" przy użyciu specyfikatora tożsamości adm: .
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Wyświetlanie informacji o tożsamościach, które rozwinięte członkostwo
Użyj /imx , aby wyświetlić informacje o tożsamościach, które tworzą rozwinięte członkostwo określonej grupy.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /imx , musisz mieć widok informacji na poziomie kolekcji lub uprawnienia Wyświetl informacje na poziomie wystąpienia ustawione na Wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Parametry
| Argument | Opis |
|---|---|
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Polecenie /imxtfSSecurity wyświetla rozwinięte elementy członkowskie tylko określonej grupy. Ta lista zawiera nie tylko inne grupy, które są członkami określonej grupy, ale także członkami grup członkowskich.
Przykład: Wyświetlanie rozszerzonych informacji o członkostwie dla grupy zabezpieczeń
Poniższy przykład przedstawia rozszerzone informacje o tożsamości członkostwa dla grupy "Administratorzy team foundation" w domenie "Datum1" w fikcyjnej firmie "A. Datum Corporation".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Przykładowe dane wyjściowe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Poniższy przykład przedstawia informacje o tożsamości dla grupy Administratorzy kolekcji projektów w kolekcji projektu "DatumOne" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation" przy użyciu specyfikatora tożsamości adm: .
tfssecurity /imx adm: /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń przy użyciu specyfikatora tożsamości
Poniższy przykład przedstawia informacje o tożsamości dla grupy Administratorzy projektu "Datum" w kolekcji projektu "DatumOne" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation" przy użyciu specyfikatora tożsamości adm: .
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Aby uzyskać więcej informacji na temat specyfikatorów danych wyjściowych, takich jak [G] i [U], zobacz Specyfikatory tożsamości w dalszej części tego artykułu.
/m: Sprawdzanie jawnego i niejawnego członkostwa w grupie
Użyj /m , aby sprawdzić jawne i niejawne informacje o członkostwie grupy dla określonej grupy lub użytkownika.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /m , musisz być członkiem grupy zabezpieczeń Administratorzy Team Foundation. Aby uzyskać więcej informacji, zobacz Security groups and permission reference (Grupy zabezpieczeń i dokumentacja uprawnień).
Uwaga
Nawet jeśli zalogowano się przy użyciu poświadczeń administracyjnych, musisz otworzyć wiersz polecenia z podwyższonym poziomem uprawnień, aby wykonać tę funkcję.
Parametry
| Argument | Opis |
|---|---|
| GroupIdentity | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| Identyfikator elementu członkowskiego | Określa tożsamość elementu członkowskiego. Domyślnie wartość tego argumentu to tożsamość użytkownika, który uruchamia polecenie. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na komputerze lokalnej warstwy aplikacji.
Polecenie /m narzędzia wiersza polecenia TFSSecurity sprawdza zarówno członkostwo bezpośrednie, jak i rozszerzone.
Przykład: Weryfikowanie członkostwa użytkownika w grupie zabezpieczeń
Poniższy przykład sprawdza, czy użytkownik "Datum1\jpeoples" należy do grupy administratorzy serwera Team Foundation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Przestrzenie nazw zabezpieczeń
Uwaga
Przestrzenie nazw i tokeny są prawidłowe dla wszystkich wersji usługi Azure DevOps. Przestrzenie nazw mogą ulec zmianie w czasie. Aby uzyskać najnowszą listę przestrzeni nazw, wykonaj jedno z narzędzi wiersza polecenia lub interfejsu API REST. Niektóre przestrzenie nazw zostały przestarzałe. Aby uzyskać więcej informacji, zobacz Security namespace and permission reference (Przestrzeń nazw zabezpieczeń i dokumentacja uprawnień).
Specyfikatory tożsamości
Tożsamość można odwoływać się przy użyciu jednej z notacji w poniższej tabeli.
| Specyfikator tożsamości | Opis | Przykład |
|---|---|---|
| Sid: Sid. | Odwołuje się do tożsamości, która ma określony identyfikator zabezpieczeń (SID). | sid:S-1-5-21-2127521184-1604012920-1887927527-588340 |
| n:[D omain]Name | Odwołuje się do tożsamości, która ma określoną nazwę. W przypadku systemu Windows nazwa to nazwa konta. Jeśli przywołyna tożsamość znajduje się w domenie, wymagana jest nazwa domeny. W przypadku grup aplikacji nazwa to nazwa wyświetlana grupy, a domena jest identyfikatorem URI lub identyfikatorem GUID zawierającego projektu. W tym kontekście, jeśli domena zostanie pominięta, zakłada się, że zakres ma być na poziomie kolekcji. | Aby odwołać się do tożsamości użytkownika "John Peoples" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation:" n:DATUM1\jpeoples Aby odwołać się do grup aplikacji: n:"Pracownicy pełnoetatowi" n:00a10d23-7d45-4439-981b-d3b3e0b0b1eee\Vendor |
| adm:[Zakres] | Odwołuje się do grupy aplikacji administracyjnych dla zakresu, takiego jak "Administratorzy programu Team Foundation" na poziomie serwera lub "Administratorzy kolekcji projektów" na poziomie kolekcji. Opcjonalny parametr Zakres to identyfikator URI lub adres URL projektu, w tym identyfikator GUID i parametry połączenia. Jeśli zakres zostanie pominięty, zakłada się, że zakres serwera lub kolekcji jest oparty na tym, czy /instance lub /server parametr jest używany. W obu przypadkach dwukropek jest nadal wymagany. | adm:vstfs:///Classification/TeamProject/ Identyfikator guid |
| Srv: | Odwołuje się do grupy aplikacji dla kont usług. | Nie dotyczy |
| Wszystkie: | Odwołuje się do wszystkich grup i tożsamości. | Nie dotyczy |
| Ciąg | Odwołuje się do niekwalifikowanego ciągu. Jeśli ciąg zaczyna się od S-1-, jest identyfikowany jako identyfikator SID. Jeśli ciąg zaczyna się od CN= lub LDAP:// jest identyfikowany jako nazwa wyróżniająca. W przeciwnym razie ciąg jest identyfikowany jako nazwa. | "Testerzy zespołu" |
Znaczniki typów
Następujące znaczniki służą do identyfikowania typów tożsamości i ACL w komunikatach wyjściowych.
Znaczniki typu tożsamości
| Znacznik typu tożsamości | Opis |
|---|---|
| U | Użytkownik systemu Windows. |
| G | Grupa systemu Windows. |
| A | Azure DevOps Server grupy aplikacji. |
| a [ A ] | Grupa aplikacji administracyjnych. |
| s [ A ] | Grupa aplikacji konta usługi. |
| X | Tożsamość jest nieprawidłowa. |
| ? | Tożsamość jest nieznana. |
Znaczniki wprowadzania kontroli dostępu
| Znacznik wpisu kontroli dostępu | Opis |
|---|---|
| + | ZEZWALAJ na wpis kontroli dostępu. |
| - | ODMOWA wpisu kontroli dostępu. |
| * [] | Wpis odziedziczonej kontroli dostępu. |