Группы безопасности, учетные записи служб и разрешения в Azure DevOps
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018
Эта статья содержит исчерпывающие справочные материалы для каждого встроенного пользователя, группы и разрешения. Это много информации, описывающей каждого встроенного пользователя и группы безопасности, а также каждого разрешения.
Краткий справочник по назначениям по умолчанию см. в разделе "Разрешения и доступ по умолчанию". Общие сведения об управлении разрешениями и безопасностью см. в начало работы с разрешениями, доступом и группами безопасности. Помимо групп безопасности, существуют также роли безопасности, предоставляющие разрешения для определенных областей.
Сведения о добавлении пользователей в группу или настройке определенного разрешения, которыми можно управлять с помощью веб-портала, см. в следующих ресурсах:
Пользователи и группы
Вики
DevOps
Отслеживание трудозатрат
Отчеты
Примечание
Изображения, которые вы видите на веб-портале, могут отличаться от изображений, которые вы видите в этом разделе. Эти различия возникают из-за обновлений, внесенных в Azure DevOps. Однако основные функциональные возможности, доступные для вас, остаются неизменными, если они не упоминаются явным образом.
учетные записи служб;
Существует несколько учетных записей служб, созданных системой для поддержки определенных операций. К ним относятся описанные в следующей таблице. Эти учетные записи пользователей добавляются на уровне организации или коллекции.
| Имя пользователя | Описание |
|---|---|
| Служба пула агентов | Имеет разрешение прослушивать очередь сообщений, чтобы определенный пул получал работу. В большинстве случаев вам не нужно управлять членами этой группы. Процесс регистрации агента отвечает за вас. Учетная запись службы, указанная для агента (обычно сетевая служба), автоматически добавляется при регистрации агента. Отвечает за выполнение Azure Boards операций чтения и записи и обновления рабочих элементов при обновлении GitHub объектов. |
| Azure Boards | Добавляется при подключении Azure Boards к GitHub. Вам не нужно управлять участниками этой группы. Отвечает за управление созданием связи между GitHub и Azure Boards. |
| PipelinesSDK | Добавлен по мере необходимости для поддержки маркеров области службы политики Pipelines. Эта учетная запись пользователя аналогична удостоверениям службы сборки, но поддерживает блокировку разрешений отдельно. На практике маркеры, включающие это удостоверение, предоставляются разрешения только для чтения для конвейерных ресурсов и возможность единовременного утверждения запросов политики. Эта учетная запись должна обрабатываться так же, как и удостоверения службы сборки. |
| Projectname Служба сборки | Имеет разрешения на запуск служб сборки для проекта. Это устаревший пользователь, используемый для сборок XAML. Она добавляется в группу служб безопасности, которая используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности. |
| Служба сборки коллекций проектов | Имеет разрешения на запуск служб сборки для коллекции. Она добавляется в группу служб безопасности, которая используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности. |
Группы
Разрешения могут предоставляться непосредственно отдельному лицу или группе. Использование групп значительно упрощает работу. Система предоставляет несколько встроенных групп для этой цели. Эти группы и назначенные по умолчанию разрешения определяются на разных уровнях: сервер (только локальное развертывание), коллекция проектов, проект и определенные объекты. Вы также можете создать собственные группы и предоставить им определенный набор разрешений, подходящих для определенных ролей в организации.
Примечание
Все группы безопасности — это сущности уровня организации, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена на основе разрешений пользователя. Однако имена всех групп в организации можно обнаружить с помощью средства azure devops CLI или наших ИНТЕРФЕЙСов REST API. Дополнительные сведения см. в разделе "Добавление групп безопасности и управление ими".
Примечание
Все группы безопасности — это сущности уровня коллекции, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена на основе разрешений пользователя. Однако имена всех групп в организации можно обнаружить с помощью средства azure devops CLI или наших ИНТЕРФЕЙСов REST API. Дополнительные сведения см. в разделе "Добавление групп безопасности и управление ими".
Примечание
Все группы безопасности — это сущности уровня коллекции, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена на основе разрешений пользователя. Однако имена всех групп в организации можно обнаружить с помощью REST API. Дополнительные сведения см. в разделе "Добавление групп безопасности и управление ими".
Группы уровня сервера
При установке Azure DevOps Server система создает группы по умолчанию с разрешениями уровня сервера на уровне развертывания. Вы не можете удалить или удалить встроенные группы уровня сервера.
Невозможно удалить или удалить группы уровня сервера по умолчанию.
Имя группы
Разрешения
Членство
учетные записи служб Azure DevOps
Имеет разрешения уровня обслуживания для экземпляра сервера.
Содержит учетную запись службы, указанную во время установки.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа входит в состав администраторов Team Foundation.
Если вам нужно добавить учетную запись в эту группу после установки Azure DevOps Server или TFS, это можно сделать с помощью служебной программы TFSSecurity.exe в вложенной папке Tools каталога установки TFS.
Команда для этого выполняется TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Azure DevOps допустимых пользователей
Имеет разрешение на просмотр сведений на уровне экземпляра сервера.
Содержит всех пользователей, известных как существующие в экземпляре сервера. Вы не можете изменить членство в этой группе.
Администраторы Team Foundation
Имеет разрешения на выполнение всех операций на уровне сервера.
Группа локальных администраторов (BUILTIN\Administrators) для любого сервера, на котором размещены службы приложений Azure DevOPs/Team Foundation.
Server\Team Foundation Service Accounts group and the members of the \Project Server Integration Service Accounts group.
Эта группа должна быть ограничена наименьшим количеством пользователей, которым требуется общий административный контроль над операциями на уровне сервера.
Примечание
Если в развертывании используются SharePoint или отчеты, рассмотрите возможность добавления участников этой группы в группы администраторов фермы и администраторов семейства веб-сайтов в SharePoint и групп диспетчеров содержимого Team Foundation в Reporting Services.
Имя группы
Разрешения
Членство
Администраторы Team Foundation
Имеет разрешения на выполнение всех операций на уровне сервера.
Группа локальных администраторов (BUILTIN\Administrators) для любого сервера, на котором размещены службы приложений Azure DevOPs/Team Foundation.
Server\Team Foundation Service Accounts group and the members of the \Project Server Integration Service Accounts group.
Эта группа должна быть ограничена наименьшим количеством пользователей, которым требуется общий административный контроль над операциями на уровне сервера.
Примечание
Если в развертывании используются SharePoint или отчеты, рассмотрите возможность добавления участников этой группы в группы администраторов фермы и администраторов семейства веб-сайтов в SharePoint и групп диспетчеров содержимого Team Foundation в Reporting Services.
Учетные записи службы прокси-службы Team Foundation
Имеет разрешения уровня обслуживания для прокси-сервера Team Foundation Server и некоторые разрешения на уровне службы.
Примечание
Эта учетная запись создается при установке прокси-службы TFS.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей.
Учетные записи Team Foundation Service
Имеет разрешения уровня обслуживания для экземпляра сервера.
Содержит учетную запись службы, указанную во время установки.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа входит в состав администраторов Team Foundation.
Если вам нужно добавить учетную запись в эту группу после установки Azure DevOps Server или TFS, это можно сделать с помощью служебной программы TFSSecurity.exe в вложенной папке Tools каталога установки TFS.
Команда для этого выполняется TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Допустимые пользователи Team Foundation
Имеет разрешение на просмотр сведений на уровне экземпляра сервера.
Примечание
Если для этой группы задано разрешение " Просмотр сведений на уровне экземпляра" значение "Запретить " или "Нет ", пользователи не смогут получить доступ к развертыванию.
Содержит всех пользователей, известных как существующие в экземпляре сервера. Вы не можете изменить членство в этой группе.
Учетные записи службы интеграции Project Server
Имеет разрешения уровня обслуживания для развертываний сервера Project, настроенных для взаимодействия с экземпляром сервера и некоторыми разрешениями уровня обслуживания TFS.
Примечание
Создается при установке интеграции службы Project.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа входит в состав администраторов Team Foundation.
Службы веб-приложений SharePoint
Имеет разрешения уровня обслуживания для веб-приложений SharePoint, настроенных для использования с TFS и некоторыми разрешениями уровня обслуживания для TFS.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. В отличие от группы учетных записей служб, эта группа не входит в состав администраторов Team Foundation.
Примечание
Полное имя каждой из этих групп — [Team Foundation]\{имя группы}. Таким образом, полное имя группы администраторов уровня сервера — [Team Foundation]\Team Foundation Administrators.
Группы уровня коллекции
При создании организации или коллекции проектов в Azure DevOps система создает группы уровня коллекции, имеющие разрешения в этой коллекции. Нельзя удалить или удалить встроенные группы на уровне коллекции.
Примечание
Сведения о включении нового пользовательского интерфейса для разрешений организаций Параметры Page версии 2 см. в статье "Включение предварительных версий функций". Страница предварительного просмотра предоставляет страницу параметров группы, которую не выполняет текущая страница.
Полное имя каждой из этих групп — [{имя коллекции}]\{имя группы}. Таким образом, полное имя группы администраторов для коллекции по умолчанию — [Коллекция по умолчанию]\Project администраторов коллекций.
Имя группы
Разрешения
Членство
Администраторы коллекций проектов
Имеет разрешения на выполнение всех операций для коллекции.
Содержит группу локальных администраторов (BUILTIN\Administrators) для сервера, на котором установлены службы уровня приложений. Кроме того, содержит члены группы учетных записейCollectionNameService/. Членство в данной группе должно быть максимально ограничено и доступно только для узкого круга пользователей, которым необходимо предоставление полного административного контроля над коллекцией. Для Azure DevOps назначьте администраторам, которые настраивают отслеживание работы.
Примечание
Если развертывание использует Reporting Services, рассмотрите возможность добавления членов этой группы в группы диспетчеров содержимого Team Foundation в Reporting Services.
Администраторы построения коллекций проектов
Имеет разрешения на администрирование ресурсов сборки и разрешений для коллекции.
Членами данной группы должны быть только те пользователи, которым необходим полный административный контроль над серверами и службами сборок для этой коллекции.
Учетные записи службы сборки коллекции проектов
Имеет разрешения на запуск служб сборки для коллекции.
Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. Это устаревшая группа, используемая для сборок XAML. Используйте пользователя Project collection Build Service ({your organization}) для управления разрешениями для текущих сборок.
Учетные записи службы прокси коллекции проектов
Имеет разрешения на запуск прокси-службы для коллекции.
Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.
Учетные записи службы коллекции проектов
Имеет разрешения уровня обслуживания для коллекции и для Azure DevOps Server.
Содержит учетную запись службы, введенную во время установки. Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. По умолчанию эта группа является членом группы "Администраторы".
Учетные записи службы тестирования коллекции проектов
Имеет разрешения тестовой службы для коллекции.
Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.
Допустимые пользователи коллекции проектов
Имеет разрешения на доступ к командным проектам и просмотр сведений в коллекции.
Содержит всех пользователей и группы, добавленные в любое место в коллекции. Членство данной группы нельзя изменять.
Имеет ограниченный доступ к просмотру параметров и проектов организации, отличных от проектов, к которых они добавляются. Кроме того, параметры выбора людей ограничены теми пользователями и группами, к которым явно добавлен проект, к которому подключен пользователь.
Добавьте пользователей в эту группу, если вы хотите ограничить их видимость и доступ к этим проектам, к которым вы явно добавляете их. Не добавляйте пользователей в эту группу, если они также добавляются в группу администраторов коллекций Project.
Примечание
Группа пользователей с областью действия Project становится доступной с ограниченным доступом при включении предварительной версии функции уровня организации, ограничения видимости пользователей и совместной работы для определенных проектов. Дополнительные сведения см. в статье "Управление организацией", "Ограничение видимости пользователей" для проектов и многое другое.
Группа служб безопасности
Используется для хранения пользователей, которым были предоставлены разрешения, но не добавленных в любую другую группу безопасности.
Не назначайте пользователей этой группе. Если вы удаляете пользователей из всех групп безопасности, проверьте, нужно ли удалить их из этой группы.
Группы уровня проекта
Для каждого создаваемого проекта система создает следующие группы на уровне проекта. Эти группы назначаются разрешения на уровне проекта.
Примечание
Сведения о включении нового пользовательского интерфейса для страницы Параметры разрешений Project см. в разделе "Включение предварительных версий функций".
Чтобы просмотреть полное изображение, щелкните, чтобы развернуть его.
Совет
Полное имя каждой из этих групп — [{имя проекта}]\{имя группы}. Например, группа участников для проекта с именем "My Project" имеет значение [My Project]\Contributors.
Имя группы
Разрешения
Членство
Администраторы сборки
Имеет разрешения на администрирование ресурсов сборки и разрешения на сборку для проекта. Они могут управлять тестовыми средами, создавать тестовые запуски и управлять построениями.
Назначьте пользователям, которые определяют конвейеры сборки и управляют ими.
Соавторы
Имеет разрешения на полное участие в разработке базы кода проекта и отслеживания рабочих элементов. Основные разрешения, которые у них нет, — это те, которые управляют ресурсами или администрируют их.
По умолчанию группа команд, созданная при создании проекта, добавляется в эту группу, а любой пользователь, добавляемый в группу или проект, является членом этой группы. Кроме того, в эту группу добавляется любая команда, созданная для проекта.
читатели;
Имеет разрешения на просмотр сведений о проекте, базы кода, рабочих элементов и других артефактов, но не их изменение.
Назначьте членам вашей организации или коллекции разрешения только для просмотра для проекта. Эти пользователи могут просматривать невыполненные работы, доски, панели мониторинга и многое другое, но не добавлять и изменять их.
Имеет разрешения на администрирование всех аспектов команд и проектов, хотя они не могут создавать командные проекты.
Назначьте пользователям, которые управляют разрешениями пользователей, создают или редактируют команды, изменяют параметры группы, определяют область пути итерации или настраивают отслеживание рабочих элементов. Членам группы администраторов Project предоставляются разрешения на выполнение следующих задач:
- Добавление и удаление пользователей из членства в проекте
- Добавление и удаление настраиваемых групп безопасности из проекта
- Добавление и администрирование всех команд проектов и функций, связанных с командой
- Изменение списков управления доступом на уровне проекта
- Изменение подписок на события (электронная почта или SOAP) для команд или событий уровня проекта.
Допустимые пользователи проекта
Имеет разрешения на доступ и просмотр сведений о проекте.
Содержит всех пользователей и группы, добавленные в проект в любом месте. Членство данной группы нельзя изменять.
Примечание
Рекомендуется не изменять разрешения по умолчанию для этой группы.
Администраторы выпуска
Имеет разрешения на управление всеми операциями выпуска.
Назначьте пользователям, которые определяют конвейеры выпуска и управляют ими.
Примечание
Группа "Администратор выпуска" создается одновременно с определением первого конвейера выпуска. Он не создается по умолчанию при создании проекта.
Имеет разрешения на полное участие в разработке базы кода проекта и отслеживания рабочих элементов. Группа команд по умолчанию создается при создании проекта и по умолчанию добавляется в группу "Участники" для проекта. Все новые создаваемые команды также будут содержать созданную для них группу, добавленную в группу «Участники».
Добавьте участников команды в эту группу. Чтобы предоставить доступ к настройке параметров команды, добавьте участника команды в роль администратора команды.
Роль администратора команды
Для каждой добавляемой команды можно назначить одного или нескольких участников команды администраторами. Роль администратора группы не является группой с набором определенных разрешений. Вместо этого роль администратора команды выполняется с управлением ресурсами группы. Дополнительные сведения см. в статье "Управление командами" и настройка средств команды. Чтобы добавить пользователя в качестве администратора команды, см. раздел "Добавление администратора команды".
Примечание
Project администраторы могут управлять всеми административными областями команды для всех команд.
Разрешения
Система управляет разрешениями на разных уровнях — сервере, коллекции, проекте или объекте, а по умолчанию назначает их одной или нескольким встроенным группам. Вы управляете большинством разрешений с помощью веб-портала.
Разрешения уровня серверов
Вы управляете разрешениями на уровне сервера с помощью консоли администрирования Team Foundation или программы командной строки TFSSecurity. Администраторам Team Foundation предоставляются все разрешения на уровне сервера. Другие группы уровня сервера имеют выбор назначений разрешений.
Разрешение
Описание
Может обрабатывать или изменять параметры для хранилища данных или куба SQL Server анализа с помощью веб-службы управления хранилища.
Для полной обработки или перестроения хранилища данных и куба анализа могут потребоваться дополнительные разрешения.
Может создавать и администрировать коллекции.
Может удалить коллекцию из развертывания.
Примечание
Удаление коллекции не приведет к удалению базы данных коллекции из SQL Server.
Может изменять разрешения на уровне сервера для пользователей и групп, а также добавлять или удалять группы уровня сервера из коллекции.
Примечание
Изменение сведений на уровне экземпляра включает возможность выполнять эти задачи для всех командных проектов, определенных во всех коллекциях, определенных для экземпляра:
- Создавать и изменять области и итерации
- Изменять политики возврата
- Изменять запросы общих рабочих элементов
- Изменение ACL разрешений на уровне проекта и уровня коллекции
- Создавать и изменять глобальные списки
- Изменение подписок на события (электронная почта или SOAP).
При настройке через меню разрешение на изменение сведений на уровне экземпляра также неявно позволяет пользователю изменять разрешения управления версиями. Чтобы предоставить все эти разрешения в командной строке, необходимо использовать tf.exe Permission эту команду, чтобы предоставить разрешения AdminConfiguration и AdminConnections в дополнение к GENERIC_WRITE.
Могут выполнять операции от имени других пользователей или служб. Назначайте только для учетных записей служб.
Может активировать события оповещений на уровне сервера. Назначайте только учетным записям служб и участникам группы «Администраторы Team Foundation».
Может использовать все функции локального веб-портала. Это разрешение устарело с Azure DevOps Server 2019 и более поздних версий.
Примечание
Если для параметра " Использовать полный доступ к веб-доступу " задано значение "Запретить", пользователь увидит только те функции, которые разрешены для группы заинтересованных лиц (см. раздел "Изменение уровней доступа"). Запрет переопределяет любые неявные разрешения, даже для учетных записей, являющихся членами административных групп, таких как администраторы Team Foundation.
Может просматривать членство в группах уровня сервера и разрешения этих пользователей.
Примечание
Разрешение на просмотр сведений на уровне экземпляра также назначается группе допустимых пользователей Team Foundation.
Разрешения на уровне организации
Вы управляете разрешениями на уровне организации с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Project администраторам коллекции предоставляются все разрешения на уровне организации. Другие группы уровня организации имеют назначения разрешений.
Примечание
Сведения о включении нового пользовательского интерфейса для разрешений организаций Параметры Page версии 2 см. в разделе "Включение предварительных версий функций". Страница предварительного просмотра предоставляет страницу параметров группы, которую не поддерживает текущая страница.
Разрешение
Описание
Общие сведения
Может изменить параметры трассировки для сбора более подробных диагностических сведений о веб-службах Azure DevOps.
Может добавлять проект в коллекцию организаций или проектов. Дополнительные разрешения могут потребоваться в зависимости от локального развертывания.
Может удалить проект.
Примечание
При удалении проекта будут удалены все данные, связанные с проектом. Удаление проекта невозможно отменить, за исключением восстановления коллекции до точки перед удалением проекта.
Может добавлять пользователей и группы и изменять разрешения на уровне организации для пользователей и групп.
Примечание
Изменение сведений на уровне экземпляра включает возможность выполнять эти задачи для всех проектов, определенных в коллекции:
- Добавлять и администрировать команды и все связанные с ними компоненты
- Изменение разрешений на уровне экземпляра для пользователей и групп в коллекции
- Добавление или удаление групп безопасности на уровне экземпляра из коллекции
- Неявно позволяет пользователю изменять разрешения управления версиями
- Изменение ACL разрешений на уровне проекта и уровня экземпляра
- Изменение подписок на события (электронная почта или SOAP) на событиях уровня проекта или коллекции.
Если задать для параметра "Разрешить изменение сведений на уровне экземпляра", пользователи могут добавлять или удалять группы уровня коллекции и неявно позволяют этим пользователям изменять разрешения управления версиями.
Может просматривать членство в группах и разрешениях на уровне коллекции проектов.
Примечание
Если для этой группы задано разрешение "Запретить или нет" на уровне сведений на уровне экземпляра, пользователи не смогут получить доступ к проектам в коллекции организаций или проектов.
Учетная запись службы
Могут выполнять операции от имени других пользователей или служб. Назначьте это разрешение только локальным учетным записям служб.
Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб.
Примечание
Пользователи с этим разрешением не могут удалять встроенные группы уровня коллекции, такие как администраторы коллекций Project.
Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.
Boards
Может изменять разрешения для настройки отслеживания работы путем создания и настройки унаследованных процессов.
Может создавать наследуемый процесс, используемый для настройки отслеживания работы и Azure Boards. Пользователи, которым предоставлен доступ "Базовый" и "Заинтересованные лица", по умолчанию получают это разрешение.
Может удалить унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards.
Может изменять пользовательский наследуемый процесс.
Repos
Может удалять наборы полок, созданные другими пользователями. Применяется, если TFVC используется в качестве системы управления версиями.
Может создавать и удалять рабочие области для других пользователей. Применяется, если TFVC используется в качестве системы управления версиями.
Могут создавать рабочие области управления версиями. Применяется, если TFVC используется в качестве системы управления версиями.
Примечание
Разрешение на создание рабочей области предоставляется всем пользователям в рамках членства в группе Project Collection Valid Users.
Pipelines
Может изменять разрешения для конвейеров сборки на уровне организации или коллекции проектов. В том числе:
Могут управлять компьютерами, агентами и контроллерами сборки.
Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.
Может просматривать, но не использовать контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.
Test Plans
Могут регистрировать и отменять регистрацию контроллеров тестирования.
Может удалить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе "Создание потоковой передачи аудита".
Может добавить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе "Создание потоковой передачи аудита".
Может просматривать и экспортировать журналы аудита. Журналы аудита доступны в предварительной версии. Дополнительные сведения см. в статьях "Доступ", "Экспорт" и "Фильтрация журналов аудита".
Политики
Может включать и отключать политики подключения приложений, как описано в разделе "Изменение политик подключения приложения".
Разрешения уровня коллекций
Вы управляете разрешениями на уровне коллекции с помощью контекста администрирования веб-портала с помощью команд группы безопасности az devops или программы командной строки TFSSecurity. Project администраторам коллекции предоставляются все разрешения на уровне коллекции. Другие группы уровня коллекции имеют назначения разрешений.
Вы управляете разрешениями на уровне коллекции с помощью контекста администрирования веб-портала или программы командной строки TFSSecurity. Project администраторам коллекции предоставляются все разрешения на уровне коллекции. Другие группы уровня коллекции имеют назначения разрешений.
Разрешения, доступные для Azure DevOps Server 2019 и более поздних версий, зависят от модели процесса, настроенной для коллекции. Общие сведения о моделях процессов см. в разделе "Настройка отслеживания работы".
Наследуемая модель процесса
Модель локального XML-процесса
Разрешение
Описание
Может изменять разрешения для конвейеров сборки на уровне коллекции проектов. Сюда входят следующие артефакты:
Может изменять разрешения для настройки отслеживания работы путем создания и настройки унаследованных процессов. Требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса. См. также
Может удалять наборы полок, созданные другими пользователями. Применяется, если TFVC используется в качестве системы управления версиями.
Может создавать и удалять рабочие области для других пользователей. Применяется, если TFVC используется в качестве системы управления версиями.
Может изменить параметры трассировки для сбора более подробных диагностических сведений о веб-службах Azure DevOps.
Могут создавать рабочие области управления версиями. Применяется, если TFVC используется в качестве системы управления версиями. Это разрешение предоставляется всем пользователям в рамках членства в группе Project Collection Valid Users.
Может добавлять проекты в коллекцию проектов. Дополнительные разрешения могут потребоваться в зависимости от локального развертывания.
Может добавлять проекты в коллекцию проектов. Дополнительные разрешения могут потребоваться в зависимости от локального развертывания.
Может создавать наследуемый процесс, используемый для настройки отслеживания работы и Azure Boards. Требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса.
Может удалить пользовательское поле, добавленное в процесс. Для локальных развертываний требуется настроить коллекцию для поддержки унаследованной модели процессов.
Может удалить унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards. Требуется, чтобы коллекция была настроена для поддержки унаследованной модели процессов.
Может удалить проект.
Примечание
При удалении проекта удаляются все данные, связанные с проектом. Удаление проекта невозможно отменить, за исключением восстановления коллекции до точки перед удалением проекта.
Могут добавлять пользователей и группы, а также изменять разрешения уровня коллекции для пользователей и групп. Изменение сведений на уровне коллекции включает возможность выполнять эти задачи для всех проектов, определенных в коллекции:
- Добавлять и администрировать команды и все связанные с ними компоненты
- Изменение разрешений на уровне коллекции для пользователей и групп в коллекции
- Добавление или удаление групп безопасности на уровне коллекции
- Неявно позволяет пользователю изменять разрешения управления версиями
- Изменение списков управления доступом на уровне проекта и уровня коллекции
- Изменение подписок на события или оповещений (электронная почта или SOAP) для команд, проектов или событий уровня сбора.
При настройке параметра "Изменить сведения на уровне коллекции " значение "Разрешить", пользователи могут добавлять или удалять группы на уровне коллекции и неявно позволяют этим пользователям изменять разрешения управления версиями.
Чтобы предоставить все эти разрешения в командной строке, необходимо использовать
tf.exe permissionкоманду, чтобы предоставить разрешения AdminConfiguration и AdminConnections , а также GENERIC_WRITE.
Может изменять пользовательский унаследованный процесс. Требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса.
Могут выполнять операции от имени других пользователей или служб. Назначьте это разрешение только локальным учетным записям служб.
Могут управлять компьютерами, агентами и контроллерами сборки.
Может скачивать, создавать, изменять и отправлять шаблоны процессов. Шаблон процесса определяет стандартные блоки системы отслеживания рабочих элементов, а также другие подсистемы, к которые вы обращаетесь через Azure Boards. Требуется, чтобы коллекция была настроена для поддержки локальной модели xml-процессов ON=premises.
Могут регистрировать и отменять регистрацию контроллеров тестирования.
Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб. Пользователи с этим разрешением не могут удалять встроенные группы уровня коллекции, такие как администраторы коллекций Project.
Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.
Может просматривать, но не использовать, контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.
Может просматривать членство и разрешения на уровне группы на уровне коллекции проектов.
Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.
Разрешения уровня проекта
Вы управляете разрешениями на уровне проекта с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Project администраторам предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют выбор назначений разрешений.
Примечание
Сведения о включении нового пользовательского интерфейса для страницы Параметры разрешений Project см. в разделе "Включение предварительных версий функций".
Вы управляете разрешениями на уровне проекта с помощью контекста администрирования веб-портала с помощью команд группы безопасности az devops или программы командной строки TFSSecurity. Project администраторам предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют выбор назначений разрешений.
Вы управляете разрешениями на уровне проекта с помощью контекста администрирования веб-портала или программы командной строки TFSSecurity. Project администраторам предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют выбор назначений разрешений.
Примечание
Некоторые разрешения предоставляются членам группы администраторов Project и не отображаются в пользовательском интерфейсе.
Разрешение
Описание
Общие сведения
Может удалить проект из организации или коллекции проектов.
Может изменять описание проекта и видимость служб проекта.
Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить общие сведения о содержимом проекта. Изменение метаданных поддерживается с помощью REST API задания свойств проекта.
Может изменить имя проекта.
Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при переносе массовых обновлений средствами и хотите пропустить создание уведомлений.
Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым были предоставлены правила обхода разрешений на обновления рабочих элементов . Параметр можно задать suppressNotificationstrue для обновления рабочих элементов — обновить REST API.
Может изменить видимость проекта с частной на общедоступную или общедоступную. Применяется только к Azure DevOps Services.
Может просматривать сведения на уровне проекта, включая членство в группах безопасности и разрешения.
Boards
Пользователи с этим разрешением могут сохранить рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, в которых это полезно, — это миграции, в которых не требуется обновлять поля даты и даты при импорте, или если требуется пропустить проверку рабочего элемента.
Правила можно обойти одним из двух способов. Первый — с помощью рабочих элементов — обновите REST API и задайте bypassRules для параметра значение true. Второй — через клиентную объектную модель путем инициализации в режиме обхода (инициализация WorkItemStore с WorkItemStoreFlags.BypassRules).
При сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в статье "Создание унаследованных процессов и управление ими".
Может добавлять теги в рабочий элемент. По умолчанию все члены группы участников имеют это разрешение.
Все пользователи, которым предоставлен доступ заинтересованных лиц для частного проекта, могут добавлять только существующие теги, а не добавлять новые теги, даже если для разрешения на определение тега create задано значение Allow. Это часть параметров доступа заинтересованных лиц. Azure DevOps Services пользователи, которым предоставлен доступ заинтересованных лиц для общедоступного проекта, по умолчанию получают это разрешение.
Может пометить рабочие элементы в проекте как удаленные. Azure DevOps Services пользователи, которым предоставлен доступ заинтересованных лиц для общедоступного проекта, по умолчанию получают это разрешение.
Может перемещать рабочий элемент из одного проекта в другой проект в коллекции.
Может окончательно удалить рабочие элементы из этого проекта.
Аналитика
Можно удалить представления аналитики , сохраненные в общей области.
Может создавать и изменять представления общей аналитики.
Может получить доступ к данным, доступным из службы Аналитики. Дополнительные сведения см. в разделе "Разрешения", необходимые для доступа к службе аналитики.
Test Plans
Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в разделе "Управление продолжительность хранения результатов теста " и "Выполнение ручных тестов".
Может удалить тестовый запуск.
Может создавать и удалять конфигурации тестов.
Может создавать и удалять тестовые среды.
Может просматривать планы тестирования по пути к области проекта.
Разрешения на уровне проекта, доступные для Azure DevOps Server 2019 и более поздних версий, зависят от модели процесса, используемой проектом. Общие сведения о моделях процессов см. в разделе "Настройка отслеживания работы".
Унаследованная модель процесса
Модель локального XML-процесса
Разрешение
Описание
Пользователи с этим разрешением могут сохранить рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, в которых это полезно, — это миграции, в которых не требуется обновлять поля даты и даты при импорте, или если требуется пропустить проверку рабочего элемента.
Правила можно обойти одним из двух способов. Первый — с помощью рабочих элементов — обновите REST API и задайте bypassRules для параметра значение true. Второй — через клиентную объектную модель путем инициализации в режиме обхода (инициализация WorkItemStore с WorkItemStoreFlags.BypassRules).
При сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в статье "Создание унаследованных процессов и управление ими". Требуется, чтобы проект использовал модель наследуемого процесса.
Может добавлять теги в рабочий элемент По умолчанию все члены группы участников имеют это разрешение.
Примечание
Все пользователи, которым предоставлен доступ заинтересованных лиц, могут добавлять только существующие теги, а не добавлять новые теги, даже если для разрешения на определение тега create задано значение Allow. Это часть параметров доступа заинтересованных лиц.
Несмотря на то, что разрешение "Создание тега " отображается в параметрах безопасности на уровне проекта, теги фактически являются разрешениями уровня коллекции, которые находятся на уровне проекта при их отображении в пользовательском интерфейсе.
Чтобы ограничить разрешения тегов для одного проекта при использовании команды TFSSecurity , необходимо указать GUID для проекта в рамках синтаксиса команды.
В противном случае изменение будет применяться ко всей коллекции.
Об этом следует помнить при изменении или установке этих разрешений.
Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в разделе "Управление продолжительность хранения результатов теста " и "Выполнение ручных тестов".
Может пометить рабочие элементы в проекте как удаленные.
- Для TFS 2015.1 и более поздних версий группа "Участники" содержит рабочие элементы на уровне проекта, для которого задано значение Allow по умолчанию.
- Для TFS 2015 и более ранних версий группа "Участники" содержит рабочие элементы в этом проекте на уровне проекта, для которого задано значение "Не задано по умолчанию". Этот параметр приводит к тому, что группа участников наследует значение от ближайшего родительского элемента, который явно задан.
Может изменить параметры трассировки для сбора более подробных диагностических сведений о веб-службах Azure DevOps.
Можно удалить представления аналитики , сохраненные в общей области. Требуется, чтобы проект использовал модель наследуемого процесса.
Может удалить проект из коллекции проектов.
Может удалить тестовый запуск.
Может изменять разрешения на уровне проекта для пользователей и групп. Это разрешение включает возможность выполнения этих задач для проекта:
- Добавлять и администрировать команды и все связанные с ними компоненты
- Изменение разрешений на уровне проекта для пользователей и групп в проекте
- Добавление или удаление групп безопасности на уровне проекта
- Изменение списков управления доступом на уровне проекта
- Изменение подписок на события или оповещений для команд или проекта
Может создавать и изменять представления общей аналитики. Требуется, чтобы проект использовал модель наследуемого процесса.
Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить общие сведения о содержимом проекта. Изменение метаданных поддерживается с помощью REST API задания свойств проекта.
Может создавать и удалять конфигурации тестов.
Может создавать и удалять тестовые среды.
Может перемещать рабочий элемент из одного проекта в другой проект в коллекции. Требуется, чтобы проект использовал модель наследуемого процесса.
Может окончательно удалить рабочие элементы из этого проекта.
Может изменить имя проекта.
Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при переносе массовых обновлений средствами и хотите пропустить создание уведомлений.
Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым были предоставлены правила обхода разрешений на обновления рабочих элементов . Вы можете задать suppressNotifications для параметра значение true при обновлении рабочих элементов с помощью REST API обновления.
Может получить доступ к данным, доступным из службы Аналитики. Дополнительные сведения см. в разделе "Разрешения", необходимые для доступа к службе аналитики. Требуется, чтобы проект использовал модель наследуемого процесса.
Может просматривать членство и разрешения группы на уровне проекта.
Может просматривать планы тестирования по пути к области проекта.
Представления аналитики (уровень объекта)
С помощью общих аналитических представлений вы можете предоставить определенные разрешения на просмотр, изменение или удаление создаваемого представления. Вы управляете безопасностью представлений аналитики с веб-портала.
Для каждого общего представления аналитики определяются следующие разрешения. Всем допустимым пользователям автоматически предоставляются все разрешения на управление представлениями аналитики. Рассмотрите возможность предоставления разрешений на выбор определенных общих представлений другим участникам команды или создаваемой группе безопасности. См. также, что такое представления аналитики?
Разрешение
Описание
Может удалить представление общей аналитики.
Может изменять параметры представления общей аналитики.
Может просматривать и использовать общее представление аналитики с Power BI рабочего стола.
Панели мониторинга (уровень объекта)
Разрешения для панелей мониторинга групп и проектов можно задать по отдельности. Разрешения по умолчанию для команды можно задать для проекта. Вы управляете безопасностью панелей мониторинга на веб-портале.
Project разрешения панели мониторинга
По умолчанию создатель панели мониторинга проекта является владельцем панели мониторинга и предоставляет все разрешения для этой панели мониторинга.
| Разрешение | Описание |
|---|---|
| Удаление панели мониторинга | Может удалить панель мониторинга проекта. |
| Изменение панели мониторинга | Может добавлять мини-приложения и изменять макет панели мониторинга проекта. |
| Управление разрешениями | Может управлять разрешениями для панели мониторинга проекта. |
Разрешения для панелей мониторинга группы можно задать по отдельности. Разрешения по умолчанию для команды можно задать для проекта. Вы управляете безопасностью панелей мониторинга на веб-портале.
Разрешения панели мониторинга группы по умолчанию
По умолчанию администраторам команд предоставляются все разрешения для панелей мониторинга группы, включая управление разрешениями по умолчанию и отдельными панелями мониторинга.
| Разрешение | Описание |
|---|---|
| создание панелей мониторинга; | Может создать панель мониторинга группы. |
| Изменение панелей мониторинга | Может добавлять мини-приложения и изменять макет панели мониторинга группы. |
| Удаление панелей мониторинга | Может удалить панель мониторинга группы. |
Разрешения на панель мониторинга отдельных групп
Администраторы команд могут изменить разрешения для отдельных панелей мониторинга группы, изменив следующие два разрешения.
| Разрешение | Описание |
|---|---|
| Удаление панели мониторинга | Может удалить определенную панель мониторинга группы. |
| Изменение панели мониторинга | Может добавлять мини-приложения и изменять макет определенной панели мониторинга группы. |
Сборка (уровень объекта)
Вы управляете разрешениями сборки для каждой сборки, определенной на веб-портале , или с помощью программы командной строки TFSSecurity. Project администраторам предоставляются все разрешения на сборку и администраторы сборки назначаются большинство этих разрешений. Вы можете задать разрешения сборки для всех определений сборки или для каждого определения сборки.
Разрешения в сборке соответствуют иерархической модели. Значения по умолчанию для всех разрешений можно задать на уровне проекта и могут быть переопределены в отдельном определении сборки.
Чтобы задать разрешения на уровне проекта для всех определений сборки в проекте, выберите "Безопасность " на главной странице центра "Сборки".
Чтобы задать или переопределить разрешения для определенного определения сборки, выберите "Безопасность " в контекстном меню определения сборки.
В сборке определены следующие разрешения. Все эти параметры можно задать на обоих уровнях.
Разрешение
Описание
Могут администрировать разрешения сборки для других пользователей.
Могут удалять определения сборки для проекта.
Могут удалять завершенные сборки. Сборки, удаленные, хранятся на вкладке "Удаленные " в течение определенного периода времени до их уничтожения.
Могут безвозвратно удалять завершенные сборки.
Может сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. Доступно в Azure DevOps Services, Azure DevOps Server 2019 1.1 и более поздних версиях.
Изменение конвейера сборки Может сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. Доступно в Azure DevOps Services, Azure DevOps Server 2019 1.1 и более поздних версиях. Заменяет определение сборки edit.
Изменение определения сборки Может создавать и изменять определения сборки для этого проекта.
Отключение наследования для определения сборки позволяет управлять разрешениями для отдельных определений сборки.
Если наследование имеет значение On, определение сборки учитывает разрешения сборки, определенные на уровне проекта или группы или пользователя. Например, пользовательская группа Build Managers имеет разрешения для ручного помещения сборки в очередь для проекта Fabrikam. Любое определение сборки с включенным наследованием для проекта Fabrikam позволило бы члену группы Build Managers вручную поместить сборку в очередь.
Однако, отключив наследование для проекта Fabrikam, вы можете задать разрешения, которые позволяют только администраторам проектов вручную помещать сборки в очередь для конкретного определения сборки. В последствии это позволило бы задать разрешения конкретно для этого определения сборки.
Может добавлять сведения о качестве сборки с помощью Team Explorer или веб-портала.
Могут добавлять и удалять качества сборки. Применяется только к сборкам XAML.
Может отменять, повторно изменять или откладывать сборки, помещенные в очередь. Применяется только к сборкам XAML.
Может зафиксировать набор изменений TFVC, который влияет на определение шлюза сборки, не запуская систему для отложения и создания изменений в первую очередь.
Разрешение «Переопределение проверки возврата по построению» следует присваивать только учетным записям служб для служб сборки и администраторам сборки, ответственным за качество кода. Применяется к сборкам TFVC, встраиваемых при регистрации. Это не относится к сборкам pr. Дополнительные сведения см. в разделе "Возврат в папку, управляемую процессом сборки с использованием шлюза".
Может поместить сборку в очередь через интерфейс для Team Foundation Build или в командной строке. Они могут также останавливать сборки, поставленные в очередь.
Может переключать флажок сохранения на неопределенный срок в сборке. Эта функция помечает сборку, чтобы система не удаляла ее автоматически на основе любой применимой политики хранения.
Могут останавливать любые выполняющиеся сборки, включая поставленные в очередь и запущенные другим пользователем.
Могут добавлять в систему узлы сведений о сборке, а также сведения о качестве сборки. Назначайте только для учетных записей служб.
Может просматривать определения сборки, созданные для проекта.
Может просматривать готовые и завершенные сборки для этого проекта.
Репозиторий Git (уровень объекта)
Вы управляете безопасностью каждого репозитория иливетви Git с веб-портала, программы командной строки TF или с помощью программы командной строки TFSSecurity. Project администраторам предоставляются большинство этих разрешений (которые отображаются только для проекта, настроенного с репозиторием Git). Вы можете управлять этими разрешениями для всех репозиториев Git или для определенного репозитория Git.
Настройте разрешения для всех репозиториев Git, внося изменения в запись репозиториев Git верхнего уровня.
Отдельные репозитории наследуют разрешения от записи репозиториев Git верхнего уровня. Ветви наследуют разрешения от назначений, выполненных на уровне репозитория.
По умолчанию группы читателей уровня проекта имеют только разрешения на чтение.
Разрешение
Описание
Может согласиться на переопределение политик ветвей, проверив политики переопределения ветвей и включите слияние при завершении запроса на вытягивание.
Примечание
Обход политик при выполнении запросов на вытягивание и обход политик при принудительной отправке замены из принудительного применения политики. Применяется к Azure DevOps Server версии 2019 и более поздних версий.
Может отправляться в ветвь с включенными политиками ветви. Когда пользователь с этим разрешением выполняет push-уведомление, которое переопределяет политику ветвей, отправка автоматически обходит политику ветвей без шага или предупреждения.
Примечание
Обход политик при выполнении запросов на вытягивание и обход политик при принудительной отправке замены из принудительного применения политики. Применяется к Azure DevOps Server версии 2019 и более поздних версий.
На уровне репозитория можно отправлять изменения в существующие ветви в репозитории и выполнять запросы на вытягивание. Пользователи, не имеющие этого разрешения, но имеющие разрешение "Создать ветвь ", могут отправлять изменения в новые ветви. Не переопределяет ограничения на основе политик ветвей.
На уровне ветви можно отправлять изменения в ветвь и блокировать ветвь. Блокировка ветви блокирует добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.
Может создавать, комментировать и голосовать за запросы на вытягивание.
Может создавать и публиковать ветви в репозитории. Отсутствие этого разрешения не ограничивает пользователей созданием ветвей в локальном репозитории; это просто предотвращает публикацию локальных ветвей на сервере.
Примечание
Когда пользователь создает новую ветвь на сервере, он по умолчанию имеет разрешения "Участие", "Изменить политики", "Принудительно отправить", "Управление разрешениями" и "Удалить блокировки других" для этой ветви. Это означает, что пользователи могут добавлять новые фиксации в репозиторий через свою ветвь.
Может создавать новые репозитории. Это разрешение доступно только в диалоговом окне "Безопасность" для объекта репозиториев Git верхнего уровня.
Может отправлять теги в репозиторий.
Может удалить репозиторий. На уровне репозиториев Git верхнего уровня можно удалить любой репозиторий.
Может изменять политики для репозитория и его ветвей.
Может обходить политики ветвей и выполнять следующие два действия:
- Переопределите политики ветвей и полные PR, не удовлетворяющие политике ветви
- Отправка непосредственно в ветви с установленными политиками ветви
Примечание
Применяется к TFS 2015 по TFS 2018 с обновлением 2. (В Azure DevOps он заменяется следующими двумя разрешениями: обход политик при выполнении запросов на вытягивание и обхода политик при отправке.
Может принудительно обновить ветвь, удалить ветвь и изменить журнал фиксаций ветви. Может удалять теги и заметки.
Может отправлять и редактировать заметки Git.
Может задавать разрешения для репозитория.
Может клонировать, извлекать, извлекать, извлекать и изучать содержимое репозитория.
Может удалять блокировки ветвей, заданные другими пользователями. Блокировка ветви блокирует добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.
Может изменить имя репозитория. Если задано в записи репозиториев Git верхнего уровня, можно изменить имя любого репозитория.
Примечание
Настройте разрешения для всех репозиториев Git, внося изменения в запись репозиториев Git верхнего уровня. Отдельные репозитории наследуют разрешения от записи репозиториев Git верхнего уровня. Ветви наследуют разрешения от назначений, выполненных на уровне репозитория. По умолчанию группы читателей уровня проекта имеют только разрешения на чтение.
Сведения об управлении разрешениями репозитория Git и ветви см. в разделе "Настройка разрешений ветви".
TFVC (уровень объекта)
Вы управляете безопасностью каждой ветви TFVC с веб-портала или с помощью программы командной строки TFSSecurity. Project администраторам предоставляются большинство этих разрешений, которые отображаются только для проекта, настроенного для использования система управления версиями Team Foundation в качестве системы управления версиями. В разрешениях управления версиями явное значение «Запретить» имеет преимущество над разрешениями группы администратора.
Эти разрешения отображаются только для установки проекта, чтобы использовать система управления версиями Team Foundation в качестве системы управления версиями.
В разрешениях управления версиями явное значение «Запретить» имеет преимущество над разрешениями группы администратора.
Разрешение
Описание
Администрирование меток
Могут изменять и удалять метки, созданные другими пользователями.
Синхронизация
Может возвращать элементы и изменять любые зафиксированные примечания набора изменений. Ожидающие изменения вносятся во время возврата.
Примечание
Рассмотрите возможность добавления этих разрешений для всех пользователей или групп, добавленных вручную, которые способствуют разработке проекта; все пользователи, которые должны иметь возможность возвратить и извлечь изменения, внести ожидающие изменения в элементы в папке или изменить любые зафиксированные комментарии к набору изменений.
Возврат изменений других пользователей
Могут возвращать изменения, сделанные другими пользователями. Ожидающие изменения вносятся во время возврата.
Ознакомьтесь (до TFS 2015)
Изменение в рабочей области сервера (TFS 2017 и более поздних версий)
Могут извлекать и вносить ожидающие изменения в элементах папки. Примеры ожидающих изменений: добавление, изменение, переименование, отмена удаления, ветвление и слияние файла. Ожидающие изменения должны быть возвращены, поэтому пользователям также потребуется разрешение на возврат для обмена своими изменениями с командой.
Примечание
Рассмотрите возможность добавления этих разрешений для всех пользователей или групп, добавленных вручную, которые способствуют разработке проекта; все пользователи, которые должны иметь возможность возвратить и извлечь изменения, внести ожидающие изменения в элементы в папке или изменить любые зафиксированные комментарии к набору изменений.
Метка
Могут помечать элементы.
Могут блокировать и разблокировать папки и файлы. Отслеживаемую папку или файл можно заблокировать или разблокировать, чтобы запретить или восстановить привилегии пользователя. К разрешениям относятся права на извлечение элемента для редактирования в другой рабочей области или возврат ожидающих изменений элемента из другой рабочей области. Дополнительные сведения см. в разделе "Команда блокировки".
Управление ветвями
Может преобразовать любую папку под этим путем в ветвь, а также выполнить следующие действия в ветви: изменить его свойства, повторно открыть ее и преобразовать в папку. Пользователи с таким разрешением могут разветвлять эту ветвь, только если они уже имеют разрешение Объединить для целевого пути. Пользователи не могут создавать ответвления от ветви, для которой они не имеют разрешения Управление ветвями.
Управление разрешениями
Могут управлять разрешениями других пользователей для папок и файлов в системе управления версиями.
Примечание
Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность создавать собственные ветви, если для проекта не применяются более строгие правила разработки.
Могут сливать изменения по этому пути.
Примечание
Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность слияния исходных файлов, если для проекта не применяются более строгие правила разработки.
Чтение
Могут читать содержимое файла или папки. Если пользователь имеет разрешения Чтение для папки, он может просматривать содержимое папки и свойства файлов в ней, даже если он не имеет разрешения на открытие файлов.
Пересмотр изменений других пользователей
Могут изменять комментарии в возвращенных файлах, даже если другой пользователь вернул этот файл.
Примечание
Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.
Отмена слияния изменений других пользователей
Могут отменять ожидающие изменения других пользователей.
Примечание
Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.
Разблокирование изменений других пользователей
Могут разблокировать файлы, заблокированные другими пользователями.
Примечание
Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.
Путь к области (уровень объекта)
Разрешения пути к области предоставляют или ограничивают доступ к ветвям иерархии областей и рабочим элементам в этих областях. Вы управляете безопасностью каждого пути к области с веб-портала или с помощью программы командной строки TFSSecurity. Разрешения области предоставляют или ограничивают доступ для создания путей к областям и управления ими, а также создания и изменения рабочих элементов, определенных в путях области.
Членам группы администраторов Project автоматически предоставляются разрешения на управление путями к областям для проекта. Рассмотрите возможность предоставления администраторам команд или командам разрешений на создание, изменение или удаление узлов областей.
Примечание
Несколько команд могут участвовать в проекте. В этом случае можно настроить команды, связанные с областью. Разрешения для рабочих элементов группы назначаются путем назначения разрешений области. Существуют другие параметры команды , которые настраивают гибкие средства планирования команды.
Разрешение
Описание
Могут создавать узлы областей. Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел ", могут перемещать или изменять порядок всех дочерних узлов.
Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, которые могут потребоваться удалить, добавить или переименовать узлы области вручную.
Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел " для другого узла, могут удалять узлы областей и переклассифицировать существующие рабочие элементы из удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.
Примечание
Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, которые могут потребоваться удалить, добавить или переименовать узлы области вручную.
Могут задавать разрешения для этого узла и переименовывать узлы областей.
Примечание
Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, которые могут потребоваться удалить, добавить или переименовать узлы области вручную.
Могут изменять рабочие элементы этого узла областей.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо изменять рабочие элементы в узле областей.
Могут изменять свойства плана тестирования, например настройки сборки и тестирования.
Примечание
Рассмотрите возможность добавления разрешений "Управление наборами тестов" для всех пользователей или групп вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле.
Может создавать и удалять наборы тестов, добавлять и удалять тестовые случаи из наборов тестов, изменять конфигурации тестов, связанные с наборами тестов, и изменять иерархию наборов (переместить набор тестов).
Рассмотрите возможность добавления разрешений "Управление наборами тестов" для всех пользователей или групп вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле.
Могут просматривать настройки безопасности этого узла.
Могут просматривать (но не изменять) рабочие элементы в этом узле областей.
Примечание
Если в этом узле для рабочих элементов представлениязадано значение Deny, пользователь не сможет увидеть какие-либо рабочие элементы в этом узле области. Запрет переопределяет любые неявные разрешения, даже для пользователей, являющихся членами административных групп.
Путь итерации (уровень объекта)
Разрешения пути итерации предоставляют или ограничивают доступ для создания путей итерации и управления итерациями, которые также называются спринтами.
Вы управляете безопасностью каждого пути итерации с веб-портала или с помощью программы командной строки TFSSecurity.
Членам группы администраторов Project автоматически предоставляются эти разрешения для каждой итерации, определенной для проекта. Рассмотрите возможность предоставления администраторам команд, мастерам scrum или командам разрешения на создание, изменение или удаление узлов итерации.
Разрешение
Описание
Могут создавать узлы итераций. Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел ", могут перемещать или изменять порядок всех дочерних узлов итерации.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.
Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел " для другого узла, могут удалять узлы итерации и переклассифицировать существующие рабочие элементы из удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.
Могут задавать разрешения для этого узла и переименовывать узлы итераций.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.
Могут просматривать настройки безопасности этого узла.
Примечание
Члены коллекции Project допустимых пользователей, Project допустимых пользователей или любой пользователь или группа, у которого есть сведения на уровне коллекции или просмотр сведений на уровне проекта, могут просматривать разрешения любого узла итерации.
Запрос рабочего элемента и папка запроса (уровень объекта)
Вы управляете разрешениями папки запросов и запросов с помощью веб-портала. Project администраторам предоставляются все эти разрешения. Участникам предоставляются только разрешения на чтение. Предоставляйте разрешения участника пользователям и группам, которым требуется возможность создания запросов рабочих элементов проекта и предоставления совместного доступа к этим запросам.
Предоставляйте разрешения участника пользователям и группам, которым требуется возможность создания запросов рабочих элементов проекта и предоставления совместного доступа к этим запросам. Дополнительные сведения см. в статье "Настройка разрешений на запросы".
Примечание
Для создания диаграмм запросов требуется базовый доступ.
Разрешение
Описание
Могут просматривать и изменять запрос или папку запросов.
Могут удалить запрос или папку запросов и их содержимое.
Могут управлять разрешениями для запроса или папки запросов.
Могут просматривать и использовать данный запрос или запросы в папке, но не могут изменять запрос или содержимое папки запросов.
Планы доставки (уровень объекта)
Вы управляете разрешениями плана с помощью веб-портала. Вы управляете разрешениями для каждого плана с помощью диалогового окна "Безопасность". Project администраторам предоставляются все разрешения на создание, изменение и управление планами. Допустимые пользователи получают разрешения на просмотр (только для чтения).
Разрешение
Описание
Может удалить выбранный план.
Может изменять конфигурацию и параметры, определенные для выбранного плана.
Может управлять разрешениями для выбранного плана.
Может просматривать списки планов, открывать и взаимодействовать с планом, но не может изменять конфигурацию или параметры плана.
Процесс (уровень объекта)
Вы можете управлять разрешениями для каждого наследуемого процесса, создаваемого на веб-портале. Вы управляете разрешениями для каждого процесса с помощью диалогового окна "Безопасность". Project администраторам коллекции предоставляются все разрешения на создание, изменение и управление процессами. Допустимые пользователи получают разрешения на просмотр (только для чтения).
Разрешение
Описание
Может задавать или изменять разрешения для унаследованного процесса.
Может удалить унаследованный процесс.
Может создавать унаследованный процесс из системного процесса, копировать или изменять унаследованный процесс.
Теги рабочих элементов
Вы можете управлять разрешениями тегов с помощью az devops security permission или средств командной строки TFSSecurity . Участники могут добавлять теги в рабочие элементы и использовать их для быстрого фильтрации невыполненной работы, доски или представления результатов запроса.
Разрешения тегов можно управлять с помощью программы командной строки TFSSecurity. Участники могут добавлять теги в рабочие элементы и использовать их для быстрого фильтрации невыполненной работы, доски или представления результатов запроса.
Разрешение
Описание
Могут создавать новые теги и применять их к рабочим элементам. Пользователи без этого разрешения могут выбирать только существующий набор тегов для проекта.
Примечание
По умолчанию участникам назначается разрешение на создание определения тега . Несмотря на то, что разрешение "Создание тега " отображается в параметрах безопасности на уровне проекта, теги фактически являются разрешениями уровня коллекции, которые находятся на уровне проекта при их отображении в пользовательском интерфейсе. Чтобы ограничить разрешения тегов для одного проекта при использовании программы командной строки, необходимо указать GUID для проекта в рамках синтаксиса команды. В противном случае изменение будет применяться ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.
Могут удалять теги из списка доступных тегов проекта.
Примечание
Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки. Кроме того, нет пользовательского интерфейса для явного удаления тега. Вместо этого, если тег не использовался в течение 3 дней, система автоматически удаляет его.
Может просматривать список тегов, доступных для рабочего элемента в проекте. Пользователи без этого разрешения не будут иметь доступа к списку тегов, из которых можно выбирать, в форме рабочего элемента или в редакторе запросов.
Примечание
Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки. Сведения на уровне проекта представления неявно позволяют пользователям просматривать существующие теги.
Могут переименовывать теги с помощью API REST.
Примечание
Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки.
Выпуск (уровень объекта)
Вы управляете разрешениями для каждого выпуска, определенного на веб-портале. Project администраторам и администраторам выпуска предоставляются все разрешения на управление выпусками. Эти разрешения могут быть предоставлены или запрещены в иерархической модели на уровне проекта, для определенного конвейера выпуска или для определенной среды в конвейере выпуска. В этой иерархии разрешения могут наследоваться от родительского или переопределенного.
Примечание
Группа администратора выпуска уровня проекта создается одновременно с определением первого конвейера выпуска.
Кроме того, вы можете назначить утверждающих определенным шагам в конвейере выпуска, чтобы убедиться, что развернутые приложения соответствуют стандартам качества.
Следующие разрешения определены в Release Management. В столбце области объясняется, можно ли задать разрешение на уровне проекта, конвейера выпуска или среды.
Разрешение
Описание
Области действия
Может изменить любые другие разрешения, перечисленные здесь.
Project, конвейер выпуска, среда
Может создавать новые выпуски.
Project, конвейер выпуска
Может удалять конвейеры выпуска.
Project, конвейер выпуска
Может удалять среды в конвейерах выпуска.
Project, конвейер выпуска, среда
Может удалять выпуски для конвейера.
Project, конвейер выпуска
Может добавлять и изменять конвейер выпуска, включая переменные конфигурации, триггеры, артефакты и политику хранения, а также конфигурацию в среде конвейера выпуска. Чтобы внести изменения в определенную среду в конвейере выпуска, пользователю также требуется разрешение на изменение среды выпуска .
Project, конвейер выпуска
Может изменять среды в конвейерах выпуска. Чтобы сохранить изменения в конвейере выпуска, пользователю также требуется разрешение на изменение конвейера выпуска . Это разрешение также определяет, может ли пользователь изменять конфигурацию в среде определенного экземпляра выпуска. Пользователю также требуется разрешение "Управление выпусками " для сохранения измененного выпуска.
Project, конвейер выпуска, среда
Может инициировать прямое развертывание выпуска в среде. Это разрешение предназначено только для прямых развертываний, инициированных вручную путем выбора действия развертывания в выпуске. Если для среды задано условие любого типа автоматического развертывания, система автоматически инициирует развертывание без проверки разрешения пользователя, создавшего выпуск.
Project, конвейер выпуска, среда
Может добавлять или изменять утверждающих сред в конвейерах выпуска. Это разрешение также определяет, может ли пользователь изменять утверждающих в среде определенного экземпляра выпуска.
Project, конвейер выпуска, среда
Может изменять конфигурацию выпуска, например этапы, утверждающие и переменные. Чтобы изменить конфигурацию конкретной среды в экземпляре выпуска, пользователю также требуется разрешение на изменение среды выпуска .
Project, конвейер выпуска
Может просматривать конвейеры выпуска.
Project, конвейер выпуска
Может просматривать выпуски, принадлежащие конвейерам выпуска.
Project, конвейер выпуска
Значения по умолчанию для всех этих разрешений задаются для коллекций командных проектов и групп проектов. Например, Project администраторы коллекций, администраторы Project и администраторы выпуска по умолчанию получают все указанные выше разрешения. Участникам предоставляются все разрешения, кроме администрирования разрешений на выпуск. Читатели по умолчанию запрещают все разрешения, кроме просмотра конвейера выпуска и просмотра выпусков.
Разрешения группы задач (сборка и выпуск)
Вы управляете разрешениями для групп задач из центра сборки и выпуска веб-портала. Project, администраторы сборки и выпуска получают все разрешения. Разрешения группы задач соответствуют иерархической модели. Значения по умолчанию для всех разрешений могут быть заданы на уровне проекта и могут быть переопределены для определения отдельной группы задач.
Группы задач используются для инкапсуляции последовательности задач, уже определенных в определении сборки или выпуска, в одну многократно используемую задачу. Вы определяете группы задач и управляете ими на вкладке "Группы задач " центра сборки и выпуска .
| Разрешение | Описание |
|---|---|
| Администрирование разрешений группы задач | Может добавлять и удалять пользователей или группы в безопасность группы задач. |
| Удаление группы задач | Может удалить группу задач. |
| Изменение группы задач | Может создавать, изменять или удалять группу задач. |
Уведомления или оповещения
Нет разрешений пользовательского интерфейса, связанных с управлением уведомлениями электронной почты или оповещениями. Вместо этого вы можете управлять ими с помощью az devops security permission или средств командной строки TFSSecurity .
Нет разрешений пользовательского интерфейса, связанных с управлением уведомлениями электронной почты или оповещениями. Вместо этого они могут управлять ими с помощью программы командной строки TFSSecurity .
- По умолчанию участники группы участников уровня проекта могут подписаться на оповещения самостоятельно.
- Члены группы администраторов коллекций Project или пользователи, у которых есть сведения об изменении уровня коллекции, могут задавать оповещения в этой коллекции для других пользователей или для команды.
- Участники группы администраторов Project или пользователи, имеющие сведения об изменении уровня проекта, могут задавать оповещения в этом проекте для других пользователей или команды.
С помощью TFSSecurity можно управлять разрешениями на оповещения.
Действие TFSSecurity
Пространство имен TFSSecurity
Описание
Администраторы коллекций Project&
Учетные записи службы коллекции проектов
CREATE_SOAP_SUBSCRIPTION
EventSubscription
Могут создать подписку на веб-службу на базе SOAP.
✔️
GENERIC_READ
EventSubscription
Может просматривать события подписки, определенные для проекта.
✔️
GENERIC_WRITE
EventSubscription
Могут создать оповещения для других пользователей или для команды.
✔️
UNSUBSCRIBE
EventSubscription
Могут отменить подписку на события.
✔️
Похожие статьи
- Начало работы с разрешениями, доступом и группами безопасности
- Средства управления безопасностью и разрешениями
- Учетные записи служб и зависимости
- Добавление пользователей в организацию (Azure DevOps Services)
- Добавление пользователей в команду или проект
- Добавление пользователей в роль администратора
- Создание пользователя администратором команды
- Устранение неполадок с разрешениями