Группы безопасности, учетные записи служб и разрешения в Azure DevOps

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | Team Foundation Server 2018 — Team Foundation Server 2013

Эта статья содержит исчерпывающий Справочник по каждому встроенному пользователю, группе и разрешению. Это множество сведений, описывающих каждый встроенный пользователь и группа безопасности, а также каждое разрешение.

Краткий справочник по значениям по умолчанию см. в разделе разрешения и доступ по умолчанию. Общие сведения об управлении разрешениями и безопасностью см. в разделе Начало работы с разрешениями, доступом и группами безопасности. Помимо групп безопасности, существуют также роли безопасности, которые предоставляют разрешения для выбора областей.

Чтобы узнать, как добавить пользователей в группу или задать конкретное разрешение, которое можно управлять через веб-портал, см. следующие ресурсы:


Примечание

Изображения, отображаемые на веб-портале, могут отличаться от изображений, которые вы видите в этом разделе. Эти отличия вызваны обновлениями, внесенными в Azure DevOps. Однако базовая функциональность, доступная для вас, остается неизменной, если не упоминается явно.

учетные записи служб;

Существует несколько учетных записей служб, создаваемых системой для поддержки конкретных операций. К ним относятся описанные в следующей таблице. Эти учетные записи пользователей добавляются на уровне Организации или коллекции.

Имя пользователя Описание
Служба пула агентов Имеет разрешение на прослушивание очереди сообщений для того, чтобы конкретный пул получал работу. В большинстве случаев управление членами этой группы не требуется. Процесс регистрации агента отвечает за вас. Учетная запись службы, указанная для агента (обычно сетевая служба), автоматически добавляется при регистрации агента. отвечает за выполнение Azure Boards операций чтения и записи и обновление рабочих элементов при обновлении объектов GitHub.
Azure Boards добавляется при подключении Azure Boards к GitHub. Управлять членами этой группы не требуется. отвечает за управление созданием ссылок между GitHub и Azure Boards.
пипелинессдк добавляется при необходимости для поддержки маркеров области службы политики Pipelines. Эта учетная запись пользователя аналогична удостоверениям службы сборок, но поддерживает блокировку разрешений по отдельности. На практике маркеры, которые используют это удостоверение, получают разрешения только на чтение для ресурсов конвейера и одноразовую возможность утверждать запросы политики. Эта учетная запись должна рассматриваться так же, как и удостоверения службы сборки.
Имя_проекта Служба сборок Имеет разрешения на запуск служб сборки для проекта. Это устаревший пользователь, используемый для сборок XAML. Он добавляется в группу "Служба безопасности", которая используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности.
Служба сборки коллекций проектов Имеет разрешения на запуск служб сборки для коллекции. Он добавляется в группу "Служба безопасности", которая используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности.

Группы

Разрешения могут предоставляться непосредственно отдельному пользователю или группе. Использование групп значительно упрощает работу с группами. Система предоставляет несколько встроенных групп для этой цели. Эти группы и разрешения, назначенные им по умолчанию, определяются на разных уровнях: сервер (только локальное развертывание), коллекция проектов, проект и определенные объекты. Можно также создать собственные группы и предоставить им определенный набор разрешений, подходящий для определенных ролей в Организации.

Примечание

Все группы безопасности являются сущностями уровня Организации, а также группами, имеющими разрешения только на конкретный проект. С веб-портала пользователи, не имеющие доступа к проекту, не смогут просматривать эти группы, у которых есть разрешения только на конкретный проект. Тем не менее вы можете обнаружить имена всех групп в Организации с помощью средства Azure devops CLI или наших API-интерфейсов RESTful. Дополнительные сведения см. в разделе Добавление групп безопасности и управление ими.

Группы уровня сервера

при установке Azure DevOps Server система создает группы по умолчанию, имеющие разрешения уровня сервера на уровне развертывания. Нельзя удалять или удалять встроенные группы уровня сервера.

снимок экрана: диалоговое окно Azure DevOps группы безопасности.

ADMIN_GROUPS_PERMISSIONS

Нельзя удалить или удалить группы уровня сервера по умолчанию.

Имя группы

Разрешения

Членство

Azure DevOps Учетные записи служб

Имеет разрешения уровня службы для экземпляра сервера.

Содержит учетную запись службы, которая была указана во время установки.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа является членом группы администраторов Team Foundation.

если необходимо добавить учетную запись в эту группу после установки Azure DevOps Server или TFS, это можно сделать с помощью служебной программы TFSSecurity.exe в подпапке tools каталога установки TFS. Для этого используется команда TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Azure DevOps Допустимые пользователи

Имеет разрешение на просмотр сведений на уровне экземпляра сервера.

Содержит все пользователи, известные под существование экземпляра сервера. Можно't изменить членство в этой группе.

Администраторы Team Foundation

Имеет разрешения на выполнение всех операций на уровне сервера.

Группа локальных администраторов (Builtin \ администраторы) для любого сервера, на котором размещаются службы приложений Azure DevOPs/Team Foundation.

сервер \ Team Foundation Service группы учетных записей и члены группы учетных записей службы интеграции \ Project Server .

Эта группа должна быть ограничена минимальным возможным числом пользователей, которым требуется общий административный контроль над операциями уровня сервера.

если в развертывании используется SharePoint или отчеты, рассмотрите возможность добавления членов этой группы в группы администраторы фермы и администраторы семейства узлов в SharePoint и группы диспетчеры содержимого Team Foundation в Reporting Services.

Имя группы

Разрешения

Членство

Администраторы Team Foundation

Имеет разрешения на выполнение всех операций на уровне сервера.

Группа локальных администраторов (Builtin \ администраторы) для любого сервера, на котором размещаются службы приложений Azure DevOPs/Team Foundation.

сервер \ Team Foundation Service группы учетных записей и члены группы учетных записей службы интеграции \ Project Server .

Эта группа должна быть ограничена минимальным возможным числом пользователей, которым требуется общий административный контроль над операциями уровня сервера.

если в развертывании используется SharePoint или отчеты, рассмотрите возможность добавления членов этой группы в группы администраторы фермы и администраторы семейства узлов в SharePoint и группы диспетчеры содержимого Team Foundation в Reporting Services.

Учетные записи службы прокси Team Foundation

имеет разрешения уровня обслуживания для Team Foundation Server прокси-сервера и некоторые разрешения уровня службы.

Создается при установке прокси-службы TFS.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей.

Учетные записи Team Foundation Service

Имеет разрешения уровня службы для экземпляра сервера.

Содержит учетную запись службы, которая была указана во время установки.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа является членом группы администраторов Team Foundation.

если необходимо добавить учетную запись в эту группу после установки Azure DevOps Server или TFS, это можно сделать с помощью служебной программы TFSSecurity.exe в подпапке tools каталога установки TFS. Для этого используется команда TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Допустимые пользователи Team Foundation

Имеет разрешение на просмотр сведений на уровне экземпляра сервера.

Если для этой группы задать для разрешения на Просмотр сведений на уровне экземпляра значение Deny или не задано , пользователи не смогут получить доступ к развертыванию.

Содержит все пользователи, известные под существование экземпляра сервера. Можно't изменить членство в этой группе.

Учетные записи службы интеграции Project Server   

имеет разрешения уровня обслуживания для развертываний Project server, настроенных для взаимодействия с экземпляром сервера и некоторыми разрешениями уровня служб TFS.

создается при установке интеграции служб Project.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа является членом группы администраторов Team Foundation.

Службы веб-приложений SharePoint

имеет разрешения уровня обслуживания для веб-приложений SharePoint, которые настроены для использования с tfs и некоторыми разрешениями уровня обслуживания для tfs.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. В отличие от группы "учетные записи служб" Эта группа не является членом группы администраторов Team Foundation.

Полное имя каждой из этих групп — [Team Foundation] \ {имя группы}. Таким образом, полное имя группы администраторов уровня сервера — [Team Foundation] \ Администраторы Team Foundation.

Группы уровня коллекции

когда вы создаете организацию или коллекцию проектов в Azure DevOps, система создает группы уровня коллекции, имеющие разрешения в этой коллекции. Нельзя удалять или удалять встроенные группы уровня коллекции.

Примечание

сведения о включении нового пользовательского интерфейса для разрешений организации Параметры странице v2 см. в разделе включение предварительных версий функций. На странице предварительный просмотр отображается страница Параметры группы, которую не поддерживает текущая страница.

снимок экрана: группы коллекций Project, новый пользовательский интерфейс.

снимок экрана групп коллекций Project, локальных версий.

Полное имя каждой из этих групп — [{имя коллекции}] \ {имя группы}. поэтому полное имя группы администраторов для коллекции по умолчанию — [коллекция по умолчанию] \ Project администраторы коллекции.

Имя группы

Разрешения

Членство

Администраторы коллекций проектов

Имеет разрешения на выполнение всех операций для коллекции.

Содержит группу локальных администраторов (Builtin \ администраторы) для сервера, на котором установлены службы уровня приложений. Кроме того, содержит элементы / группы учетных записей служб CollectionName. Членство в данной группе должно быть максимально ограничено и доступно только для узкого круга пользователей, которым необходимо предоставление полного административного контроля над коллекцией. для Azure DevOps назначьте администраторам, которые настраивают отслеживание работы.

Примечание

Если в развертывании используется Reporting Services, рассмотрите возможность добавления членов этой группы в группы диспетчеров содержимого Team Foundation в Reporting Services.

Администраторы построения коллекций проектов

Имеет разрешения на администрирование ресурсов сборки и разрешений для коллекции.

Членами данной группы должны быть только те пользователи, которым необходим полный административный контроль над серверами и службами сборок для этой коллекции.

Учетные записи службы сборки коллекции проектов

Имеет разрешения на запуск служб сборки для коллекции.

Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. Это устаревшая группа, используемая для сборок XAML. используйте пользователя службы сборки Project Collection ({ваша организация}) для управления разрешениями для текущих сборок.

Учетные записи службы прокси коллекции проектов

Имеет разрешения на запуск службы прокси для коллекции.

Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.

Учетные записи службы коллекции проектов

Имеет разрешения уровня обслуживания для коллекции и для Azure DevOps Server.

Содержит учетную запись службы, введенную во время установки. Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. По умолчанию эта группа является членом группы "Администраторы".

Учетные записи службы тестирования коллекции проектов

Имеет разрешения службы тестирования для коллекции.

Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.

Допустимые пользователи коллекции проектов

Имеет разрешения на доступ к командным проектам и Просмотр сведений в коллекции.

Содержит всех пользователей и группы, добавленных в любой точке коллекции. Членство данной группы нельзя изменять.

Project-Scoped пользователей

Имеет ограниченный доступ для просмотра параметров Организации и проектов, отличных от проектов, к которым они относятся. Кроме того, параметры выбора людей ограничиваются только теми пользователями и группами, которые были явно добавлены в проект, к которому подключен пользователь.

Добавьте пользователей в эту группу, если необходимо ограничить их видимость и доступ к этим проектам, к которым они явно добавлены. не добавляйте пользователей в эту группу, если они также добавлены в группу "администраторы коллекции Project".

Примечание

группа " пользователи с областью действия" Project становится доступной с ограниченным доступом, если функция предварительной версии на уровне организации имеет значение ограничить видимость пользователей для проектов . Дополнительные сведения см. в разделе о проектах, ограничение видимости пользователей для проектов.

Группа "Служба безопасности"

Используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности.

Не назначайте пользователей этой группе. Если вы удаляете пользователей из всех групп безопасности, убедитесь, что их необходимо удалить из этой группы.

Группы уровня проекта

Для каждого создаваемого проекта система создает следующие группы уровня проекта. Этим группам присваиваются разрешения уровня проекта.

Примечание

сведения о включении нового пользовательского интерфейса для Project разрешений Параметры см. в разделе включение предварительных версий функций.

выберите параметры Project, а затем разрешения.

Чтобы просмотреть полное изображение, щелкните, чтобы развернуть.

Project Параметры>безопасность

Совет

Полное имя каждой из этих групп — [{имя проекта}] \ {имя группы}. например, группа "участники" для проекта с именем "My Project" — это [мои Project] \ участников.

Имя группы

Разрешения

Членство

Администраторы сборки

Имеет разрешения на администрирование ресурсов сборки и разрешение на сборку для проекта. Они могут управлять тестовыми средами, создавать тестовые запуски и управлять построениями.

Назначение пользователям, которые определяют конвейеры сборки и управляют ими.

Соавторы

Имеет разрешения на полную работу с базой кода проекта и отслеживанием рабочих элементов. Основные разрешения, которые у них нет, — это те, которые не имеют права управлять ресурсами или администрировать их.

По умолчанию группа команд, созданная при создании проекта, добавляется в эту группу, а любой пользователь, добавляемый в группу или проект, является членом этой группы. Кроме того, в эту группу добавляется любая команда, созданная для проекта.

читатели;

Имеет разрешения на просмотр данных проекта, базы кода, рабочих элементов и других артефактов, но не их изменять.

Назначьте членам вашей организации или коллекции, которым требуется предоставить разрешения только на просмотр для проекта. Эти пользователи могут просматривать невыполненную работы, доски, панели мониторинга и многое другое, но не добавляют или не редактируют ничего.

Администраторы проекта

Имеет разрешения на администрирование всех аспектов команд и проектов, хотя они не могут создавать командные проекты.

Назначение пользователям, которые управляют разрешениями пользователей, создают или редактируют команды, изменяют параметры команды, определяют область пути итерации или настраивают отслеживание рабочих элементов. членам группы администраторов Project предоставляются разрешения на выполнение следующих задач:

  • Добавление и удаление пользователей из членства в проекте
  • Добавление и удаление пользовательских групп безопасности из проекта
  • Добавление и администрирование всех команд проекта и функций, связанных с командой
  • Изменение списков ACL разрешений на уровне проекта
  • Изменение подписок на события (электронная почта или SOAP) для команд или событий уровня проекта.

Допустимые пользователи проекта

Имеет разрешения на доступ и Просмотр сведений о проекте.

Содержит всех пользователей и группы, которые были добавлены в любое место проекта. Членство данной группы нельзя изменять.

Примечание

Рекомендуется не изменять разрешения по умолчанию для этой группы.

Администраторы выпуска

Имеет разрешения на управление всеми операциями выпуска.

Назначение пользователям, которые определяют конвейеры выпуска и управляют ими.

Примечание

Группа администраторов выпуска создается одновременно с первым определением конвейера выпуска. Он не создается по умолчанию при создании проекта. Допустимо для TFS-2017 и более поздних версий.

Теамнаме

Имеет разрешения на полную работу с базой кода проекта и отслеживанием рабочих элементов. Группа группы по умолчанию создается при создании проекта, и по умолчанию добавляется в группу Участники для проекта. Все новые создаваемые команды также будут содержать созданную для них группу, добавленную в группу «Участники».

Добавьте участников команды в эту группу. Чтобы предоставить доступ для настройки параметров команды, добавьте участника команды к роли администратора команды.

Роль администратора команды

Для каждой добавляемой команды можно назначить одного или нескольких членов группы в качестве администраторов. Роль администратора команды не является группой с набором определенных разрешений. Вместо этого роль администратора команды связана с управлением ресурсами группы. Дополнительные сведения см. в статье Управление командами и Настройка командных средств. Чтобы добавить пользователя в качестве администратора команды, см. раздел Добавление администратора команды.

Примечание

Project Администраторы могут управлять всеми областями администрирования группы для всех команд.

Разрешения

Система управляет разрешениями на — сервере, коллекции, проекте или объекте разных уровней, — и по умолчанию назначает их одной или нескольким встроенным группам. Управление большинством разрешений осуществляется через веб-портал.

Разрешения уровня серверов

Управление разрешениями на уровне сервера осуществляется с помощью консоль администрирования Team Foundation или программы командной строки TFSSecurity. Администраторам Team Foundation предоставляются все разрешения уровня сервера. Другие группы уровня сервера имеют назначения разрешений SELECT.

Снимок экрана разрешений уровня сервера.

Разрешение

Описание

Управление хранилищем

может обрабатывать или изменять параметры для хранилища данных или куба анализа SQL Server с помощью веб-службы управления хранилищем.

Для полной обработки или повторной сборки хранилища данных и Куба анализамогут потребоваться дополнительные разрешения.

Создание коллекции проектов

Может создавать и администрировать коллекции.

Удаление коллекции проектов

Может удалить коллекцию из развертывания.

Примечание

При удалении коллекции база данных коллекции не удаляется из SQL Server.

Изменить сведения на уровне экземпляра

Может изменять разрешения уровня сервера для пользователей и групп, а также добавлять или удалять группы уровня сервера из коллекции.

Изменение сведений на уровне экземпляра включает возможность выполнения этих задач для всех командных проектов, определенных для данного экземпляра.

  • Создавать и изменять области и итерации
  • Изменять политики возврата
  • Изменять запросы общих рабочих элементов
  • Изменение списков ACL разрешений на уровне проекта и коллекции
  • Создавать и изменять глобальные списки
  • Изменение подписок на события (электронная почта или SOAP).

При установке через меню разрешение изменение сведений на уровне экземпляра также неявно позволяет пользователю изменять разрешения системы управления версиями. Чтобы предоставить все эти разрешения в командной строке, необходимо использовать tf.exe Permission команду, чтобы предоставить разрешения значение adminconfiguration и админконнектионс в дополнение к GENERIC_WRITE.

Выполнять запросы от имени других пользователей

Могут выполнять операции от имени других пользователей или служб. Назначайте только для учетных записей служб.

События триггера

Может инициировать события предупреждений на уровне сервера. Назначайте только учетным записям служб и участникам группы «Администраторы Team Foundation».

Использование полных Веб-доступ функций

Может использовать все локальные функции веб-портала. это разрешение устарело в Azure DevOps Server 2019 и более поздних версиях.

Если разрешение использовать полный веб-доступ компонентов имеет значение Запретить, пользователь увидит только те функции, которые разрешены для группы заинтересованных лиц (см. раздел изменение уровней доступа). Запрет будет переопределять любое неявное разрешение, даже для учетных записей, являющихся членами административных групп, таких как Администраторы Team Foundation.

Просмотр сведений на уровне экземпляра

Может просматривать членство в группе уровня сервера и разрешения этих пользователей.

Разрешение Просмотр сведений на уровне экземпляра также назначается группе Допустимые пользователи Team Foundation.

Разрешения уровня Организации

Управление разрешениями на уровне Организации осуществляется через контекст администратора веб-портала или с помощью команды AZ devops Security Group . Project Администраторам коллекции предоставляются все разрешения уровня Организации. Другие группы уровня Организации имеют назначения разрешений SELECT.

Примечание

сведения о включении нового пользовательского интерфейса для разрешений организации Параметры странице v2 см. в разделе включение предварительных версий функций. На странице предварительный просмотр отображается страница Параметры группы, которую не поддерживает текущая страница.

Снимок экрана: разрешения и группы уровня Организации, Azure DevOps Services.

Разрешение

Описание

Общие сведения

Изменение параметров трассировки

может изменить параметры трассировки для сбора более подробных диагностических сведений о Azure DevOps веб-службах.

Создание новых проектов (ранее — создание новых командных проектов)

Может добавлять проект в организацию или коллекцию проектов. В зависимости от локального развертывания могут потребоваться дополнительные разрешения.

Удалить командный проект

Может удалить проект.

При удалении проекта будут удалены все данные, связанные с проектом. Отменить удаление проекта невозможно, за исключением восстановления коллекции до момента удаления проекта.

Изменить сведения на уровне экземпляра

Может добавлять пользователей и группы, а также изменять разрешения на уровне Организации для пользователей и групп.

Изменение сведений на уровне экземпляра включает возможность выполнения этих задач для всех проектов, определенных в коллекции:

  • Добавлять и администрировать команды и все связанные с ними компоненты
  • Изменение разрешений уровня экземпляра для пользователей и групп в коллекции
  • Добавление или удаление групп безопасности на уровне экземпляра из коллекции
  • Неявно разрешает пользователю изменять разрешения системы управления версиями
  • Изменить уровни проекта и списки ACL разрешений на уровне экземпляра
  • Изменение подписок на события (электронная почта или SOAP) на события уровня проекта или коллекции.

Если для параметра изменить сведения на уровне экземпляра задать значение Разрешить, пользователи могут добавлять или удалять группы уровня коллекции, а также неявно предоставлять этим пользователям возможность изменять разрешения системы управления версиями.

Просмотр сведений на уровне экземпляра
или Просмотр сведений на уровне коллекции

Может просматривать членство и разрешения группы на уровне коллекции проектов.

Если для этой группы задать для разрешения на Просмотр сведений на уровне экземпляра значение Deny или не задано , то пользователи не смогут получить доступ к проектам в организации или коллекции проектов.

Учетная запись службы

  

Выполнять запросы от имени других пользователей

Могут выполнять операции от имени других пользователей или служб. Назначить это разрешение только для локальных учетных записей служб.

События триггера

Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб.

пользователи с этим разрешением могут'удалять встроенные группы уровня коллекции, такие как администраторы коллекции Project.

Просмотр сведений о синхронизации системы

Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.

Boards

 

Администрирование разрешений процесса

Может изменять разрешения для настройки отслеживания работы путем создания и настройки наследуемых процессов.

Создать процесс

Может создать наследуемый процесс , используемый для настройки отслеживания работы и Azure Boards. Пользователям, которым предоставлены базовые права и доступ заинтересованных лиц, по умолчанию предоставляется это разрешение.

Удалить поле из Организации

Удалить процесс

Может Удалить наследуемый процесс , используемый для настройки отслеживания работы и Azure Boards.

Изменить процесс

Repos

  

Управление изменениями, включенными в набор отложенных изменений

Может удалять наборы отложенных изменений, созданные другими пользователями. Применяется, когда TFVC используется в качестве системы управления версиями.

Администрирование рабочих областей

Может создавать и удалять рабочие области для других пользователей. Применяется, когда TFVC используется в качестве системы управления версиями.

Создайте рабочую область

Могут создавать рабочие области управления версиями. Применяется, когда TFVC используется в качестве системы управления версиями.

разрешение создание рабочей области предоставляется всем пользователям как часть их членства в группе Project допустимая коллекция пользователей.

Pipelines

  

Администрирование разрешений для ресурсов сборки

Может изменять разрешения для конвейеров сборки в организации или на уровне коллекции проектов. В том числе:

Управление ресурсами сборки

Могут управлять компьютерами, агентами и контроллерами сборки.

Использование ресурсов сборки

Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.

Просмотр ресурсов сборки

Может просматривать, но не использовать, контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.

Test Plans

Управление контроллерами тестирования

Могут регистрировать и отменять регистрацию контроллеров тестирования.

Аудит

Удаление потоков аудита

Может удалить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Создание потоковой передачи аудита.

Управление потоками аудита

Может добавлять поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Создание потоковой передачи аудита.

Просмотр журнала аудита

Может просматривать и экспортировать журналы аудита. Журналы аудита доступны в предварительной версии. Дополнительные сведения см. в разделе доступ, экспорт и Фильтрация журналов аудита.

Политики

Управление политиками предприятия

Может включать и отключать политики подключения приложений, как описано в разделе изменение политик подключения приложений.

Разрешения уровня коллекций

Управление разрешениями уровня коллекции осуществляется через контекст администратора веб-порталас помощью команды AZ devops Security Group или программы командной строки TFSSecurity. Project Администраторам коллекции предоставляются все разрешения уровня коллекции. Другие группы уровня коллекции имеют назначения разрешений SELECT.

Управление разрешениями уровня коллекции осуществляется с помощью контекста администратора веб-портала или программы командной строки TFSSecurity. Project Администраторам коллекции предоставляются все разрешения уровня коллекции. Другие группы уровня коллекции имеют назначения разрешений SELECT.

разрешения, доступные для Azure DevOps Server 2019 и более поздних версий, зависят от модели процессов, настроенной для коллекции. Общие сведения о моделях процессов см. в разделе Настройка отслеживания работы.

Модель наследуемых процессов

Модель локального XML-процесса

Снимок экрана: разрешения уровня коллекции, локальная, унаследованная модель процессов.

Снимок экрана: разрешения уровня коллекции, локальная, Локальная модель процесса XML.

Разрешения и группы на уровне коллекции

Разрешение

Описание

Администрирование разрешений ресурсов сборки

Может изменять разрешения для конвейеров сборки на уровне коллекции проектов. Сюда входят следующие артефакты:

Администрирование разрешений процесса

Может изменять разрешения для настройки отслеживания работы путем создания и настройки наследуемых процессов. Требует, чтобы коллекция была настроена для поддержки наследуемой модели процессов. См. также

Администрирование интеграции Project Server

может настроить интеграцию TFS и сервера Project , чтобы обеспечить синхронизацию данных между двумя серверными продуктами. Применяется только к TFS 2017 и более ранним версиям.

Администрирование изменений, включенных в набор отложенных изменений

Может удалять наборы отложенных изменений, созданные другими пользователями. Применяется, когда TFVC используется в качестве системы управления версиями.

Управление рабочими областями

Может создавать и удалять рабочие области для других пользователей. Применяется, когда TFVC используется в качестве системы управления версиями.

Изменение параметров трассировки

может изменить параметры трассировки для сбора более подробных диагностических сведений о Azure DevOps веб-службах.

Создание рабочей области

Могут создавать рабочие области управления версиями. Применяется, когда TFVC используется в качестве системы управления версиями. это разрешение предоставляется всем пользователям как часть их членства в группе Project допустимая коллекция пользователей.

Создание новых проектов (ранее — создание новых командных проектов)

Может добавлять проекты в коллекцию проектов. В зависимости от локального развертывания могут потребоваться дополнительные разрешения.

Создание новых проектов (ранее — создание новых командных проектов)

Может добавлять проекты в коллекцию проектов. В зависимости от локального развертывания могут потребоваться дополнительные разрешения.

Создать процесс

Может создать наследуемый процесс , используемый для настройки отслеживания работы и Azure Boards. Требует, чтобы коллекция была настроена для поддержки наследуемой модели процессов.

Удалить поле из Организации (прежнее название — удалить поле из учетной записи)

Может удалить настраиваемое поле, добавленное в процесс. Для локальных развертываний необходимо настроить коллекцию для поддержки наследуемой модели процессов.

Может Удалить наследуемый процесс , используемый для настройки отслеживания работы и Azure Boards. Требует, чтобы коллекция была настроена для поддержки унаследованной модели процессов.

Удаление командных проектов

Может удалить проект.

Примечание

При удалении проекта удаляются все данные, связанные с проектом. Отменить удаление проекта невозможно, за исключением восстановления коллекции до момента удаления проекта.

Могут добавлять пользователей и группы, а также изменять разрешения уровня коллекции для пользователей и групп. Изменение сведений на уровне коллекции включает возможность выполнения этих задач для всех проектов, определенных в коллекции:

  • Добавлять и администрировать команды и все связанные с ними компоненты
  • Изменение разрешений уровня коллекции для пользователей и групп в коллекции
  • Добавление или удаление групп безопасности на уровне коллекции из коллекции
  • Неявно разрешает пользователю изменять разрешения системы управления версиями
  • Изменение списков ACL разрешений на уровне проекта и коллекции
  • Измените подписки на события или оповещения (электронная почта или протокол SOAP) для команд, проектов или событий уровня коллекции. Если для параметра изменить сведения на уровне коллекции задано значение Разрешить, пользователи могут добавлять или удалять группы уровня коллекции и неявно предоставлять этим пользователям возможность изменять разрешения системы управления версиями. Чтобы предоставить все эти разрешения в командной строке, необходимо использовать tf.exe permission команду, чтобы предоставить разрешения значение adminconfiguration и админконнектионс в дополнение к GENERIC_WRITE.

Изменить процесс

Может изменять Настраиваемый наследуемый процесс. Требует, чтобы коллекция была настроена для поддержки наследуемой модели процессов.

Выполнять запросы от чужого имени

Могут выполнять операции от имени других пользователей или служб. Назначить это разрешение только для локальных учетных записей служб.

Управление ресурсами построения

Могут управлять компьютерами, агентами и контроллерами сборки.

Управление шаблонами процессов

Может скачивать, создавать, изменять и отправлять шаблоны процессов. Шаблон процесса определяет стандартные блоки системы отслеживания рабочих элементов, а также другие подсистемы, доступ к которым осуществляется с помощью Azure Boards. Требует, чтобы коллекция была настроена для поддержки локальной модели XML-процессов.

Управление контроллерами тестирования

Могут регистрировать и отменять регистрацию контроллеров тестирования.

События триггера

Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб. пользователи с этим разрешением не могут удалять встроенные группы уровня коллекции, такие как Project администраторы коллекции.

Использовать ресурсы построения

Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.

Просмотр ресурсов построения

Может просматривать, но не использовать, контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.

Просмотр сведений уровня экземпляра
или Просмотр сведений на уровне коллекции

Может просматривать членство и разрешения группы на уровне коллекции проектов.

Просмотр сведений о синхронизации системы

Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.

Разрешения уровня проекта

Управление разрешениями уровня проекта осуществляется с помощью контекста администратора веб-портала или с помощью команды AZ devops Security Group . Project Администраторам предоставляются все разрешения уровня проекта. Другие группы уровня проекта имеют назначения разрешений SELECT.

Примечание

сведения о включении нового пользовательского интерфейса для Project разрешений Параметры см. в разделе включение предварительных версий функций.

Управление разрешениями уровня проекта осуществляется с помощью контекста администратора веб-портала, команды AZ devops Security Group или программы командной строки TFSSecurity. Project Администраторам предоставляются все разрешения уровня проекта. Другие группы уровня проекта имеют назначения разрешений SELECT.

Управление разрешениями уровня проекта осуществляется с помощью контекста администратора веб-портала или программы командной строки TFSSecurity. Project Администраторам предоставляются все разрешения уровня проекта. Другие группы уровня проекта имеют назначения разрешений SELECT.

Примечание

членам группы "администраторы Project " предоставляются несколько разрешений, которые не отображаются в пользовательском интерфейсе.

Разрешение

Описание

Общие сведения

Удалить командный проект

Можно удалить проект из коллекции проектов или организации.

Изменить сведения на уровне проекта

Управление свойствами проекта

Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить сведения о содержимом проекта на высоком уровне. Изменение метаданных поддерживается в свойствах Set project REST API.

Переименование проекта

Подавлять уведомления для обновлений рабочих элементов

Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при выполнении миграции больших обновлений с помощью инструментов и необходимости пропускать создание уведомлений.

Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым были предоставлены разрешения на обход обновлений рабочего элемента . Вы можете задать suppressNotifications для параметра значение, true Если обновление работает через рабочие элементы — обновление REST API.

Обновить видимость проекта

Может изменить видимость проекта с Private на Public или Public на частный. применимо только к Azure DevOps Services.

Просмотр сведений на уровне проекта

Может просматривать сведения на уровне проекта, включая членство в группе сведений о безопасности и разрешения.

Boards

Обход правил для обновлений рабочих элементов

Пользователи с этим разрешением могут сохранять рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, где это полезно, — это миграция, при которой не требуется обновлять поля по или дате при импорте, или если требуется пропустить проверку рабочего элемента.

Правила можно обходить одним из двух способов. Первый заключается в использовании рабочих элементов — обновления REST API и присвоении bypassRules параметру значения true . Второй — через клиентскую объектную модель путем инициализации в режиме указан bypassrules (инициализация WorkItemStore с помощью WorkItemStoreFlags.BypassRules ).

Изменить процесс проекта

В сочетании с разрешением "изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в разделе Создание унаследованных процессов и управление ими.

Создание определения тега

Может добавлять теги к рабочему элементу. По умолчанию это разрешение имеют все члены группы "участники".

Все пользователи, которым предоставлен доступ к частному проекту, могут добавлять только существующие теги, а не добавлять новые теги, даже если для разрешения Создание определения тега задано значение Разрешить. Это часть параметров доступа заинтересованного лица. по умолчанию это разрешение предоставляется Azure DevOps Services пользователям, которым предоставлен доступ к заинтересованным лицам для общедоступного проекта.

Удаление и восстановление рабочих элементов

или удалить рабочие элементы в этом проекте

Может пометить рабочие элементы в проекте как удаленные. по умолчанию это разрешение предоставляется Azure DevOps Services пользователям, которым предоставлен доступ к заинтересованным лицам для общедоступного проекта.

Переместить рабочие элементы из этого проекта

Окончательно удалить рабочие элементы в этом проекте

Может навсегда удалить рабочие элементы из этого проекта.

Analytics

Удаление общего представления аналитики

Может удалять представления аналитики , сохраненные в общей области.

Изменить общее представление аналитики

Может создавать и изменять Общие представления аналитики.

Просмотр аналитики

Может получать доступ к данным, доступным в службе аналитики. Дополнительные сведения см. в разделе разрешения, необходимые для доступа к службе аналитики.

Test Plans

Создание тестовых запусков

Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в статье Управление сроком хранения результатов тестов и выполнением ручных тестов.

Удалить тестовые запуски

Управление конфигурациями тестов

Может создавать и удалять конфигурации тестов.

Управление тестовыми средами

Может создавать и удалять тестовые среды.

Просмотр тестовых запусков

Может просматривать планы тестирования в пути области проекта.

разрешения уровня проекта, доступные для Azure DevOps Server 2019 и более поздних версий, зависят от модели процесса, используемой проектом. Общие сведения о моделях процессов см. в разделе Настройка отслеживания работы.

Модель наследуемых процессов

Модель локального XML-процесса

разрешения уровня Project, локальная, унаследованная модель процессов

разрешения уровня Project, локальная модель процесса XML

снимок экрана: диалоговое окно разрешений уровня Project, TFS-2018 и более ранние версии.

Разрешение

Описание

Обход правил для обновлений рабочих элементов

Пользователи с этим разрешением могут сохранять рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, где это полезно, — это миграция, при которой не требуется обновлять поля по или дате при импорте, или если требуется пропустить проверку рабочего элемента.
Правила можно обходить одним из двух способов. Первый заключается в использовании рабочих элементов — обновления REST API и присвоении bypassRules параметру значения true . Второй — через клиентскую объектную модель путем инициализации в режиме указан bypassrules (инициализация WorkItemStore с помощью WorkItemStoreFlags.BypassRules ).

Изменить процесс проекта

В сочетании с разрешением "изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в разделе Создание унаследованных процессов и управление ими. Требует, чтобы проект использовал наследуемую модель процессов.

Создание определения тега

Может добавлять теги к рабочему элементу По умолчанию это разрешение имеют все члены группы "участники".

Примечание

Все пользователи, которым предоставлен доступ к заинтересованным лицам, могут добавлять только существующие теги, а не добавлять новые теги, даже если разрешение создать определение тега имеет значение Разрешить. Это часть параметров доступа заинтересованного лица.
Хотя разрешение Создание определения тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов фактически являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они появляются в пользовательском интерфейсе. Чтобы ограничить разрешения тегов для одного проекта при использовании команды TFSSecurity , необходимо указать идентификатор GUID для проекта в качестве части синтаксиса команды. В противном случае изменение будет применено ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.

Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в статье Управление сроком хранения результатов тестов и выполнением ручных тестов.

Удаление и восстановление рабочих элементов или
Удалить рабочие элементы в этом проекте

Может пометить рабочие элементы в проекте как удаленные.

  • Для TFS 2015,1 и более поздних версий группа "участники" по умолчанию удаляет и восстанавливает рабочие элементы на уровне проекта.
  • Для TFS 2015 и более ранних версий группа "участники" по умолчанию удалила рабочие элементы в этом проекте на уровне проекта. Этот параметр приводит к тому, что группа «участники» наследует значение от ближайшего родителя, который явно задан.

Изменение параметров трассировки

может изменить параметры трассировки для сбора более подробных диагностических сведений о Azure DevOps веб-службах.

Удаление общего представления аналитики

Может удалять представления аналитики , сохраненные в общей области. Требует, чтобы проект использовал наследуемую модель процессов.

Удалить проект

Может удалить проект из коллекции проектов.

Удалить тестовые запуски

Может удалить тестовый запуск.

Редактировать информацию уровня проекта

Может изменять разрешения уровня проекта для пользователей и групп. Это разрешение включает в себя возможность выполнения следующих задач для проекта:

  • Добавлять и администрировать команды и все связанные с ними компоненты
  • Изменение разрешений уровня проекта для пользователей и групп в проекте
  • Добавление или удаление групп безопасности на уровне проекта
  • Изменение списков ACL разрешений на уровне проекта
  • Изменение подписок на события или оповещений для команд или проекта

Изменить общее представление аналитики

Может создавать и изменять Общие представления аналитики. Требует, чтобы проект использовал наследуемую модель процессов.

Управление свойствами проекта

Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить сведения о содержимом проекта на высоком уровне. Изменение метаданных поддерживается в свойствах Set project REST API.

Управление тестовыми конфигурациями

Может создавать и удалять конфигурации тестов.

Управление тестовыми средами

Может создавать и удалять тестовые среды.

Переместить рабочие элементы из этого проекта

Может перемещать рабочий элемент из одного проекта в другой в пределах коллекции. Требует, чтобы проект использовал наследуемую модель процессов.

Окончательно удалить рабочие элементы в этом проекте

Может навсегда удалить рабочие элементы из этого проекта.

Переименование проекта

Подавлять уведомления для обновлений рабочих элементов

Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при выполнении миграции больших обновлений с помощью инструментов и необходимости пропускать создание уведомлений.
Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым были предоставлены разрешения на обход обновлений рабочего элемента . Для параметра можно задать значение suppressNotifications true при обновлении работы с помощью рабочих элементов — обновление REST API.

Просмотр аналитики

Может получать доступ к данным, доступным в службе аналитики. Дополнительные сведения см. в разделе разрешения, необходимые для доступа к службе аналитики. Требует, чтобы проект использовал наследуемую модель процессов.

Просмотр сведений на уровне проекта

Может просматривать членство и разрешения группы на уровне проекта.

Может просматривать планы тестирования в пути области проекта.

Аналитические представления (уровень объектов)

С помощью представлений общей аналитики можно предоставить определенные разрешения на просмотр, изменение или удаление созданного представления. Управление безопасностью представлений аналитики осуществляется с веб-портала.

Управление разрешениями

Для каждого общего представления аналитики определены следующие разрешения. Всем действительным пользователям автоматически предоставляются все разрешения на Управление представлениями аналитики. Рассмотрите возможность предоставления разрешений SELECT для конкретных общих представлений другим участникам команды или группе безопасности, которые вы создаете. См. также: что такое аналитические представления?

Разрешение

Описание

Удаление общих представлений аналитики

Может удалить общее представление аналитики.

Изменение общих представлений аналитики

Может изменять параметры общего представления аналитики.

Просмотр общих представлений аналитики

может просматривать и использовать общее представление аналитики из Power BI desktop.

Панели мониторинга (уровень объектов)

Разрешения для панелей мониторинга группы и проекта можно задать по отдельности. Разрешения по умолчанию для группы могут быть установлены для проекта. Управление безопасностью панелей мониторинга осуществляется с веб-портала.

Project разрешения панели мониторинга

снимок экрана: диалоговое окно разрешений Project панели мониторинга

По умолчанию создателем панели мониторинга проекта является владелец панели мониторинга и ему предоставляются все разрешения для этой панели мониторинга.

Разрешение Описание
Удалить панель мониторинга Может удалить панель мониторинга проекта.
Изменение панели мониторинга Может добавлять мини-приложения в и изменять макет панели мониторинга проекта.
Управление разрешениями Может управлять разрешениями для панели мониторинга проекта.

Разрешения для панелей мониторинга команды можно задать по отдельности. Разрешения по умолчанию для группы могут быть установлены для проекта. Управление безопасностью панелей мониторинга осуществляется с веб-портала.

Разрешения по умолчанию для панели мониторинга группы

Снимок экрана: диалоговое окно разрешений для панели мониторинга команды.

По умолчанию администраторы команды получают все разрешения на панели мониторинга команды, включая Управление разрешениями по умолчанию и индивидуальными панелями мониторинга.

Разрешение Описание
создание панелей мониторинга; Может создать панель мониторинга команды.
Изменить панели мониторинга Может добавлять мини-приложения в и изменять макет панели мониторинга команды.
Удаление панелей мониторинга Может удалить панель мониторинга команды.

Разрешения отдельной панели мониторинга группы

Примечание

Требуется версия TFS 2017,1 или более поздняя.

Снимок экрана с диалоговым окном разрешений для отдельной команды панели мониторинга.

Администраторы команды могут изменять разрешения для отдельных панелей мониторинга команды, изменяя следующие два разрешения.

Разрешение Описание
Удалить панель мониторинга Можно удалить конкретную панель мониторинга команды.
Изменение панели мониторинга Может добавлять мини-приложения в и изменять макет определенной панели мониторинга команды.

Сборка (уровень объектов)

Управление разрешениями сборки осуществляется для каждой сборки, определенной на веб-портале , или с помощью программы командной строки TFSSecurity. Project Администраторам предоставляются все разрешения на сборку, и администраторам сборки назначаются большинство этих разрешений. Можно задать разрешения сборки для всех определений сборки или для каждого определения сборки.

Снимок экрана: диалоговое окно "Создание разрешений уровня объекта".

снимок экрана: диалоговое окно разрешений на уровне объектов, Azure DevOps Server 2019 и более ранних версий в локальной среде.

Разрешения в сборке соответствуют иерархической модели. Значения по умолчанию для всех разрешений могут быть установлены на уровне проекта и могут быть переопределены в отдельном определении сборки.

Чтобы задать разрешения на уровне проекта для всех определений сборки в проекте, выберите Безопасность на панели действий на главной странице центра сборок.

Чтобы задать или переопределить разрешения для конкретного определения сборки, выберите Безопасность в контекстном меню определения сборки.

В сборке определены следующие разрешения. Все они могут быть установлены на обоих уровнях.

Разрешение

Описание

Администрирование разрешений сборки

Могут администрировать разрешения сборки для других пользователей.

Удалить определение сборки

Могут удалять определения сборки для проекта.

Удалить сборки

Могут удалять завершенные сборки. Удаленные сборки сохраняются на вкладке удалено в течение определенного периода времени до их уничтожения.

Уничтожить сборки

Могут безвозвратно удалять завершенные сборки.

Изменить конвейер сборки

Может сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. доступно с Azure DevOps Services, Azure DevOps Server 2019 1,1 и более поздних версий.

Изменить конвейер сборки
Изменение определения сборки

Изменить конвейер сборки Может сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. доступно с Azure DevOps Services, Azure DevOps Server 2019 1,1 и более поздних версий. Заменяет изменение определения сборки.
Изменить определение сборки Может создавать и изменять определения сборки для этого проекта.

Отключение наследования для определения сборки позволяет управлять разрешениями для отдельных определений сборки.

Если наследование включено, определение сборки учитывает разрешения сборки, определенные на уровне проекта или группы или пользователя. Например, пользовательская группа Build Managers имеет разрешения для ручного помещения сборки в очередь для проекта Fabrikam. Любое определение сборки с включенным наследованием для проекта Fabrikam позволило бы члену группы Build Managers вручную поместить сборку в очередь.

Однако, отключив наследование для проекта Fabrikam, вы можете задать разрешения, которые позволяют только администраторам проектов вручную помещать сборки в очередь для конкретного определения сборки. В последствии это позволило бы задать разрешения конкретно для этого определения сборки.

Изменить качество сборки

Может добавлять сведения о качестве сборки с помощью Team Explorer или веб-портала.

Управление качеством сборки

Могут добавлять и удалять качества сборки. Применяется только к сборкам XAML.

Управление очередью сборки

Может отменять, повышать приоритет или откладывать сборки в очереди. Применяется только к сборкам XAML.

Переопределение проверки записи после изменения по сборке

Может зафиксировать набор изменений TFVC, который влияет на определение условной сборки, не запуская систему для включения в набор отложенных изменений и сначала постройте свои изменения.

Разрешение «Переопределение проверки возврата по построению» следует присваивать только учетным записям служб для служб сборки и администраторам сборки, ответственным за качество кода. Применяется к сборкам с условным возвратом TFVC. Это не относится к сборкам PR. Дополнительные сведения см. в разделе Возврат в папку, управляемую процессом сборки с условным возвратом.

Постановка сборок в очередь

Может поместить сборку в очередь через интерфейс для Team Foundation Build или из командной строки. Они могут также останавливать сборки, поставленные в очередь.

Хранить бессрочно

Может включать в сборку флаг "хранить неопределенное время". Эта функция помечает сборку таким образом, чтобы система выиграла't автоматически удалять ее в зависимости от применяемой политики хранения.

Прерывать сборки

Могут останавливать любые выполняющиеся сборки, включая поставленные в очередь и запущенные другим пользователем.

Обновление сведений о сборке

Могут добавлять в систему узлы сведений о сборке, а также сведения о качестве сборки. Назначайте только для учетных записей служб.

Просмотреть определение сборки

Может просматривать определения сборок, созданные для проекта.

Просмотреть сборки

Может просматривать поставленные в очередь и завершенные сборки для этого проекта.

Репозиторий Git (уровень объектов)

Управление безопасностью каждого репозитория или ветви Git осуществляется с помощью веб-портала, средства командной строки tfили программы командной строки TFSSecurity. Project Администраторам предоставляются большинство этих разрешений (которые отображаются только для проектов, для которых настроен репозиторий Git). Вы можете управлять этими разрешениями для всех репозиториев Git или для конкретного репозитория Git.

Примечание

Эти разрешения изменились в TFS 2017 с обновлением 1 и Azure DevOps. Если вы используете более раннюю версию TFS, см. предыдущий список разрешений.

Диалоговое окно разрешений репозитория Git

Диалоговое окно разрешений репозитория Git, TFS

Задайте разрешения для всех репозиториев Git, внеся изменения в запись репозитория Git верхнего уровня.

Отдельные репозитории наследуют разрешения от записи репозитория Git верхнего уровня. Ветви наследуют разрешения от назначений, сделанных на уровне репозитория.

По умолчанию группы читателей уровня проекта имеют только разрешения на чтение.

Разрешение

Описание

Обходить политики при завершении запросов на вытягивание

Может разрешить переопределение политик ветви путем проверки политик переопределения ветви и включения слияния при завершении запроса на включение внесенных изменений.

Обходить политики при завершении запросов на вытягивание и обходить политики при принудительной отправке из принудительного применения политики замены. применимо к Azure DevOps Server 2019 и более поздним версиям.

Обход политик при принудительной отправке

Может отправить в ветвь, для которой включены политики ветви. Когда пользователь с таким разрешением выполняет push-уведомление, которое переопределяет политику ветви, принудительная отправка автоматически обходит политику ветви без соответствующего шага или предупреждения.

Обходить политики при завершении запросов на вытягивание и обходить политики при принудительной отправке из принудительного применения политики замены. применимо к Azure DevOps Server 2019 и более поздним версиям.

Участие

На уровне репозитория может отправлять свои изменения в существующие ветви в репозитории и выполнять запросы на включение внесенных изменений. Пользователи, у которых нет этого разрешения, но имеющие разрешение на Создание ветви , могут отправлять изменения в новые ветви. Не переопределяет ограничения в политиках ветви.

На уровне ветви может отправить свои изменения в ветвь и заблокировать ветвь. Блокировка ветви блокирует Добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.

Участие в запросах на вытягивание

Может создавать, комментировать и голосовать на запросы на вытягивание.

Создать ветвь

Может создавать и публиковать ветви в репозитории. Отсутствие этого разрешения не ограничивает пользователей создание ветвей в своем локальном репозитории. Это просто предотвращает публикацию локальных ветвей на сервере.

Примечание

Когда пользователь создает новую ветвь на сервере, он имеет права на изменение политик, принудительная отправка, Управление разрешениями и другие' блокирует разрешения для этой ветви по умолчанию. Это означает, что пользователи могут добавлять новые фиксации в репозиторий через ветвь.

Создать репозиторий

Может создавать новые репозитории. Это разрешение доступно только в диалоговом окне безопасности для объекта репозитория Git верхнего уровня.

Создать тег

Может отправлять теги в репозиторий.

Удалить репозиторий

Может удалить репозиторий. На уровне репозиториев Git верхнего уровня можно удалить любой репозиторий.

Изменение политик

Может изменять политики для репозитория и его ветвей.

Исключить из применения политики

Может обходить политики ветви и выполнять следующие два действия:

  • Переопределите политики ветви и завершите вытягивание, которые не't удовлетворить политику ветви
  • Непосредственная отправка в ветви, для которых заданы политики ветви

Применяется к TFS 2015 через TFS 2018 с обновлением 2. (в Azure DevOps он заменяется следующими двумя разрешениями: обход политик при завершении запросов на вытягивание и обход политик при отправке.

Принудительная отправка (перезапись журнала, удаление ветвей и тегов)

Может принудительно выполнить обновление ветви, удалить ветвь и изменить журнал фиксации ветви. Может удалять теги и заметки.

Управление заметками

Может отправлять и изменять заметки Git.

Управление разрешениями

Может устанавливать разрешения для репозитория.

Просмотр

Может клонировать, извлекать, запрашивать и исследовать содержимое репозитория.

Удалить другие' блокировки

Может удалять блокировки ветвей , установленные другими пользователями. Блокировка ветви блокирует Добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.

Переименование репозитория

Может изменить имя репозитория. Если задается в записи репозитория Git верхнего уровня, может изменить имя любого репозитория.

Примечание

Задайте разрешения для всех репозиториев Git, внеся изменения в запись репозитория Git верхнего уровня. Отдельные репозитории наследуют разрешения от записи репозитория Git верхнего уровня. Ветви наследуют разрешения от назначений, сделанных на уровне репозитория. По умолчанию группы читателей уровня проекта имеют только разрешения на чтение.

Сведения об управлении репозиторием Git и разрешениями ветви см. в разделе Set Branch Permissions.

TFVC (объектный уровень)

Управление безопасностью каждой ветви TFVC осуществляется с веб-портала или с помощью программы командной строки TFSSecurity. Project администраторы получают большинство из этих разрешений, которые отображаются только для проекта, который настроен для использования система управления версиями Team Foundation в качестве системы управления версиями. В разрешениях управления версиями явное значение «Запретить» имеет преимущество над разрешениями группы администратора.

эти разрешения отображаются только для того, чтобы программа установки проекта использовала система управления версиями Team Foundation в качестве системы управления версиями.

Диалоговое окно разрешений TFVC

В разрешениях управления версиями явное значение «Запретить» имеет преимущество над разрешениями группы администратора.

Разрешение

Описание

Администрирование меток

Могут изменять и удалять метки, созданные другими пользователями.

Синхронизация

Может возвращать элементы и изменять все зафиксированные комментарии к набору изменений. Ожидающие изменения вносятся во время возврата.

Рассмотрите возможность добавления этих разрешений к добавленным вручную пользователям или группам, которые вносят вклад в разработку проекта; все пользователи, которые должны иметь возможность вернуть и извлечь изменения, внести ожидающее изменение в элементы в папке или исправить все зафиксированные комментарии к набору изменений.

Запись изменений других пользователей'

Могут возвращать изменения, сделанные другими пользователями. Ожидающие изменения вносятся во время возврата.

Извлечь (до TFS 2015)

Отложить изменение в серверной рабочей области (TFS 2017 и более поздние версии)

Могут извлекать и вносить ожидающие изменения в элементах папки. Примеры ожидающих изменений: добавление, изменение, переименование, отмена удаления, ветвление и слияние файла. Ожидающие изменения должны быть возвращены, поэтому пользователям также потребуется разрешение на возврат, чтобы поделиться изменениями с командой.

Рассмотрите возможность добавления этих разрешений к добавленным вручную пользователям или группам, которые вносят вклад в разработку проекта; все пользователи, которые должны иметь возможность вернуть и извлечь изменения, внести ожидающее изменение в элементы в папке или исправить все зафиксированные комментарии к набору изменений.

Метка

Могут помечать элементы.

Скрыть

Могут блокировать и разблокировать папки и файлы. Чтобы запретить или восстановить права пользователя's, можно заблокировать или разблокировать папку или файл. К разрешениям относятся права на извлечение элемента для редактирования в другой рабочей области или возврат ожидающих изменений элемента из другой рабочей области. Дополнительные сведения см. в разделе команда lock.

Управление ветвями

Может преобразовать любую папку по этому пути в ветвь, а также выполнить следующие действия с ветвью: изменить ее свойства, повторно создать родительский объект и преобразовать ее в папку. Пользователи с таким разрешением могут разветвлять эту ветвь, только если они уже имеют разрешение Объединить для целевого пути. Пользователи не могут создавать ответвления от ветви, для которой они не имеют разрешения Управление ветвями.

Управление разрешениями

Может управлять другими пользователями' разрешения для папок и файлов в системе управления версиями.

Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность создавать собственные ветви, если для проекта не применяются более строгие правила разработки.

AutoMerge

Могут сливать изменения по этому пути.

Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность слияния исходных файлов, если для проекта не применяются более строгие правила разработки.

Чтение

Могут читать содержимое файла или папки. Если пользователь имеет разрешения Чтение для папки, он может просматривать содержимое папки и свойства файлов в ней, даже если он не имеет разрешения на открытие файлов.

Пересмотр других пользователей' изменения

Могут изменять комментарии в возвращенных файлах, даже если другой пользователь вернул этот файл.

Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.

Отмена других пользователей' слияние изменений

Могут отменять ожидающие изменения других пользователей.

Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.

Разблокировка других пользователей' изменения

Могут разблокировать файлы, заблокированные другими пользователями.

Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.

Путь к области (уровень объектов)

Разрешения для пути к области предоставляют или ограничивают доступ к веткам иерархии областей и рабочим элементам в этих областях. Управление безопасностью каждого пути к области осуществляется с веб-портала или с помощью программы командной строки TFSSecurity. Разрешения области предоставляют или ограничивают доступ для создания и управления путями областей, а также для создания и изменения рабочих элементов, определенных в разделе пути к областям.

членам группы "администраторы Project" автоматически предоставляются разрешения на управление путями к областям для проекта. Рассмотрите возможность предоставления администраторам команды или сотрудникам разрешений на создание, изменение и удаление узлов областей.

Примечание

Несколько команд могут участвовать в работе над проектом. В этом случае можно настроить команды, связанные с областью. Разрешения для рабочих элементов команды назначаются путем назначения разрешений области. Существуют другие Параметры команды , которые настраивают средства планирования для гибкой разработки команды.

Диалоговое окно разрешений для пути к области

Разрешение

Описание

Создание дочерних узлов

Могут создавать узлы областей. Пользователи, у которых есть такое разрешение и разрешение изменение узла , могут перемещать или изменять порядок любых дочерних узлов области.

Рекомендуется добавить это разрешение для всех пользователей или групп, добавленных вручную, которые могут потребоваться для удаления, добавления или переименования узлов областей.

Удалить этот узел

Пользователи, у которых есть такое разрешение и разрешение изменить этот узел для другого узла, могут удалять узлы области и реклассифицировать существующие рабочие элементы из удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.

Рекомендуется добавить это разрешение для всех пользователей или групп, добавленных вручную, которые могут потребоваться для удаления, добавления или переименования узлов областей.

Изменить этот узел

Могут задавать разрешения для этого узла и переименовывать узлы областей.

Рекомендуется добавить это разрешение для всех пользователей или групп, добавленных вручную, которые могут потребоваться для удаления, добавления или переименования узлов областей.

Изменить рабочие элементы на этом узле

Могут изменять рабочие элементы этого узла областей.

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо изменять рабочие элементы в узле областей.

Управление планами тестирования

Могут изменять свойства плана тестирования, например настройки сборки и тестирования.

Рассмотрите возможность добавления разрешений на Управление наборами тестов для любых пользователей или групп, добавленных вручную, которые могут потребоваться для управления планами тестирования или наборами тестов в этом узле области.

Управление наборами тестов

Может создавать и удалять наборы тестов, добавлять и удалять тестовые случаи из наборов тестов, изменять конфигурации тестов, связанные с наборами тестов, и изменять иерархию наборов (Перемещение набора тестов).

Рассмотрите возможность добавления разрешений на Управление наборами тестов для любых пользователей или групп, добавленных вручную, которые могут потребоваться для управления планами тестирования или наборами тестов в этом узле области.

Просмотр разрешений для этого узла

Могут просматривать настройки безопасности этого узла.

Просмотр рабочих элементов на этом узле

Могут просматривать (но не изменять) рабочие элементы в этом узле областей.

Если задать для параметра Просмотр рабочих элементов этого узла значение запретить, пользователь не сможет видеть рабочие элементы в этом узле области. Запрет будет переопределять любое неявное разрешение, даже для пользователей, являющихся членами административных групп.

Путь итерации (уровень объекта)

Разрешения пути итерации предоставляют или ограничивают доступ для создания путей итерации и управления ими, также называемых спринтами.

Управление безопасностью каждого пути итерации осуществляется с веб-портала или с помощью программы командной строки TFSSecurity.

членам группы "администраторы Project" автоматически предоставляются эти разрешения для каждой итерации, определенной для проекта. Рассмотрите возможность предоставления администраторам команды, мастеру Scrum или членам команды разрешения на создание, изменение и удаление узлов итерации.

Диалоговое окно разрешений пути итерации

Разрешение

Описание

Создание дочерних узлов

Могут создавать узлы итераций. Пользователи, у которых есть такое разрешение и разрешение изменение узла , могут перемещать или переупорядочивать любые дочерние узлы итерации.

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.

Удалить этот узел

Пользователи, у которых есть такое разрешение и разрешение изменить этот узел для другого узла, могут удалять узлы итерации и повторно классифицировать существующие рабочие элементы из удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.

Изменить этот узел

Могут задавать разрешения для этого узла и переименовывать узлы итераций.

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.

Просмотр разрешений для этого узла

Могут просматривать настройки безопасности этого узла.

члены коллекции Project допустимые пользователи, Project допустимые пользователи или любой пользователь или группа, имеющие сведения о просмотре на уровне коллекции , или просматривать сведения на уровне проекта , могут просматривать разрешения любого узла итерации.

Запрос рабочего элемента и папка запросов (уровень объектов)

Управление разрешениями запросов и папок запросов осуществляется через веб-портал. Project Администраторы получают все эти разрешения. Участникам предоставляются только разрешения на чтение. Предоставляйте разрешения участника пользователям и группам, которым требуется возможность создания запросов рабочих элементов проекта и предоставления совместного доступа к этим запросам.

Диалоговое окно разрешений для папки запроса

Предоставляйте разрешения участника пользователям и группам, которым требуется возможность создания запросов рабочих элементов проекта и предоставления совместного доступа к этим запросам. Дополнительные сведения см. в разделе Задание разрешений для запросов.

Для создания диаграмм запросов необходим базовый доступ.

Разрешение

Описание

Участие

Могут просматривать и изменять запрос или папку запросов.

Delete

Могут удалить запрос или папку запросов и их содержимое.

Управление разрешениями

Могут управлять разрешениями для запроса или папки запросов.

Просмотр

Могут просматривать и использовать данный запрос или запросы в папке, но не могут изменять запрос или содержимое папки запросов.

Планы доставки (уровень объектов)

Управление разрешениями плана осуществляется через веб-портал. Управление разрешениями для каждого плана осуществляется через диалоговое окно безопасности. Project Администраторы получают все разрешения на создание, изменение и управление планами. Действительным пользователям предоставляются разрешения View (только для чтения).

Примечание

Для TFS 2017,2 и более поздних версий можно получить доступ к планам, установив расширение "планы поставок" для Marketplace.

Разрешение

Описание

Delete

Может удалить выбранный план.

Правка

Может изменять конфигурацию и параметры, определенные для выбранного плана.

Ею

Может управлять разрешениями для выбранного плана.

Вид

Может просматривать списки планов, открывать и взаимодействовать с планом, но не может изменять конфигурацию или параметры плана.

Процесс (уровень объекта)

Вы можете управлять разрешениями для каждого наследуемого процесса, созданного с помощью веб-портала. Управление разрешениями для каждого процесса осуществляется с помощью диалогового окна безопасности. Project Администраторам коллекции предоставляются все разрешения на создание, изменение и управление процессами. Действительным пользователям предоставляются разрешения View (только для чтения).

Разрешение

Описание

Администрирование разрешений процесса

Может устанавливать или изменять разрешения для унаследованного процесса.

Удалить процесс

Может удалить унаследованный процесс.

Изменить процесс

Может создать наследуемый процесс из системного процесса или скопировать или изменить унаследованный процесс.

Теги рабочих элементов

Управление разрешениями тегов в основном осуществляется из программы командной строки TFSSecurity. Участники могут добавлять теги к рабочим элементам и использовать их для быстрой фильтрации представления невыполненной работы, доски или результаты запроса.

Разрешение

Описание

Создание определения тега

Могут создавать новые теги и применять их к рабочим элементам. Пользователи без этого разрешения могут выбирать только из существующего набора тегов для проекта.

По умолчанию участники ассинжед разрешение CREATE Tag Definition .

Хотя разрешение Создание определения тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов фактически являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они появляются в пользовательском интерфейсе. Чтобы ограничить разрешения тегов для одного проекта при использовании команды TFSSecurity, необходимо указать идентификатор GUID для проекта в качестве части синтаксиса команды. В противном случае изменение будет применено ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.

Удалить определение тега

Могут удалять теги из списка доступных тегов проекта.

Эти разрешения не отображаются в пользовательском интерфейсе. Его можно задать только с помощью команды TFSSecurity .

Также нет пользовательского интерфейса для явного удаления тега. Вместо этого, если тег не использовался в течение 3 дней, TFS автоматически удалит его.

Перечислить определение тега

Может просматривать список тегов, доступных для рабочего элемента в рамках проекта. Пользователи без этого разрешения не будут иметь доступа к списку тегов, из которых можно выбирать, в форме рабочего элемента или в редакторе запросов.

Эти разрешения не отображаются в пользовательском интерфейсе. Его можно задать только с помощью команды TFSSecurity .

Просмотр сведений на уровне проекта неявно позволяет пользователям просматривать существующие теги.

Обновить определение тега

Могут переименовывать теги с помощью API REST.

Эти разрешения не отображаются в пользовательском интерфейсе. Его можно задать только с помощью команды TFSSecurity .

Release (уровень объектов)

Вы управляете разрешениями для каждого выпуска, определенного на веб-портале. Project Администраторам и администраторам выпусков предоставляются все разрешения на выпуск. Эти разрешения могут быть предоставлены или запрещены в иерархической модели на уровне проекта, для конкретного конвейера выпуска или для конкретной среды в конвейере выпуска. В этой иерархии разрешения могут наследоваться от родительского или переопределенного.

Выпускают разрешения уровня объектов.

Примечание

Группа администраторов выпуска уровня проекта создается одновременно с первым определением конвейера выпуска.

Кроме того, можно назначить утверждающих конкретные шаги в конвейере выпуска, чтобы обеспечить соответствие приложений стандартам качества.

В Release Management определены следующие разрешения. В столбце Scope объясняется, можно ли задать разрешение на уровне проекта, конвейера выпуска или уровня среды.

Разрешение

Описание

Области действия

Администрирование разрешений на выпуск

Может изменять любые другие разрешения, перечисленные здесь.

Project, конвейер выпуска, среда

Создание выпусков

Может создавать новые выпуски.

Project, конвейер выпуска

Удаление конвейера выпуска

Может удалять конвейеры выпуска.

Project, конвейер выпуска

Удалить окружение выпуска

Может удалять окружения в конвейерах выпуска.

Project, конвейер выпуска, среда

Удалить выпуски

Может удалять выпуски для конвейера.

Project, конвейер выпуска

Изменение конвейера выпуска

Может добавлять и изменять конвейер выпуска, включая переменные конфигурации, триггеры, артефакты и политику хранения, а также конфигурацию в среде конвейера выпуска. Чтобы внести изменения в конкретную среду в конвейере выпуска, пользователю также требуется разрешение на изменение среды выпуска .

Project, конвейер выпуска

Изменить окружение выпуска

Может изменять окружения в конвейерах выпуска. Чтобы сохранить изменения в конвейере выпуска, пользователю также требуется разрешение на изменение конвейера выпуска . Это разрешение также определяет, может ли пользователь изменять конфигурацию внутри среды конкретного экземпляра выпуска. Пользователю также требуется разрешение на Управление выпусками для сохранения измененного выпуска.

Project, конвейер выпуска, среда

Управление развертываниями

Может инициировать прямое развертывание выпуска в среде. Это разрешение предназначено только для прямых развертываний, инициированных вручную путем выбора действия развертывания в выпуске. Если для условия среды задан любой тип автоматического развертывания, система автоматически инициирует развертывание без проверки разрешения пользователя, создавшего выпуск.

Project, конвейер выпуска, среда

Управление утверждающими выпусков

Может добавлять или изменять утверждающих для окружений в конвейерах выпуска. Это разрешение также определяет, может ли пользователь изменять утверждающих в среде конкретного экземпляра выпуска.

Project, конвейер выпуска, среда

Управление выпусками

Может изменять конфигурацию выпуска, например этапы, утверждающие и переменные. Чтобы изменить конфигурацию конкретной среды в экземпляре выпуска, пользователю также требуется разрешение на изменение среды выпуска .

Project, конвейер выпуска

Просмотр конвейера выпуска

Может просматривать конвейеры выпуска.

Project, конвейер выпуска

Просмотреть выпуски

Может просматривать выпуски, принадлежащие конвейерам выпуска.

Project, конвейер выпуска

Значения по умолчанию для всех этих разрешений задаются для коллекций командных проектов и групп проектов. например, по умолчанию предоставляются все указанные выше разрешения для администраторов коллекции Project, администраторов Project и администраторов выпусков . Участникам предоставляются все разрешения, кроме администрирования разрешений на выпуск. По умолчанию для читателей запрещаются все разрешения, за исключением представления конвейера выпуска и выпусков.

Разрешения группы задач (сборка и выпуск)

Управление разрешениями для групп задач осуществляется из центра сборки и выпуска веб-портала. администраторам Project, сборки и выпуска предоставляются все разрешения. Разрешения группы задач соответствуют иерархической модели. Значения по умолчанию для всех разрешений могут быть установлены на уровне проекта и могут быть переопределены для отдельного определения группы задач.

Группы задач используются для инкапсуляции последовательности задач, уже определенных в сборке или определении выпуска, в одну многократно используемую задачу. Вы определяете группы задач и управляете ими на вкладке группы задач в центре сборки и выпуска .

Разрешение Описание
Администрирование разрешений группы задач Может добавлять пользователей или группы в систему безопасности группы задач и удалять их.
Удалить группу задач Может удалить группу задач.
Изменить группу задач Может создавать, изменять и удалять группы задач.

Lab Management

Visual Studio Lab Management разрешения относятся к виртуальным машинам, средам и другим ресурсам. Кроме того, создателю объекта в Lab Management автоматически предоставляются все разрешения на этот объект. Эти разрешения можно задать с помощью программы командной строкиPermissions.

По умолчанию группы читателей проекта имеют только разрешения на просмотр ресурсов лаборатории (чтение).

Разрешение

Описание

Удаление сред и виртуальных машин

Могут удалять среды и шаблоны. Это разрешение проверяется для удаляемого объекта.

Удаление сред и виртуальных машин

Могут удалять среды и шаблоны. Это разрешение проверяется для удаляемого объекта.

Удаление расположений лаборатории

Можно удалить расположения для ресурсов Lab Management, включая группы узлов коллекции, общие папки библиотеки коллекции, группы узлов проекта и общие папки библиотеки проекта. Чтобы удалить расположение, необходимо иметь разрешение на Удаление расположения лаборатории для этого расположения.

Изменение сред и виртуальных машин

Могут изменять среды и шаблоны. Это разрешение проверяется для изменяемого объекта.

Операции среды

Могут запускать, останавливать, приостанавливать и контролировать снимки, а также выполнять другие операции в среде.

Импорт виртуальной машины

Может импортировать виртуальную машину из общей папки библиотеки VMM. это разрешение отличается от Write, так как оно создает объект только в Lab Management и не записывает ничего в группу узлов диспетчер виртуальных машин или общую папку библиотеки.

Управление разрешениями дочерних объектов

Может изменять разрешения всех дочерних Lab Management объектов. Например, если пользователь имеет разрешение Управление дочерними разрешениями для группы узлов проекта, он может изменять разрешения для всех сред в группе узлов этого проекта.

Управление расположениями лаборатории

Может изменять расположения ресурсов Lab Management, включая группы узлов коллекции, общие папки библиотек коллекции, группы узлов проекта и общие папки библиотеки проектов. Чтобы изменить определенное расположение, необходимо иметь разрешение Управление расположением лаборатории для этого расположения. Это разрешение для расположений уровня коллекции (группы узлов коллекции и общие папки библиотеки коллекции) также позволяет создавать расположения уровня проекта (группа узлов проекта и общая папка библиотеки проекта).

Управление разрешениями

Может изменять разрешения для объекта Lab Management. Это разрешение проверяется для объекта, разрешения которого изменяются.

Управление снимками

Могут выполнять все задачи управления снимками для среды, включая создание снимка, возврат к снимку, переименование снимка, удаление снимка и чтение снимка.

Приостановка среды

Могут приостанавливать среду.

Начать

Могут запускать среду.

Остановить

Могут останавливать среду.

Просмотр ресурсов лаборатории

Может просматривать сведения о различных ресурсах Lab Management, включая группы узлов коллекции, группы узлов проекта и среду. Чтобы просмотреть сведения о конкретном ресурсе лаборатории, необходимо иметь разрешение Просмотр ресурсов лаборатории для этого ресурса.

Запись сред и виртуальных машин

Могут создавать среды для группы размещения проектов. Пользователи с этим разрешением для общей папки библиотеки проекта могут сохранять среды и шаблоны.

Уведомления или оповещения

Нет разрешений пользовательского интерфейса, связанных с управлением уведомлениями или оповещениями по электронной почте. Вместо этого их можно управлять с помощью программы командной строки TFSSecurity.

  • По умолчанию члены группы участников уровня проекта могут подписываться на предупреждения самостоятельно.
  • члены группы " администраторы коллекции Project " или пользователи, имеющие сведения об изменении уровня коллекции , могут задавать предупреждения в этой коллекции для других пользователей или для команды.
  • члены группы " администраторы Project " или пользователи, имеющие сведения об изменении уровня проекта , могут задавать предупреждения в этом проекте для других пользователей или для команды.

Вы можете управлять разрешениями предупреждений с помощью TFSSecurity.

Действие TFSSecurity

Пространство имен TFSSecurity

Описание

Project Администраторы коллекции &
Учетные записи службы коллекции проектов

CREATE_SOAP_SUBSCRIPTION

EventSubscription

Могут создать подписку на веб-службу на базе SOAP.

✔️

GENERIC_READ

EventSubscription

Может просматривать события подписки, определенные для проекта.

✔️

GENERIC_WRITE

EventSubscription

Могут создать оповещения для других пользователей или для команды.

✔️

UNSUBSCRIBE

EventSubscription

Могут отменить подписку на события.

✔️