更改组织或集合级别的权限

  • 项目

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

在组织或集合级别设置多个权限。 可以通过将用户或组添加到 Project Collection Administrators 组来授予这些权限。 或者,你可以向自定义安全组或用户授予选择集合级别权限。

组织是多个共享资源的项目的容器。 有关项目和项目集合的详细信息,请参阅 规划组织结构

项目集合是多个共享资源的项目的容器。 有关项目和项目集合的详细信息,请参阅 “关于项目”和“缩放组织”。

有关相关信息,请参阅以下文章:

注意

所有安全组都是组织级实体,即使是那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会因用户权限而受到限制。 但是,可以使用 Azure devops CLI 工具或 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 添加和管理安全组

注意

所有安全组都是集合级实体,即使是那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会因用户权限而受到限制。 但是,可以使用 Azure devops CLI 工具或 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 添加和管理安全组

注意

所有安全组都是集合级实体,即使是那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会因用户权限而受到限制。 但是,可以使用 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 添加和管理安全组

集合级别权限

下表列出了在组织或集合级别分配的权限。 除 代表其他权限发出请求 外,所有这些权限都将授予 Project Collection Administrators 组的成员。 有关每个权限的说明,请参阅 权限和组引用、组

常规

  • 改变跟踪设置
  • 创建新项目
  • 删除团队项目
  • 编辑实例级别信息
  • 查看实例级别信息

服务帐户

  • 代表他人发出请求
  • 触发事件
  • 查看系统同步信息

Boards

  • 管理进程权限
  • 创建过程
  • 从组织或帐户中删除字段
  • 删除过程
  • 编辑过程
  • 从组织或帐户中删除字段

Repos (TFVC)

  • 管理搁置的更改
  • 管理工作区
  • 创建工作区

管道

  • 管理生成资源权限
  • 管理生成资源
  • 管理管道策略
  • 使用生成资源
  • 查看生成资源
  • 管理生成资源权限
  • 管理生成资源
  • 使用生成资源
  • 查看生成资源

测试计划

  • 管理测试控制器

审核

  • 删除审核流
  • 管理审核流
  • 查看审核日志

策略

  • 管理企业策略

先决条件

  • 若要在组织或集合级别管理权限或组,你必须是 Project Collection Administrators 安全组的成员。 如果创建了组织或集合,则会自动添加为此组的成员。 若要添加到此组,需要从 Project Collection Administrators 组的成员请求权限。 请参阅 查找项目集合管理员
  • 如果要添加在 Azure Active Directory 或 Active Directory 中定义的安全组,请确保首先定义这些安全组。 若要了解详细信息,请参阅 将 AD/Azure AD 用户或组添加到内置安全组

注意

添加到 项目范围的用户组 的用户无法访问大多数 组织设置 页面,包括 权限。 若要了解详细信息,请参阅 “管理组织”、“限制项目的用户可见性”等

此外,授予 利益干系人 访问权限的用户将无法访问选择功能,即使向这些功能授予了权限也是如此。 若要了解详细信息,请参阅 权限和访问权限

注意

授予 利益干系人 访问权限的用户将无法访问选择功能,即使向这些功能授予了权限也是如此。 若要了解详细信息,请参阅 权限和访问权限

将成员添加到 Project Collection Administrators 组

可以将已添加到项目、组织或集合的用户添加到 Project Collection Administrators 组,或者组织或集合级别的任何其他组。 若要添加自定义安全组,请先按照 “添加或删除用户或组”中所述创建组,管理安全组。

下面介绍如何将用户添加到内置的 Project Collection Administrators 组。 此方法类似于添加 Azure Active Directory 或 Active Directory 组。

注意

若要为 “组织权限设置”页 v2 启用新的用户界面,请参阅 “启用预览功能”。

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 若要选择其他项目,请参阅 “切换项目”、“存储库”、“团队”。

  2. 选择 “组织设置” ,然后选择 “权限”。

    Choose Organization settings, and then Permissions

  3. 选择 “项目管理员 ”组、 “成员”,然后选择 “添加”。

    Project Settings > Permissions, Add member

  4. 在文本框中输入用户帐户或自定义安全组的名称,然后从显示的匹配项中进行选择。 可以将系统识别的多个标识输入 到“添加用户和/或组” 框中。 系统会自动搜索匹配项。 选择满足你选择的匹配项。

    Add users and group dialog, preview page.

  5. 选择“保存” 。

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 若要选择其他项目,请参阅 “切换项目”、“存储库”、“团队”。

  2. 选择 “项目设置” ,然后选择 “安全性”。

    若要查看完整图像,请单击以展开

    Project Settings>Security

  3. 选择 “项目管理员 ”组、 “成员”,然后选择 “添加”。

    Project Settings>Security, Add member

  4. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。 选择符合你选择的匹配 () 。

    Add users and group dialog, on-premises.

  5. 选择“保存更改”。 选择 刷新图标以查看添加内容。

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 若要选择其他项目,请参阅 “切换项目”、“存储库”、“团队”。

  2. 选择 齿轮图标以打开管理上下文。

    Open Project Settings, horizontal nav

  3. 选择 “安全性”、“ 项目管理员 ”组、 “成员”,然后选择 “添加”。

    Project Settings>Security, Add member

  4. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。 选择符合你选择的匹配 () 。

    Add users and group dialog, TFS 2018 and earlier versions.

    注意

    具有有限访问权限的用户(如利益干系人)将无法访问选择功能,即使已授予这些功能的权限。 若要了解详细信息,请参阅 权限和访问权限

  5. 选择“保存更改”。 选择 刷新图标以查看添加内容。

更改组的权限

可以更改任何项目级组的项目级别权限。 添加到项目的每个团队将自动添加为项目级组。 若要向项目添加安全组,请参阅 添加或删除用户或组,管理安全组。 若要了解权限分配和继承,请参阅 “关于权限”、“权限”状态

注意

若要为 “组织权限设置”页 v2 启用新的用户界面,请参阅 “启用预览功能”。

  1. 按上一部分所述打开 “权限 ”页, 将用户或组添加到项目管理员组

    注意

    无法更改 项目集合管理员 组的权限设置。 这是设计的结果。

  2. 从“ 权限 ”页中,选择要更改其权限的组。

    例如,此处我们选择 “利益干系人有限 ”组,并更改多个权限。

    Screenshot of Collection-level Prmissions for a selected group, preview page.

    更改会自动保存。

  1. 按上一部分所述打开 “安全 ”页, 将用户或组添加到 Project Collection Administrators 组

  2. “安全 ”页中,选择要更改其权限的组。

    例如,此处我们选择 “利益干系人有限 ”组,并更改多个权限。

    Screenshot of Collection-level Prmissions for a selected group, current page.

  3. 选择“保存更改”。

更改用户的权限

可以更改特定用户的集合级别权限。 若要了解权限分配和继承,请参阅 “关于权限”、“权限”状态

注意

若要为 “组织权限设置”页 v2 启用新的用户界面,请参阅 “启用预览功能”。

  1. 按上一部分所述打开 “权限 ”页, 将用户或组添加到项目管理员组

  2. 从“ 权限 ”页中,选择“ 用户”,然后选择要更改其权限的用户。

    Screenshot of Users tab, choose a user.

  3. “权限 ”页中,更改一个或多个权限的分配。

    例如,此处我们更改了 Christie Church 的 “编辑项目级”信息

    Screenshot of selected users, Permissions.

    完成后关闭对话框。 更改会自动保存。

  1. 按上一部分所述打开 “安全 ”页, 将用户或组添加到 Project Administrators 组

  2. “安全 ”页的“ 筛选用户和组” 文本框中,输入要更改其权限的用户的名称。

  3. 更改一个或多个权限的分配。

    例如,此处我们更改了 Christie Church 的 “编辑项目级”信息

    Screenshot of selected user , change Edit project-level information permission level.

  4. 选择“保存更改”。

本地部署

有关本地部署,请参阅以下其他文章:

如果本地部署与 SQL Server 报表集成,则需要独立于其网站管理这些产品的成员身份。 请参阅 授予在 TFS 中查看或创建 SQL Server 报表的权限

常见问题

问:何时需要将某人添加到项目集合管理员角色?

答:视情况而定。 对于使用 Azure DevOps 的大多数组织,Project Collection Administrators 管理 Team Foundation Administrators 组成员创建的集合。 Project Collection Administrators 组的成员不会自行创建集合。 项目集合管理员还执行维护集合所需的许多操作。 操作包括创建团队项目、将用户添加到组、修改集合的设置等。

问:跨所有组件和依赖项管理项目集合的最佳权限是什么?

答:项目集合管理员必须是以下组的成员或具有以下权限:

  • Team Foundation Server: Project Collection Administrators 组的成员,或具有相应的 集合级别权限 设置为 “允许”。

  • SharePoint 产品:如果集合配置了网站集资源,则 为网站集管理员 组的成员。

  • Reporting Services:如果集合配置了报告资源,则 为 Team Foundation 内容管理器 组的成员。

问:我是管理员,但我无权添加项目集合管理员。 我需要做好哪些准备?

答:需要以下权限:

  • 必须是项目集合管理员,或者视图Server-Level信息和编辑Server-Level信息权限必须设置为“允许”。

  • 若要添加 SharePoint 产品的权限,您必须是 SharePoint 产品的 网站集管理员场管理员 组的成员。

  • 若要添加 Reporting Services 的权限,你必须是 Reporting Services 的内容管理器Team Foundation 内容管理器 组的成员。

重要

若要执行管理任务,如创建项目集合,用户需要管理权限。 Team Foundation 后台作业代理使用的服务帐户必须向其授予某些权限。 有关详细信息,请参阅 Team Foundation Server 和 Team Foundation 后台作业代理中的服务帐户和依赖项

后续步骤

管理项目