Azure DevOps 中的安全组、服务帐户和权限

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

本文针对每个内置用户、组和权限提供了全面的参考。 它有很多信息描述了每个内置安全用户和组以及每个权限。

有关默认分配的快速参考,请参阅 “默认权限和访问权限”。 有关如何管理权限和安全性的概述,请参阅 权限、访问权限和安全组入门。 除了安全组,还有 一些安全角色,这些角色为选择区域提供权限。

若要了解如何将用户添加到组或设置可通过 Web 门户管理的特定权限,请参阅以下资源:


注意

从 Web 门户看到的图像可能与本主题中看到的图像不同。 这些差异源于对 Azure DevOps 进行的更新。 但是,除非明确提及,否则可用的基本功能保持不变。

服务帐户

系统生成的几个服务帐户支持特定操作。 其中包括下表中所述的这些内容。 这些用户帐户在组织或集合级别添加。

用户名 描述
代理池服务 有权侦听特定池接收工作的消息队列。 在大多数情况下,你不必管理此组的成员。 代理注册过程会为你处理它。 注册代理时,会自动添加为代理 (通常网络服务) 的服务帐户。 负责在更新 GitHub 对象时执行 Azure Boards 读/写操作和更新工作项。
Azure Boards 在 Azure Boards 连接到 GitHub 时添加。 你不必管理此组的成员。 负责管理 GitHub 与 Azure Boards 之间的链接创建。
PipelinesSDK 根据需要添加以支持 Pipelines 策略服务范围令牌。 此用户帐户类似于生成服务标识,但支持单独锁定权限。 实际上,涉及此标识的令牌被授予对管道资源的只读权限,以及一次性批准策略请求的能力。 应以处理生成服务标识的方式处理此帐户。
ProjectName 生成服务 有权运行项目的生成服务。 这是用于 XAML 生成的旧用户。 它添加到安全服务组,用于存储已授予权限但未添加到任何其他安全组的用户。
项目集合生成服务: 有权运行集合的生成服务。 它添加到安全服务组,用于存储已授予权限但未添加到任何其他安全组的用户。

可以直接向个人或组授予权限。 使用组会使事情更加简单。 系统为此提供了多个内置组。 这些组及其分配的默认权限在不同级别定义:服务器 (本地部署仅) 、项目集合、项目和特定对象。 还可以创建自己的组,并向其授予适合组织中特定角色的特定权限集。

注意

所有安全组都是组织级实体,即使是那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会根据用户权限受到限制。 但是,可以使用 azure devops CLI 工具或 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 “添加和管理安全组”。

注意

所有安全组都是集合级实体,甚至那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会根据用户权限受到限制。 但是,可以使用 azure devops CLI 工具或 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 “添加和管理安全组”。

注意

所有安全组都是集合级实体,甚至那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会根据用户权限受到限制。 但是,可以使用 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 “添加和管理安全组”。

服务器级组

安装 Azure DevOps Server 时,系统会创建具有 部署范围、服务器级权限的默认组。 不能删除或删除内置服务器级组。

Screenshot of Azure DevOps Security group dialog.

ADMIN_GROUPS_PERMISSIONS

无法删除或删除默认服务器级别组。

组名

权限

成员资格

Azure DevOps 服务帐户

具有服务器实例的服务级别权限。

包含安装过程中提供的服务帐户

本组应只包含服务帐户,而不应包含用户帐户或含有用户帐户的组。 默认情况下,此组是 Team Foundation Administrators 的成员。

如果在安装 Azure DevOps Server 或 TFS 后需要向此组添加帐户,则可以在 TFS 安装目录 的工具 子文件夹中使用TFSSecurity.exe实用工具。 执行此操作的命令是 TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Azure DevOps 有效用户

有权查看服务器实例级信息。

包含已知存在于服务器实例中的所有用户。 无法修改此组的成员身份。

Team Foundation Administrators

有权执行所有服务器级操作。

本地管理员 组 (BUILTIN\Administrators) 托管 Azure DevOP/Team Foundation 应用程序服务的任何服务器。

服务器\Team Foundation 服务帐户 组和 \Project Server Integration Service Accounts 组的成员。

此组应限制为需要对服务器级操作进行总管理控制的用户数量最少。

注意

如果部署使用 SharePoint 或 Reporting,请考虑 将此组的成员添加到 SharePoint 中的场管理员和网站集管理员组,以及 Reporting Services 中的 Team Foundation 内容管理器组。

组名

权限

成员资格

Team Foundation Administrators

有权执行所有服务器级操作。

本地管理员 组 (BUILTIN\Administrators) 托管 Azure DevOP/Team Foundation 应用程序服务的任何服务器。

服务器\Team Foundation 服务帐户 组和 \Project Server Integration Service Accounts 组的成员。

此组应限制为需要对服务器级操作进行总管理控制的用户数量最少。

注意

如果部署使用 SharePoint 或 Reporting,请考虑 将此组的成员添加到 SharePoint 中的场管理员和网站集管理员组,以及 Reporting Services 中的 Team Foundation 内容管理器组。

Team Foundation 代理服务帐户

具有 Team Foundation Server 代理的服务级别权限和一些服务级别权限。

注意

安装 TFS 代理服务时会创建此帐户。

本组应只包含服务帐户,而不应包含用户帐户或含有用户帐户的组。

Team Foundation Service Accounts

具有服务器实例的服务级别权限。

包含安装过程中提供的服务帐户

本组应只包含服务帐户,而不应包含用户帐户或含有用户帐户的组。 默认情况下,此组是 Team Foundation Administrators 的成员。

如果在安装 Azure DevOps Server 或 TFS 后需要向此组添加帐户,则可以在 TFS 安装目录 的工具 子文件夹中使用TFSSecurity.exe实用工具。 执行此操作的命令是 TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Team Foundation Valid Users

有权查看服务器实例级信息。

注意

如果将 视图实例级信息 权限设置为 “拒绝 ”或 “未为此组设置 ”,则用户将无法访问部署。

包含已知存在于服务器实例中的所有用户。 无法修改此组的成员身份。

项目服务器集成服务账户   

具有 Project Server 部署的服务级别权限,这些部署配置为与服务器实例和某些 TFS 服务级别权限进行交互。

注意

安装 Project Service 集成时创建。

本组应只包含服务帐户,而不应包含用户帐户或含有用户帐户的组。 默认情况下,此组是 Team Foundation Administrators 的成员。

SharePoint Web Application Services

具有 SharePoint Web 应用程序的服务级别权限,这些应用程序配置为与 TFS 一起使用,以及 TFS 的一些服务级别权限。

本组应只包含服务帐户,而不应包含用户帐户或含有用户帐户的组。 与服务帐户组不同,此组不是 Team Foundation 管理员的成员。

注意

其中每个组的完整名称是 [Team Foundation]\{group name}。 因此,服务器级别管理员组的全名是 [Team Foundation]\Team Foundation Administrators

集合级别组

在 Azure DevOps 中创建组织或项目集合时,系统会创建在该 集合中具有权限的集合级别组。 不能删除或删除内置集合级组。

注意

若要为“组织权限设置”页 v2 启用新的用户界面,请参阅 “启用预览功能”。 预览页提供当前页未使用的组设置页。

Screenshot of Project collection groups, new user interface.

Screenshot of Project collection groups, on-premises versions.

其中每个组的全名是 [{collection name}]\{group name}。 因此,默认集合的管理员组的完整名称为 [默认集合]\Project Collection Administrators

组名

权限

成员资格

Project Collection Administrators

有权对集合执行所有操作。

包含已安装应用程序层服务的服务器的 本地管理员 组 (BUILTIN\Administrators) 。 此外,还包含 CollectionNameService/Accounts 组的成员。 在本组中,应将需要对集合进行总体管理控制的用户数限制为可能的最小值。 对于 Azure DevOps,请分配给自定义工作跟踪的管理员。

注意

如果部署使用 Reporting Services,请考虑将此组的成员添加到 Reporting Services 中的 Team Foundation 内容管理器组

Project Collection Build Administrators

有权管理集合的生成资源和权限。

尽可能将本组需要对生成服务器和本集合的服务进行总体管理控制的用户的数量限制为最少。

Project Collection Build Service Accounts

有权运行集合的生成服务。

将本组限制为仅包含服务账户的服务账户和组。 这是用于 XAML 生成的旧组。 使用 Project Collection Build Service ({your organization}) 用户管理当前生成的权限。

Project Collection Proxy Service Accounts

有权为集合运行代理服务。

将本组限制为仅包含服务账户的服务账户和组。

Project Collection Service Accounts

具有集合和Azure DevOps Server的服务级别权限。

包含安装过程中提供的服务账户。 此组应仅包含服务帐户和那些仅包含服务帐户的组。 默认情况下,此组是管理员组的成员。

Project Collection Test Service Accounts

具有集合的测试服务权限。

将本组限制为仅包含服务账户的服务账户和组。

Project Collection Valid Users

有权访问团队项目并查看集合中的信息。

包含已添加到集合中的任何位置的所有用户和组。 你不能修改本组的成员资格。

Project-Scoped用户

只有有限的访问权限才能查看组织设置和项目,而不是他们特别添加到的项目。 此外,人员选取器选项仅限于已显式添加到用户连接到的项目的用户和组。

如果要限制用户对显式向其添加的这些项目的可见性和访问权限,请将用户添加到此组。 如果用户也添加到Project集合管理员组,请不要将用户添加到此组。

注意

当启用了组织级别预览功能、限制用户可见性和对特定项目的协作时,Project范围的用户组将变为受限访问权限。 若要了解详细信息,请参阅 “管理组织”,限制项目的用户可见性等

安全组

用于存储已授予权限但未添加到任何其他安全组的用户。

不要将用户分配到此组。 如果要从所有安全组中删除用户,请检查是否需要从此组中删除用户。

项目级组

对于创建的每个项目,系统将创建以下项目级组。 这些组分配了 项目级权限

注意

若要为Project权限设置页启用新的用户界面,请参阅“启用预览功能”。

Choose Project settings, and then Permissions

若要查看完整图像,请单击以展开

Project Settings>Security - Azure DevOps Server

Project-level groups and permissions, TFS-2018 and earlier versions.

提示

其中每个组的完整名称为 [{project name}]\{group name}。 例如,名为“My Project”的项目的参与者组为 [My Project]\Contributors

组名

权限

成员资格

生成管理员

有权管理项目的生成资源和生成权限。 成员可以管理测试环境、创建测试运行和管理生成。

分配给定义和管理生成管道的用户。

作者

有权完全参与项目代码库和工作项跟踪。 他们没有的主要权限是那些管理或管理资源的权限。

默认情况下,创建项目时创建的团队组将添加到此组,并且添加到团队或项目的任何用户都是此组的成员。 此外,为项目创建的任何团队都添加到此组。

读取者

有权查看项目信息、代码库、工作项和其他项目,但不能修改它们。

分配给要向项目提供仅查看权限的组织或集合的成员。 这些用户可以查看积压工作、板、仪表板等,但不能添加或编辑任何内容。

Project管理员

有权管理团队和项目的所有方面,尽管他们无法创建团队项目。

分配给管理用户权限、创建或编辑团队、修改团队设置、定义迭代路径或自定义工作项跟踪的用户。 Project管理员组的成员被授予执行以下任务的权限:

项目有效用户

有权访问和查看项目信息。

包含已添加到项目的任意位置的所有用户和组。 你不能修改本组的成员资格。

注意

建议不要更改此组的默认权限。

发布管理员

有权管理所有发布操作。

分配给定义和管理发布管道的用户。

注意

在定义第一个发布管道的同时创建发布管理员组。 默认情况下,创建项目时不会创建它。

TeamName

有权完全参与项目代码库和工作项跟踪。 创建项目时会创建默认团队组,默认情况下会添加到项目的“参与者”组。 你创建的所有新团队还会为自己创建一个组并将其添加到参与者组。

将团队成员添加到此组。 若要授予配置团队设置的权限, 请将团队成员添加到团队管理员角色

团队管理员角色

对于添加的每个团队,可以将一个或多个团队成员分配为管理员。 团队管理员角色不是具有一组已定义权限的组。 相反,团队管理员角色负责管理团队资产。 若要了解详细信息,请参阅 管理团队并配置团队工具。 若要将用户添加为团队管理员,请参阅 “添加团队管理员”。

注意

Project管理员可以为所有团队管理所有团队管理区域。

权限

系统管理不同级别(服务器、集合、项目或对象)的权限,并默认将它们分配给一个或多个内置组。 可以通过 Web 门户管理大多数权限。

服务器级别权限

可以通过 Team Foundation 管理控制台TFSSecurity 命令行工具管理服务器级权限。 Team Foundation 管理员被授予所有服务器级权限。 其他服务器级组具有选择权限分配。

Screenshot of Server-level permissions.

权限

说明

管理仓库

可以使用数据仓库控制 Web 服务处理或更改数据仓库或SQL Server分析多维数据集的设置。

可能需要其他权限才能完全处理或 重新生成数据仓库和分析多维数据集

创建项目集合

可以创建和管理集合。

删除项目集合

可以从部署中删除集合。

注意

删除集合不会从 SQL Server 中删除集合数据库。

编辑实例级信息

可以编辑用户和组的服务器级权限,并从集合中添加或删除服务器级别组。

注意

编辑实例级信息 包括为实例定义的所有集合中定义的所有团队项目执行这些任务的功能:

  • 创建和修改区域和迭代
  • 编辑签入政策
  • 编辑共享的工作项查询
  • 编辑项目级别和集合级别权限 ACL
  • 创建和修改全局列表
  • (电子邮件或 SOAP) 编辑 事件订阅

通过菜单进行设置时, “编辑实例级信息 ”权限还隐式允许用户修改版本控制权限。 若要在命令提示符下授予所有这些权限,除了GENERIC_WRITE之外,还必须使用 tf.exe Permission 该命令授予 AdminConfigurationAdminConnections 权限。

代表其他人发出请求

可代表其他用户或服务执行操作。 仅分配给服务账户。

触发器事件

可以触发服务器级警报事件。 仅分配给服务账户和 Team Foundation Administrators 组的成员。

使用完整的 Web 访问功能

可以使用所有本地 Web 门户功能。 此权限已弃用 Azure DevOps Server 2019 及更高版本。

注意

如果将 “使用完整 Web 访问 功能”权限设置为“拒绝”,则用户只会看到 利益干系人 组允许的这些功能, (请参阅 “更改访问级别 ”) 。 拒绝将替代任何隐式允许,即使对于属于管理组成员(如 Team Foundation Administrators)的帐户也是如此。

查看实例级信息

可以查看服务器级别组成员身份和这些用户的权限。

注意

“查看实例级信息”权限也分配给 Team Foundation Valid Users 组。

组织级权限

可以通过 Web 门户管理上下文 或使用 az devops 安全组 命令管理组织级权限。 Project集合管理员被授予所有组织级权限。 其他组织级别组具有选择权限分配。

注意

若要为“组织权限”设置页面 v2 启用新的用户界面,请参阅“启用预览功能”。 预览页提供当前页未使用的组设置页。

Screenshot of Organization-level permissions and groups, Azure DevOps Services.

权限

说明

常规

更改跟踪设置

可以更改跟踪设置,以收集有关 Azure DevOps Web 服务的更详细的诊断信息。

(以前创建新团队项目)

可以将 项目添加到 组织或项目集合。 可能需要其他权限,具体取决于本地部署。

删除团队项目

可以 删除项目

注意

删除项目将删除与项目关联的所有数据。 除非将集合还原到删除项目之前某个点,否则无法撤消项目的删除。

编辑实例级信息

可以添加用户和组,以及编辑用户和组的组织级别权限。

注意

编辑实例级信息包括为集合中定义的所有项目执行这些任务的功能:

  • 添加和管理团队以及所有团队相关功能
  • 编辑集合中用户和组的实例级权限
  • 添加或删除集合中的实例级安全组
  • 隐式允许用户修改版本控制权限
  • 编辑项目级别和实例级权限 ACL
  • 编辑项目或集合级别事件 (电子邮件或 SOAP) 的事件订阅

“编辑实例级信息 ”设置为 “允许”时,用户可以添加或删除集合级组,并隐式允许这些用户修改版本控制权限。

查看实例级信息
或查看集合级信息

可以查看项目集合级组成员身份和权限。

注意

如果将 视图实例级信息 权限设置为 “拒绝 ”或 “未为此组设置 ”,则用户将无法访问组织或项目集合中的项目。

服务帐户

  

代表其他人发出请求

可代表其他用户或服务执行操作。 仅将此权限分配给本地 服务帐户

触发器事件

可触发集合内的项目警报事件。 仅分配给服务账户。

注意

具有此权限的用户无法删除内置集合级别组,例如Project集合管理员。

查看系统同步信息

可调用同步应用程序编程接口。 仅分配给服务账户。

Boards

 

管理进程权限

可以通过创建和自定义 继承的进程来修改自定义工作跟踪的权限。

创建过程

可以创建用于自定义工作跟踪和Azure Boards的继承过程。 默认情况下,授予基本和利益干系人访问权限的用户将被授予此权限。

从组织中删除字段

删除进程

可以删除用于自定义工作跟踪和Azure Boards的继承过程

编辑过程

可以编辑 自定义继承的进程

Repos

  

管理搁置更改

可以删除 其他用户创建的货架集。 当 TFVC 用作源代码管理时适用。

管理工作区

可以为 其他用户创建和删除工作区。 当 TFVC 用作源代码管理时适用。

创建工作区

可创建版本控制工作区。 当 TFVC 用作源代码管理时适用。

注意

“创建工作区”权限作为其项目集合有效用户组成员身份的一部分授予所有用户。

管道

  

管理生成资源权限

可以修改组织或项目集合级别的生成管道的权限。 这包括:

管理生成资源

可管理生成计算机、生成代理和生成控制器。

使用生成资源

可保留和分配生成代理。 仅分配给生成服务的服务账户。

查看生成资源

可以查看但不能使用为组织或项目集合配置的生成控制器和生成代理。

Test Plans

管理测试控制器

可注册和取消注册测试控制器。

审核

删除审核流

可以删除审核流。 审核流处于预览状态。 有关详细信息,请参阅 创建审核流式处理

管理审核流

可以添加审核流。 审核流处于预览状态。 有关详细信息,请参阅 创建审核流式处理

查看审核日志

可以查看和导出审核日志。 审核日志处于预览状态。 有关详细信息,请参阅 Access、导出和筛选审核日志

策略

管理企业策略

可以启用和禁用应用程序连接策略,如 更改应用程序连接策略中所述。

集合级别权限

使用 az devops 安全组命令或 TFSSecurity 命令行工具,通过 Web 门户管理上下文管理集合级权限。 项目集合管理员被授予所有集合级权限。 其他集合级别组具有选择权限分配。

可以通过 Web 门户管理上下文TFSSecurity 命令行工具管理集合级权限。 项目集合管理员被授予所有集合级权限。 其他集合级别组具有选择权限分配。

Azure DevOps Server 2019 及更高版本可用的权限因为集合配置的进程模型而异。 有关流程模型的概述,请参阅 自定义工作跟踪

继承的进程模型

本地 XML 流程模型

Screenshot of Collection level permissions, on-premises, Inherited process model.

Screenshot of Collection level permissions, on-premises, On-premises XML process model.

Collection level permissions and groups

权限

说明

管理生成资源权限

可以在项目集合级别修改生成管道的权限。 这包括以下项目:

管理进程权限

可以通过创建和自定义 继承的进程来修改自定义工作跟踪的权限。 要求将集合配置为支持继承的进程模型。 另请参阅:

管理搁置的更改

可以删除 其他用户创建的货架集。 当 TFVC 用作源代码管理时适用。

管理工作区

可以为 其他用户创建和删除工作区。 当 TFVC 用作源代码管理时适用。

更改跟踪设置

可以 更改跟踪设置 ,以收集有关 Azure DevOps Web 服务的更详细的诊断信息。

创建工作区

可创建版本控制工作区。 当 TFVC 用作源代码管理时适用。 此权限作为其项目集合有效用户组成员身份的一部分授予所有用户。

(以前创建新团队项目)

可以将 项目添加到项目集合。 可能需要其他权限,具体取决于本地部署。

(以前创建新团队项目)

可以将 项目添加到项目集合。 可能需要其他权限,具体取决于本地部署。

创建过程

可以 创建用于 自定义工作跟踪和 Azure Boards 的继承过程。 要求将集合配置为支持继承的进程模型。

从组织中删除字段 (以前从帐户中删除字段)

可以 删除已添加到进程的自定义字段。 对于本地部署,需要将集合配置为支持继承的进程模型。

可以删除用于自定义工作跟踪和Azure Boards的继承过程。 要求将集合配置为支持继承的进程模型。

删除团队项目

可以 删除项目

注意

删除项目会删除与项目关联的所有数据。 不能撤消删除项目,除非将集合还原到删除项目前的某个点。

可添加用户和组,并且可编辑用户和组的集合级别权限。 编辑集合级别信息包括为集合中定义的所有项目执行这些任务的功能:

  • 添加和管理团队以及所有团队相关功能
  • 编辑集合中用户和组的集合级别权限
  • 添加或删除集合级别的安全组
  • 隐式允许用户修改版本控制权限
  • 编辑项目级别和集合级别权限 ACL
  • 编辑 团队、项目或 集合级别事件 (电子邮件或 SOAP) 的事件订阅或警报。 将 “编辑集合级别信息 ”设置为 “允许”时,用户可以添加或删除集合级组,并隐式地允许这些用户修改版本控制权限。 若要在命令提示符下授予所有这些权限,除了GENERIC_WRITE之外,还必须使用 tf.exe permission 命令授予 AdminConfigurationAdminConnections 权限。

编辑过程

可以编辑 自定义继承的进程。 要求将集合配置为支持继承的进程模型。

代表他人发出请求

可代表其他用户或服务执行操作。 仅将此权限分配给本地 服务帐户

管理生成资源

可管理生成计算机、生成代理和生成控制器。

管理过程模板

可以 下载、创建、编辑和上传进程模板。 流程模板定义工作项跟踪系统的构建基块以及通过Azure Boards访问的其他子系统。 要求将集合配置为支持 ON=premises XML 进程模型。

管理测试控制器

可注册和取消注册测试控制器。

触发器事件

可触发集合内的项目警报事件。 仅分配给服务账户。 具有此权限的用户无法删除内置集合级别组,例如Project集合管理员。

使用生成资源

可保留和分配生成代理。 仅分配给生成服务的服务账户。

查看生成资源

可以查看为组织或项目集合配置的生成控制器和生成代理,但不能使用。

查看实例级别信息
或查看集合级别信息

可以查看项目集合级组成员身份和权限。

查看系统同步信息

可调用同步应用程序编程接口。 仅分配给服务账户。

项目级别的权限

可以通过 Web 门户管理上下文 或使用 az devops 安全组 命令管理项目级权限。 Project管理员被授予所有项目级权限。 其他项目级组具有选择权限分配。

注意

若要为Project权限设置页启用新的用户界面,请参阅“启用预览”功能

可以使用 az devops 安全组命令或 TFSSecurity 命令行工具通过 Web 门户管理上下文管理项目级权限。 Project管理员被授予所有项目级权限。 其他项目级组具有选择权限分配。

可以通过 Web 门户管理上下文TFSSecurity 命令行工具管理项目级权限。 Project管理员被授予所有项目级权限。 其他项目级组具有选择权限分配。

注意

Project管理员组的成员授予多个权限,并且不会显示在用户界面中。

权限

说明

常规

删除团队项目

可以从组织或项目集合 中删除项目

编辑项目级信息

可以编辑 项目说明项目服务可见性

管理项目属性

可以为项目提供或编辑元数据。 例如,用户可以提供有关项目内容的高级信息。 通过 “设置项目属性 REST API”支持更改元数据。

重命名项目

禁止显示工作项更新的通知

具有此权限的用户无需生成通知即可更新工作项。 当按工具执行批量更新迁移并想要跳过生成通知时,这非常有用。

请考虑向已授予 工作项更新权限的绕过规则 的服务帐户或用户授予此权限。 可以通过工作项更新时将参数true设置为 suppressNotifications- 更新 REST API

更新项目可见性

可以将 项目可见性 从专用更改为公共可见性,也可以将公共可见性更改为专用。 仅适用于Azure DevOps Services。

查看项目级信息

可以查看项目级信息,包括安全信息组成员身份和权限。

Boards

绕过工作项更新规则

具有此权限的用户可以保存忽略为工作项类型定义的规则(如 复制、约束或条件规则)的工作项。 这非常有用的方案是迁移,你不想在导入时更新按/日期字段,或者想要跳过工作项验证的情况。

可以通过以下两种方式之一绕过规则。 第一个是通过 工作项 - 更新 REST API 并将参数设置为 bypassRulestrue。 第二种是通过客户端对象模型,在旁路模式下初始化 (使用WorkItemStoreFlags.BypassRules) 初始化WorkItemStore

项目更改过程

与“编辑项目级信息”权限结合使用时,允许用户更改项目的继承过程。 若要了解详细信息,请参阅 创建和管理继承的进程

创建标记定义

可以将标记添加到工作项。 默认情况下,参与者组的所有成员都具有此权限。

授予专用项目的利益干系人访问权限的所有用户只能添加现有标记,而不能添加新标记,即使 “创建标记定义 ”权限设置为“允许”。 这是利益干系人访问设置的一部分。 默认情况下,向 Azure DevOps Services 用户授予公共项目的利益干系人访问权限。

删除和还原工作项

或删除此项目中的工作项

可以将 项目中的工作项标记为已删除。 默认情况下,向 Azure DevOps Services 用户授予公共项目的利益干系人访问权限。

将工作项移出此项目

永久删除此项目中的工作项

分析

删除共享分析视图

可以删除已保存在共享区域下的 Analytics 视图

编辑共享分析视图

可以创建和修改 共享分析视图

查看分析

可以访问 Analytics 服务提供的数据。 有关详细信息,请参阅 访问 Analytics 服务所需的权限

Test Plans

创建测试运行

可添加和移除测试结果以及添加或修改测试运行。 若要了解详细信息,请参阅 控制保留测试结果运行手动测试的时间。

删除测试运行

可以 删除测试运行

管理测试配置

可以创建和删除 测试配置

管理测试环境

可以创建和删除 测试环境

查看测试运行

可以在项目区域路径下查看测试计划。

可用于 Azure DevOps Server 2019 及更高版本的项目级别权限因项目使用的进程模型而异。 有关流程模型的概述,请参阅 自定义工作跟踪

继承的进程模型

本地 XML 流程模型

Project-level permissions, on-premises, Inherited process model

Project-level permissions, on-premises, On-premises XML process model

Screenshot of Project-level permissions dialog, TFS-2018 and earlier versions.

权限

说明

绕过工作项更新规则

具有此权限的用户可以保存忽略为工作项类型定义的规则(如 复制、约束或条件规则)的工作项。 这非常有用的方案是迁移,你不想在导入时更新按/日期字段,或者想要跳过工作项验证的情况。
可以通过以下两种方式之一绕过规则。 第一个是通过 工作项 - 更新 REST API 并将参数设置为 bypassRulestrue。 第二种是通过客户端对象模型,在旁路模式下初始化 (使用WorkItemStoreFlags.BypassRules) 初始化WorkItemStore

项目更改过程

与“编辑项目级信息”权限结合使用时,允许用户更改项目的继承过程。 若要了解详细信息,请参阅 创建和管理继承的进程。 要求项目使用继承的进程模型。

创建标记定义

可以将标记添加到工作项 默认情况下,参与者组的所有成员都具有此权限。

注意

授予利益干系人访问权限的所有用户只能添加现有标记,而不能添加新标记,即使 “创建标记定义 ”权限设置为 “允许”。 这是利益干系人访问设置的一部分。
尽管 “创建标记定义 ”权限出现在项目级别的安全设置中,但标记权限实际上是在用户界面中显示的项目级别权限的集合级别权限。 若要在使用 TFSSecurity 命令时限定对单个项目的标记权限,必须将项目的 GUID 作为命令语法的一部分提供。 否则,更改将应用于整个集合。 在更改或设置这些权限时,请牢记这一点。

可添加和移除测试结果以及添加或修改测试运行。 若要了解详细信息,请参阅 控制保留测试结果运行手动测试的时间。

删除和还原工作项或
删除此项目中的工作项

可以将 项目中的工作项标记为已删除

  • 对于 TFS 2015.1 及更高版本,参与者组默认将项目级别设置为“允许”的“删除”和还原工作项
  • 对于 TFS 2015 及更早版本,“参与者”组在项目级别设置为“默认未设置”的此项目中具有“删除”工作项。 此设置会导致参与者组从显式设置的最接近的父级继承该值。

更改跟踪设置

可以更改跟踪设置,以便收集有关 Azure DevOps Web 服务的更详细的诊断信息。

删除共享分析视图

可以删除已保存在共享区域下的 Analytics 视图 。 要求项目使用继承的进程模型。

删除项目

删除测试运行

可以删除测试运行。

编辑项目级信息

可以编辑用户和组的项目级别权限。 此权限包括为项目执行这些任务的功能:

  • 添加和管理团队以及所有团队相关功能
  • 编辑项目中用户和组的项目级权限
  • 添加或删除项目级安全组
  • 编辑项目级别权限 ACL
  • 编辑团队或项目的 事件订阅 或警报

编辑共享分析视图

可以创建和修改 共享分析视图。 要求项目使用继承的进程模型。

管理项目属性

可以为项目提供或编辑元数据。 例如,用户可以提供有关项目内容的高级信息。 通过 “设置项目属性 REST API”支持更改元数据。

管理测试配置

可以创建和删除 测试配置

管理测试环境

可以创建和删除 测试环境

将工作项移出此项目

可以将 工作项从一个项目移到集合中的另一个项目 。 要求项目使用继承的进程模型。

永久删除此项目中的工作项

重命名项目

禁止显示工作项更新的通知

具有此权限的用户无需生成通知即可更新工作项。 当按工具执行批量更新迁移并想要跳过生成通知时,这非常有用。
请考虑向已授予 工作项更新权限的绕过规则 的服务帐户或用户授予此权限。 可以在通过工作项更新工作时将参数true设置为 suppressNotifications- 更新 REST API

查看分析

可以访问 Analytics 服务提供的数据。 有关详细信息,请参阅 访问 Analytics 服务所需的权限。 要求项目使用继承的进程模型。

查看项目级信息

可以查看项目级别组成员身份和权限。

可以在项目区域路径下查看测试计划。

分析视图 (对象级)

使用共享分析视图,可以授予查看、编辑或删除所创建的视图的特定权限。 可以从 Web 门户管理 Analytics 视图的安全性。

Shared Analytics view security dialog, change permissions for a user.

Manage Shared Analytics view security dialog, change permissions for a user, Azure DevOps Server.

为每个共享分析视图定义以下权限。 所有有效用户都会自动授予管理 Analytics 视图的所有权限。 请考虑向创建的其他团队成员或安全组授予特定共享视图的选择权限。 另请参阅分析 视图是什么

权限

说明

删除共享分析视图

可以删除共享分析视图。

编辑共享分析视图

可以更改共享分析视图的参数。

查看共享分析视图

可以从Power BI桌面查看和使用共享分析视图。

仪表板 (对象级)

可以单独设置团队和项目仪表板的权限。 可以为项目设置团队的默认权限。 从 Web 门户管理仪表板的安全性。

Project仪表板权限

Screenshot of Project dashboard permissions dialog

默认情况下,项目仪表板的创建者是仪表板所有者,并授予该仪表板的所有权限。

权限 说明
删除仪表板 可以删除项目仪表板。
编辑仪表板 可以向项目仪表板添加小组件并更改布局。
管理权限 可以管理项目仪表板的权限。

可以单独设置团队仪表板的权限。 可以为项目设置团队的默认权限。 从 Web 门户管理仪表板的安全性。

团队仪表板默认权限

Screenshot of Team dashboard permissions dialog.

默认情况下,团队管理员为其团队仪表板授予所有权限,包括管理默认仪表板和单个仪表板权限。

权限 说明
创建仪表板 可以创建团队仪表板。
编辑仪表板 可以向团队仪表板添加小组件并更改布局。
删除仪表板 可以删除团队仪表板。

单个团队仪表板权限

Screenshot of individual team dashboard permissions dialog.

团队管理员可以通过更改以下两个权限来更改单个团队仪表板的权限。

权限 说明
删除仪表板 可以删除特定团队仪表板。
编辑仪表板 可以向特定团队仪表板添加小组件并更改布局。

生成 (对象级)

你可以管理 Web 门户中定义的每个生成 或使用 TFSSecurity 命令行工具的生成权限。 Project管理员被授予所有生成权限,并且“生成管理员”分配了其中大多数权限。 可以为所有生成定义或每个生成定义设置生成权限。

Screenshot of Build object-level permissions dialog.

Screenshot of Build object-level permissions dialog, Azure DevOps Server 2019 and earlier on-premises versions.

生成中的权限遵循分层模型。 所有权限的默认值可以在项目级别设置,并且可以在单个生成定义上重写。

若要在项目中的所有生成定义的项目级别设置权限,请从生成中心的主页上的操作栏中选择 “安全性 ”。

若要设置或替代特定生成定义的权限,请从生成定义的上下文菜单中选择 “安全性 ”。

生成中定义了以下权限。 这两个级别都可以设置所有这些设置。

权限

说明

管理生成权限

可管理其他用户的生成权限。

删除生成定义

可删除此项目的生成定义。

删除生成

可以删除已完成的生成。 删除的 生成在销毁 前一段时间保留在 “已删除 ”选项卡中。

销毁生成

可永久删除完整生成。

编辑生成管道

可以保存对生成管道的任何更改,包括配置变量、触发器、存储库和保留策略。 可用于 Azure DevOps Services、Azure DevOps Server 2019 1.1 及更高版本。

编辑生成管道
生成定义

编辑生成管道 可以保存对生成管道的任何更改,包括配置变量、触发器、存储库和保留策略。 可用于 Azure DevOps Services、Azure DevOps Server 2019 1.1 及更高版本。 替换“编辑生成定义”。
编辑生成定义 可以为此项目创建和修改生成定义。

想控制特定生成定义的权限时,必须将生成定义的“继承”置于“关闭”。

继承为 On 时,生成定义遵循在项目级别或组或用户定义的生成权限。 例如,自定义“生成管理器”组的权限设置为手动将 Fabrikam 项目的生成排入队列。 Fabrikam 项目的继承处于“打开”状态时的任何生成定义均将使“生成管理器”组的成员具有手动将生成排入队列的能力。

然而,如果把 Fabrikam 项目的“继承”置于“关闭”状态,则你可设置仅允许“项目管理员”手动为特定生成定义将生成排入队列的权限。 这将使我能专门为该生成定义设置权限。

编辑生成质量

可以通过团队资源管理器或 Web 门户添加有关生成质量的信息。

管理生成质量

可添加或移除生成质量。 仅适用于 XAML 生成

管理生成队列

可以取消、重新排列或推迟排队生成。 仅适用于 XAML 生成

按生成替代签入验证

可以提交影响封闭生成定义的 TFVC 更改集,而无需触发系统先搁置并生成其更改。

将“重写由生成执行的签入验证”权限只分配给生成服务的服务账户以及对代码质量负责的生成管理员。 适用于 TFVC 封闭的签入版本。 这不适用于 PR 版本。 有关详细信息,请参阅 签入到受封闭签入生成过程控制的文件夹

队列生成

可以通过 Team Foundation Build 的接口或在命令提示符处将生成放入队列中。 他们还可以停止已排队的生成。

无限期保留

可以在生成中无限期切换保留标志。 此功能标记生成,以便系统不会根据任何适用的保留策略自动将其删除。

停止生成

可停止任何正在进行的生成,包括由另一个用户进行排列和启用的生成。

更新生成信息

可将生成信息节点添加到系统,也可以添加生成质量的相关信息。 仅分配给服务账户。

查看生成定义

可以查看为项目创建的生成定义。

查看生成

可以查看此项目的排队和已完成生成。

Git 存储库 (对象级)

可以通过 Web 门户、TF 命令行工具或使用 TFSSecurity 命令行工具管理每个 Git 存储库分支的安全性。 Project管理员授予了大部分这些权限 (仅针对使用 Git 存储库配置的项目) 。 可以管理所有 Git 存储库或特定 Git 存储库的这些权限。

Git repository permissions dialog

Git repository permissions dialog, TFS

通过更改顶级 Git 存储库条目来设置所有 Git 存储库 的权限。

单个存储库从顶级 Git 存储库 条目继承权限。 分支从存储库级别所做的分配继承权限。

默认情况下,项目级别读取器组仅具有读取权限。

权限

说明

完成拉取请求时绕过策略

可以通过检查 替代分支策略并在完成 PR 时启用合并来选择替代分支策略

注意

在完成拉取请求时绕过策略,在推送替换“免除策略强制时绕过策略。 适用于 Azure DevOps Server 2019 及更高版本。

推送时绕过策略

可以推送到启用了分支策略的分支。 当具有此权限的用户发出将替代分支策略的推送时,推送会自动绕过分支策略,且没有选择加入步骤或警告。

注意

在完成拉取请求时绕过策略,在推送替换“免除策略强制时绕过策略。 适用于 Azure DevOps Server 2019 及更高版本。

参与

在存储库级别,可以将更改推送到存储库中的现有分支,并可以完成拉取请求。 缺少此权限但具有 “创建分支 ”权限的用户可能会将更改推送到新分支。 不要替代 分支策略中的限制。

在分支级别,可以将更改推送到分支并锁定分支。 锁定分支会阻止其他人将任何新提交添加到分支,并阻止其他用户更改现有提交历史记录。

参与拉取请求

可以创建、评论和投票拉取请求。

创建分支

可以在存储库中创建和发布分支。 缺少此权限不会限制用户在本地存储库中创建分支;它只会阻止它们将本地分支发布到服务器。

注意

当用户在服务器上创建新分支时,默认情况下,他们具有“参与”、“编辑策略”、“强制推送”、“管理权限”和“删除其他人的锁定”权限。 这意味着用户可以通过其分支向存储库添加新提交。

创建存储库

可以创建新的存储库。 此权限仅适用于顶级 Git 存储库 对象的“安全”对话框。

创建标记

可以将标记推送到存储库。

删除存储库

可以删除存储库。 在顶级 Git 存储库 级别,可以删除任何存储库。

编辑策略

可以编辑存储库及其分支的策略。

免除策略强制实施

可以绕过分支策略并执行以下操作:

  • 重写分支策略并完成不符合分支策略的 PR
  • 直接推送到已设置分支策略的分支

注意

适用于 TFS 2015 到 TFS 2018 Update 2。 (在Azure DevOps中,它将替换为以下两个权限:在完成拉取请求时绕过策略,并在推送时绕过策略

强制推送 (重写历史记录、删除分支和标记)

可以强制更新分支、删除分支和修改分支的提交历史记录。 可以删除标记和备注。

管理备注

可以推送和编辑 Git 笔记。

管理权限

可以设置存储库的权限。

可以克隆、提取、拉取和浏览存储库的内容。

删除其他人的锁

可以删除其他用户设置 的分支锁 。 锁定分支会阻止其他人将任何新提交添加到分支,并阻止其他用户更改现有提交历史记录。

重命名存储库

可以更改存储库的名称。 在顶级 Git 存储库 条目中设置时,可以更改任何存储库的名称。

注意

通过更改顶级 Git 存储库条目来设置所有 Git 存储库 的权限。 单个存储库从顶级 Git 存储库 条目继承权限。 分支从存储库级别所做的分配继承权限。 默认情况下,项目级别读取器组仅具有读取权限。

若要管理 Git 存储库和分支权限,请参阅 设置分支权限

TFVC (对象级)

可以通过 Web 门户 或使用 TFSSecurity 命令行工具管理每个 TFVC 分支的安全性。 Project管理员授予了大部分这些权限,这些权限仅针对配置为使用Team Foundation 版本控制作为源代码管理系统的项目显示。 在版本控制权限中,显式拒绝任务优先于管理员组权限。

这些权限仅适用于项目设置,以便将Team Foundation 版本控制用作源代码管理系统。

TFVC permissions dialog

在版本控制权限中,显式拒绝任务优先于管理员组权限。

权限

说明

管理标签

可编辑或删除其他用户创建的标签。

签入

可以签入项目并修改任何提交的更改集注释。 签入时将提交挂起的更改。

注意

请考虑将这些权限添加到为项目开发做出贡献的任何手动添加的用户或组;任何应能够签入和签出更改、对文件夹中的项目进行挂起更改或修改任何提交的更改集注释的用户。

签入其他用户的更改

可签入其他用户操作的更改。 签入时将提交挂起的更改。

通过 TFS 2015) 查看 (

(TFS 2017 及更高版本) 在服务器工作区中绘制更改

可签出并对文件夹中的项执行挂起更改。 挂起更改的示例包括添加、编辑、重命名、删除、撤消删除、分支和合并文件。 必须签入挂起的更改,因此用户还需要签入权限才能与团队共享其更改。

注意

请考虑将这些权限添加到为项目开发做出贡献的任何手动添加的用户或组;任何应能够签入和签出更改、对文件夹中的项目进行挂起更改或修改任何提交的更改集注释的用户。

Label

可标注项。

Lock

可锁定文件夹或文件以及对其解锁。 可以锁定或解锁跟踪的文件夹或文件,以拒绝或还原用户的权限。 权限包括将要编辑的项签出到其他工作区,或者从其他工作区签入某个项的“挂起的更改”。 有关详细信息,请参阅 Lock 命令

管理分支

可以将该路径下的任何文件夹转换为分支,并在分支上执行以下操作:编辑其属性、重新对等关系并将其转换为文件夹。 具有此权限的用户只有在还具有目标路径的“合并”权限时,才可以对该分支执行分支操作。 如果用户对某个分支没有“管理分支”权限,就无法从该分支创建分支。

管理权限

可管理版本控制中其他用户的文件夹和文件权限。

注意

请考虑将此权限添加到参与项目开发并必须能够创建私有分支的任何手动添加的用户或组,除非此项目受限制性更强的开发操作的约束。

合并

可将更改合并到此路径。

注意

请考虑将此权限添加到参与项目开发并必须能够合并源文件的任何手动添加的用户或组,除非此项目受限制性更强的开发操作的约束。

读取

可读取文件或文件夹的内容。 如果用户对文件夹有“读取”权限,则即使用户没有打开文件的权限,也可以查看文件夹的内容以及其中的文件的属性。

修订其他用户的更改

即使其他用户已签入文件,也可编辑已签入文件上的注释。

注意

即使其他用户已签入文件,也请考虑将此权限添加到负责监督或监控项目且可能或必须更改以签入文件上的注释和任何手动添加的用户或组。

撤消其他用户的更改合并

可撤销其他用户执行的挂起更改。

注意

即使其他用户已签入文件,也请考虑将此权限添加到负责监督或监控项目且可能或必须更改以签入文件上的注释和任何手动添加的用户或组。

取消锁定其他用户的更改

可解锁其他用户锁定的文件。

注意

即使其他用户已签入文件,也请考虑将此权限添加到负责监督或监控项目且可能或必须更改以签入文件上的注释和任何手动添加的用户或组。

区域路径 (对象级)

区域路径权限授予或限制对区域层次结构分支和这些区域中的工作项的访问权限。 可以通过 Web 门户 或使用 TFSSecurity 命令行工具管理每个区域路径的安全性。 区域权限授予或限制对创建和管理区域路径的访问权限,以及创建和修改区域路径下定义的工作项。

项目管理员组的成员会自动授予管理项目区域路径的权限。 请考虑向团队管理员或团队授予创建、编辑或删除区域节点的权限。

注意

多个团队可能会参与项目。 在这种情况下,可以设置与某个区域关联的团队。 通过向区域分配权限来分配团队的工作项的权限。 还有其他 团队设置 可以配置团队的敏捷规划工具。

Area path permissions dialog

权限

说明

创建子节点

可创建区域节点。 具有此权限和 “编辑此节点 ”权限的用户可以移动或重新排序任何子区域节点。

请考虑将此权限添加到可能需要删除、添加或重命名区域节点的任何手动添加的用户或组。

删除此节点

拥有此权限和另一节点 的“编辑此节点 ”权限的用户可以删除区域节点,并从已删除的节点重新分类现有工作项。 如果删除的节点有子节点,则子节点也会被删除。

注意

请考虑将此权限添加到可能需要删除、添加或重命名区域节点的任何手动添加的用户或组。

编辑此节点

可设置此节点的权限并重命名区域节点。

注意

请考虑将此权限添加到可能需要删除、添加或重命名区域节点的任何手动添加的用户或组。

编辑此节点中的工作项

可编辑此区域节点中的工作项。

注意

请考虑将此权限添加到可能需要在区域节点下编辑工作项的任何手动添加的用户或组。

管理测试计划

可修改测试计划属性(如,生成和测试设置)。

注意

请考虑将“管理测试套件”权限添加到可能需要在此区域节点下管理测试计划或测试套件的任何手动添加的用户或组。

管理测试套件

可以创建和删除测试套件、添加和删除测试套件中的测试用例、更改与测试套件关联的测试配置,以及修改套件层次结构, (移动测试套件) 。

请考虑将“管理测试套件”权限添加到可能需要在此区域节点下管理测试计划或测试套件的任何手动添加的用户或组。

查看此节点的权限

可查看此节点的安全性设置。

查看此节点中的工作项

可查看(但不可更改)此区域节点中的工作项。

注意

如果将 此节点中的“查看工作项 ”设置为 “拒绝”,则用户将无法在此区域节点中看到任何工作项。 “拒绝”将覆盖任何隐式允许,即使对于属于管理组成员的用户也是如此。

迭代路径 (对象级)

迭代路径权限授予或限制对创建和管理迭代路径的访问权限,也称为冲刺。

Web 门户 或使用 TFSSecurity 命令行工具管理每个迭代路径的安全性。

Project管理员组的成员会自动为为项目定义的每次迭代授予这些权限。 请考虑向团队管理员、scrum 主数据库或团队授予创建、编辑或删除迭代节点的权限。

Iteration Path permissions dialog

权限

说明

创建子节点

可创建迭代节点。 拥有此权限和 “编辑此节点 ”权限的用户可以移动或重新排序任何子迭代节点。

注意

请考虑将此权限添加到可能需要删除、添加或重命名迭代节点的任何手动添加的用户或组。

删除此节点

拥有此权限和另一个 节点的“编辑此节点 ”权限的用户可以删除迭代节点,并从已删除的节点重新分类现有工作项。 如果删除的节点有子节点,则子节点也会被删除。

注意

请考虑将此权限添加到可能需要删除、添加或重命名迭代节点的任何手动添加的用户或组。

编辑此节点

可设置此节点的权限并重新命名迭代节点。

注意

请考虑将此权限添加到可能需要删除、添加或重命名迭代节点的任何手动添加的用户或组。

查看此节点的权限

可查看此节点的安全性设置。

注意

Project集合有效用户、Project有效用户或任何具有视图集合级信息查看项目级信息的用户或组的成员可以查看任何迭代节点的权限。

工作项查询和查询文件夹 (对象级)

可以通过 Web 门户管理查询和查询文件夹权限。 Project管理员被授予所有这些权限。 参与者仅被授予“只读”权限。 请考虑将“参与”权限授予需要能够创建和共享项目的工作项查询的用户或组。

Query folder permissions dialog

请考虑将“参与”权限授予需要能够创建和共享项目的工作项查询的用户或组。 若要了解详细信息,请参阅 设置对查询的权限

注意

若要创建查询图表 ,需要基本访问权限

权限

说明

参与

可查看和修改此查询或查询文件夹。

删除

可删除查询或查询文件夹以及其内容。

管理权限

可管理此查询或查询文件夹的权限。

可查看和使用文件夹中的查询,但不能修改查询或查询文件夹内容。

传递计划 (对象级)

可以通过 Web 门户管理计划权限。 通过“安全”对话框管理每个计划的权限。 Project管理员被授予创建、编辑和管理计划的所有权限。 向有效用户授予“查看” (只读) 权限。

权限

说明

删除

可以删除所选计划。

编辑

可以编辑为所选计划定义的配置和设置。

管理

可以管理所选计划的权限。

视图

可以查看计划列表、打开和与计划交互,但不能修改计划配置或设置。

处理对象级 ()

可以管理通过 Web 门户创建的每个继承进程的权限。 可通过其“安全”对话框管理每个进程的权限。 Project集合管理员被授予创建、编辑和管理进程的所有权限。 向有效用户授予“查看” (只读) 权限。

权限

说明

管理进程权限

可以设置或更改继承进程的权限。

删除进程

可以删除继承的进程。

编辑过程

可以从系统进程创建继承的进程,也可以复制或修改继承的进程。

工作项标记

可以使用 az devops security 权限TFSSecurity 命令行工具管理标记权限。 参与者可以向工作项添加标记,并使用这些标记快速筛选积压工作、板或查询结果视图。

可以使用 TFSSecurity 命令行工具管理标记权限。 参与者可以向工作项添加标记,并使用这些标记快速筛选积压工作、板或查询结果视图。

权限

说明


创建标记定义

可创建新的标记并将其应用到工作项。 没有此权限的用户只能从项目的现有标记集中选择。

注意

默认情况下,参与者将分配 “创建标记定义 ”权限。 尽管 “创建标记定义 ”权限出现在项目级别的安全设置中,但标记权限实际上是在用户界面中显示的项目级别范围内的集合级权限。 若要在使用命令行工具时限定单个项目的标记权限的范围,必须将项目的 GUID 作为命令语法的一部分提供。 否则,更改将应用于整个集合。 在更改或设置这些权限时,请牢记这一点。

删除标记定义

可从此项目的可用标记列表中移除标记。

注意

此权限不会显示在 UI 中。 它只能使用命令行工具进行设置。 也没有用于显式删除标记的 UI。 相反,当标记未使用 3 天时,系统会自动将其删除。

枚举标记定义

可以查看可用于项目中工作项的标记列表。 没有此权限的用户将不会获得一个可用标记列表,以便在工作项窗体或查询编辑器中进行选择。

注意

此权限不会显示在 UI 中。 只能使用命令行工具设置它。 视图项目级信息隐式允许用户查看现有标记。

更新标记定义

可使用 REST API 对标记重命名。

注意

此权限不会显示在 UI 中。 只能使用命令行工具设置它。

发布 (对象级)

可以管理 Web 门户中定义的每个版本的权限。 项目管理员和发布管理员被授予所有发布管理权限。 可以在项目级别、特定发布管道或发布管道中的特定环境在分层模型中授予或拒绝这些权限。 在此层次结构中,权限可以继承自父级或重写。

Releases object-level permissions.

注意

项目级发布管理员组是在定义第一个发布管道的同时创建的。

此外,还可以将审批者分配到发布管道中的特定步骤,以确保要部署的应用程序符合质量标准。

发布管理中定义了以下权限。 范围列说明是否可以在项目、发布管道或环境级别设置权限。

权限

说明

作用域

管理发布权限

可以更改此处列出的任何其他权限。

项目、发布管道、环境

创建版本

可以创建新版本。

项目、发布管道

删除发布管道

可以删除发布管道 () 。

项目、发布管道

删除发布环境

可以在发布管道 () 中删除环境 (s) 。

项目、发布管道、环境

删除版本

可以删除管道的版本。

项目、发布管道

编辑发布管道

可以添加和编辑发布管道,包括配置变量、触发器、项目和保留策略以及发布管道环境中的配置。 若要对发布管道中的特定环境进行更改,用户还需要 “编辑发布环境 ”权限。

项目、发布管道

编辑发布环境

可以在发布管道 () 中编辑环境 () 。 若要将更改保存到发布管道,用户还需要 “编辑发布管道” 权限。 此权限还控制用户是否可以编辑特定发布实例环境中的配置。 用户还需要 “管理发布 ”权限才能保存修改的版本。

项目、发布管道、环境

管理部署

可以启动将发布直接部署到环境。 此权限仅适用于通过选择发布中的 部署 操作手动启动的直接部署。 如果环境的条件设置为任何类型的自动部署,则系统会自动启动部署,而无需检查创建发布的用户的权限。

项目、发布管道、环境

管理发布审批者

可以在发布管道 () 中添加或编辑环境 () 审批者。 此权限还控制用户是否可以编辑特定发布实例环境中的审批者。

项目、发布管道、环境

管理版本

可以编辑发布配置,例如阶段、审批者和变量。 若要编辑发布实例中特定环境的配置,用户还需要 “编辑发布环境 ”权限。

项目、发布管道

查看发布管道

可以查看发布管道 () 。

项目、发布管道

查看版本

可以查看属于发布管道 () 的版本。

项目、发布管道

所有这些权限的默认值都为团队项目集合和项目组设置。 例如,默认情况下, 会向项目集合管理员项目管理员发布管理员 提供上述所有权限。 除了管理发布权限之外,参与者将获得所有权限。 默认情况下,除“查看发布管道”和“查看发布”版本外,读取者将被拒绝所有权限。

任务组 (生成和发布) 权限

从 Web 门户 “生成”和“发布” 中心管理任务组 的权限。 项目、生成和发布管理员授予所有权限。 任务组权限遵循分层模型。 所有权限的默认值可以在项目级别设置,并且可以在单个任务组定义上重写。

使用任务组将已在生成或发布定义中定义的一系列任务封装到单个可重用任务中。 在“生成和发布”中心的“任务组”选项卡中定义和管理任务组

权限 说明
管理任务组权限 可以将用户或组添加到任务组安全性。
删除任务组 可以删除任务组。
编辑任务组 可以创建、修改或删除任务组。

通知或警报

没有与 管理电子邮件通知或警报相关的 UI 权限。 相反,你可以使用 az devops security permissionTFSSecurity 命令行工具来管理它们。

没有与 管理电子邮件通知或警报相关的 UI 权限。 相反,可以使用 TFSSecurity 命令行工具管理它们。

  • 默认情况下,项目级别 参与者 组的成员可以自行订阅警报。
  • 项目集合管理员组的成员或具有“编辑”集合级别信息的用户可以为其他人或团队设置该集合中的警报。
  • 项目管理员组的成员或具有“编辑项目级信息”的用户可以为其他人或团队设置该项目中的警报。

可以使用 TFSSecurity 管理警报权限。

TFSSecurity 操作

TFSSecurity 命名空间

说明

项目集合管理员 &
Project Collection Service Accounts

CREATE_SOAP_SUBSCRIPTION

EventSubscription

可创建基于 SOAP 的 Web 服务订阅。

✔️

GENERIC_READ

EventSubscription

可以查看为项目定义的订阅事件。

✔️

GENERIC_WRITE

EventSubscription

可为其他用户或团队创建警报。

✔️

UNSUBSCRIBE

EventSubscription

可取消订阅事件订阅。

✔️