Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure DevOps Server |Azure DevOps Server |Azure DevOps Server 2022 | Azure DevOps Server 2020
Za pomocą narzędzia wiersza polecenia TFSSecurity można tworzyć, modyfikować i usuwać grupy i użytkowników w usłudze Azure DevOps Server oraz dodatkowo modyfikować uprawnienia dla grup i użytkowników. Aby uzyskać informacje o sposobie wykonywania tych zadań w interfejsie użytkownika, zobacz Dodawanie użytkowników lub grup do projektu.
Ważne
Narzędzie wiersza polecenia TFSSecurity zostało uznane za przestarzałe do użycia z usługami Azure DevOps Services. Program TFSSecurity może działać w przypadku niektórych scenariuszy usługi Azure DevOps Services, ale nie jest obsługiwany. Zalecaną metodą wprowadzania zmian w grupach zabezpieczeń i uprawnieniach dla usług Azure DevOps Services jest użycie portalu internetowego, az devops security lub az devops permission command line tools lub interfejsu API REST zabezpieczeń.
Lokalizacja narzędzia wiersza polecenia
Narzędzia wiersza polecenia usługi Azure DevOps są instalowane w katalogu /Tools serwera warstwy aplikacji usługi Azure DevOps.
- Azure DevOps Server 2020:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Uwaga
Nawet jeśli zalogowano się przy użyciu poświadczeń administracyjnych, musisz otworzyć wiersz polecenia z podwyższonym poziomem uprawnień, aby wykonać tę funkcję.
Uprawnienia
/a+: Dodawanie uprawnień
Użyj /a+ , aby dodać uprawnienia dla użytkownika lub grupy w grupie na poziomie serwera, na poziomie kolekcji lub na poziomie projektu. Aby dodać użytkowników do grup z portalu internetowego, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /a+ polecenia, musisz mieć widok informacji na poziomie kolekcji lub uprawnienia Wyświetl informacje na poziomie wystąpienia ustawione na Wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Jeśli zmieniasz uprawnienia dla projektu, musisz również mieć uprawnienie Edytuj informacje na poziomie projektu dla projektu ustawione na Wartość Zezwalaj. Aby uzyskać więcej informacji, zobacz Informacje o uprawnieniach i grupach.
Parametry
| Argumentacja | Opis |
|---|---|
| Namespace | Przestrzeń nazw zawierająca grupę, do której chcesz dodać uprawnienia dla użytkownika lub grupy. Możesz również użyć polecenia tfssecurity /a , aby wyświetlić listę przestrzeni nazw na poziomie serwera, kolekcji i projektu. |
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu.
|
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Wpisy kontroli dostępu to mechanizmy zabezpieczeń, które określają, które operacje użytkownik, grupa, usługa lub komputer są autoryzowane do wykonania.
Przykład: Wyświetlanie dostępnych przestrzeni nazw
W poniższym przykładzie pokazano, jakie przestrzenie nazw są dostępne na poziomie serwera dla serwera warstwy aplikacji o nazwie ADatumCorporation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /a /server:ServerURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Przykład: Wyświetlanie dostępnych akcji
W poniższym przykładzie przedstawiono czynności dostępne dla przestrzeni nazw serwera na poziomie kolekcji.
tfssecurity /a Server /collection:CollectionURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Przykład: przypisywanie uprawnień na poziomie wystąpienia
Poniższy przykład przyznaje wdrożeniu ADatumCorporation w domenie Datum1 uprawnienia serwera na Wyświetlanie informacji na poziomie instancji dla użytkownika John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Przykład: Przypisywanie uprawnienia na poziomie kolekcji
Poniższy przykład udziela użytkownikowi domeny Datum1, Johnowi Peoplesowi (Datum1\jpeoples), uprawnienia do wyświetlania informacji na poziomie kolekcji w kolekcji projektowej Collection0.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Usuwanie użytkownika lub grupy z członkostwa w grupie
Użyj /a- polecenie, aby usunąć użytkownika lub grupę z członkostwa w grupie na poziomie serwera, kolekcji lub na poziomie projektu. Aby usunąć użytkowników z grup z portalu internetowego, zobacz Usuwanie kont użytkowników.
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Wymagania wstępne
Aby użyć polecenia /a-, musisz mieć ustawione na Zezwalaj uprawnienia do wyświetlania informacji na poziomie kolekcji lub instancji, w zależności od tego, czy używasz parametru /collection, czy /server. Jeśli zmieniasz uprawnienia dla projektu, musisz również mieć uprawnienie Edytuj informacje na poziomie projektu dla projektu ustawione na Wartość Zezwalaj.
Parametry
| Argumentacja | Opis |
|---|---|
| Namespace | Przestrzeń nazw zawierająca grupę, do której chcesz usunąć uprawnienia dla użytkownika lub grupy. Możesz również użyć polecenia tfssecurity /a , aby wyświetlić listę przestrzeni nazw na poziomie serwera, kolekcji i projektu. |
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu.
|
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Wpisy kontroli dostępu to mechanizmy zabezpieczeń, które określają, które operacje użytkownika, grupy, usługi lub komputera są autoryzowane do wykonywania na komputerze lub serwerze.
Przykład: Wyświetlanie przestrzeni nazw na poziomie serwera
W poniższym przykładzie przedstawiono, jakie przestrzenie nazw są dostępne na poziomie serwera dla serwera warstwy aplikacji o nazwie ADatumCorporation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /a /server:ServerURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Przykład: Wyświetlanie dostępnych akcji na poziomie kolekcji
W poniższym przykładzie przedstawiono, jakie akcje są dostępne dla przestrzeni nazw serwera na poziomie kolekcji.
tfssecurity /a Server /collection:CollectionURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Przykład: Usuń uprawnienie na poziomie instancji
W poniższym przykładzie usunięto uprawnienie na poziomie serwera do przeglądania informacji o poziomie wystąpienia dla wdrożenia ADatumCorporation dla użytkownika domeny Datum1, Johna Peoplesa (Datum1\jpeoples).
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Przykład: usuwanie uprawnienia na poziomie kolekcji
W poniższym przykładzie usunięto uprawnienie do przeglądania informacji na poziomie kolekcji z kolekcji projektów Collection0 dla użytkownika domeny Datum1, Johna Peoplesa (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Wyświetlanie listy kontroli dostępu
Użyj /acl , aby wyświetlić listę kontroli dostępu, która ma zastosowanie do określonego obiektu.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /acl, musisz mieć ustawione uprawnienie Wyświetlanie informacji na poziomie kolekcji lub Wyświetlanie informacji na poziomie instancji na Zezwalaj, w zależności od tego, czy używasz parametru /collection, czy /server. Aby uzyskać więcej informacji, zobacz Dokumentacja uprawnień dla usługi Azure DevOps Server.
Parametry
| Argumentacja | Opis |
|---|---|
| Namespace | Przestrzeń nazw zawierająca grupę, do której chcesz wyświetlić uprawnienia dla użytkownika lub grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Wpisy kontroli dostępu to mechanizmy zabezpieczeń, które określają, które operacje użytkownika, grupy, usługi lub komputera są autoryzowane do wykonywania na komputerze lub serwerze.
Przykład: Wyświetlanie przypisań ACL do przestrzeni nazw na poziomie serwera
W poniższym przykładzie przedstawiono, którzy użytkownicy i grupy mają dostęp do tokenu FrameworkGlobalSecurity w przestrzeni nazw serwera we wdrożeniu ADatumCorporation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Grupy
/g: Wyświetlanie listy grup
Użyj /g , aby wyświetlić listę grup w projekcie, w kolekcji projektów lub w usłudze Azure DevOps Server.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /g, musisz mieć uprawnienia do wyświetlania informacji na poziomie kolekcji lub na poziomie wystąpienia ustawione na 'Zezwalaj', w zależności od tego, czy używasz parametru /collection lub /server. Aby użyć /g polecenia w zakresie pojedynczego projektu, musisz mieć uprawnienie Wyświetl informacje na poziomie projektu ustawione na Zezwalaj. Aby uzyskać więcej informacji, zobacz Informacje o uprawnieniach i grupach.
Parametry
| Argumentacja | Opis |
|---|---|
| zakres | Opcjonalny. Określa identyfikator URI projektu, dla którego chcesz wyświetlić grupy. Aby uzyskać identyfikator URI projektu, otwórz program Team Explorer, kliknij prawym przyciskiem myszy projekt, kliknij polecenie Właściwości i skopiuj cały wpis adresu URL. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Polecenie /g narzędzia wiersza polecenia TFSSecurity wyświetla informacje o każdej grupie w wybranym zakresie. Ten zakres może być kolekcją projektów (/serwerem) lub serwerem warstwy aplikacji (/wystąpieniem). W przypadku użycia z zakresem projektu będą wyświetlane tylko informacje o grupach skojarzonych z tym projektem.
Przykład: Wyświetlanie informacji o grupie na poziomie kolekcji
Poniższy przykład przedstawia informacje dotyczące wszystkich grup w kolekcji projektów.
tfssecurity /g /collection:CollectionURL
/g+: Dodaj użytkownika lub inną grupę do istniejącej grupy
Użyj /g+ , aby dodać użytkownika lub inną grupę do istniejącej grupy.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /g+, musisz mieć uprawnienia Wyświetlanie informacji na poziomie kolekcji i Edytowanie informacji na poziomie kolekcji lub Wyświetlanie informacji na poziomie instancji i Edytowanie informacji na poziomie instancji ustawione na Zezwalaj, w zależności od tego, czy używasz parametru /collection czy /server. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| tożsamość grupy | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| tożsamość członka | Określa tożsamość członka. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Możesz również dodać użytkowników i grupy do istniejącej grupy przy użyciu programu Team Explorer. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
Przykład: dodawanie użytkownika do grupy na poziomie serwera
Poniższy przykład dodaje użytkownika domeny Datum1, John Peoples (Datum1\jpeoples) do grupy Administratorzy Team Foundation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Usuwanie użytkownika lub grupy
Użyj /g- , aby usunąć użytkownika lub grupę użytkowników z istniejącej grupy.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /g-, musisz mieć uprawnienia do wyświetlania informacji na poziomie kolekcji i edytowania informacji na poziomie kolekcji lub uprawnienia do wyświetlania informacji na poziomie wystąpienia i edytowania informacji na poziomie wystąpienia ustawione na Zezwalaj, w zależności od tego, czy używasz parametru /collection czy /server. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| tożsamość grupy | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| tożsamość członka | Określa tożsamość członka. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Możesz również dodać użytkowników i grupy do istniejącej grupy przy użyciu programu Team Explorer. Aby uzyskać więcej informacji, zobacz Usuwanie użytkowników z grupy projektów lub Ustawianie uprawnień na poziomie projektu lub kolekcji.
Przykład: usuwanie użytkownika z grupy na poziomie serwera
Poniższy przykład usuwa użytkownika domeny Datum1 John Peoples (Datum1\jpeoples) z grupy Administratorzy Team Foundation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Tworzenie grupy na poziomie projektu
Użyj /gc w wierszu polecenia, aby utworzyć grupę na poziomie projektu. Aby utworzyć grupę na poziomie projektu na podstawie interfejsu użytkownika, zobacz Zarządzanie użytkownikami lub grupami.
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Wymagania wstępne
Aby użyć /gc polecenia, musisz mieć uprawnienie Edytuj Project-Level Informacje dla tego projektu ustawione na Zezwalaj. Aby uzyskać więcej informacji, zobacz Dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| Scope | Identyfikator URI projektu, do którego chcesz dodać grupę na poziomie projektu. Aby uzyskać identyfikator URI projektu, połącz się z nim i otwórz program Team Explorer, umieść kursor nad nazwą projektu w witrynie Głównej i odczytaj adres. Alternatywnie połącz się z projektem w programie Web Access i skopiuj adres URL. |
| Nazwa grupy | Nazwa nowej grupy. |
| Opis grupy | Opis grupy projektów. Opcjonalny. |
| /collection :CollectionURL | Adres URL kolekcji projektów. To jest wymagane. Grupa zostanie utworzona w obrębie kolekcji projektów. Format adresu URL to http:// ServerName : Port / VirtualDirectoryName / CollectionName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Grupa na poziomie projektu to grupa zabezpieczeń projektu. Grupy projektów umożliwiają udzielanie uprawnień do odczytu, zapisu i uprawnień administracyjnych spełniających wymagania dotyczące zabezpieczeń organizacji.
Przykład: dodawanie grupy zabezpieczeń do projektu
Poniższy przykład tworzy grupę specyficzną dla projektu określonego przez identyfikator URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000". Grupa ma nazwę "Grupa testowa" i ma opis "Ta grupa jest do testowania".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
Musisz zastąpić symbol zastępczy GUID identyfikatorem URI projektu, dla którego chcesz utworzyć tę grupę. Aby uzyskać identyfikator URI projektu, otwórz program Team Explorer, kliknij prawym przyciskiem myszy projekt, kliknij polecenie Właściwości i skopiuj całą wartość właściwości adresu URL.
Po uruchomieniu polecenia możesz zweryfikować grupę w programie Team Explorer. Kliknij prawym przyciskiem myszy projekt użyty w poleceniu, kliknij pozycję Ustawienia projektu, a następnie kliknij pozycję Członkostwa w grupach. W oknie dialogowym Grupy projektów w TeamProjectName lista grup zawiera grupę testową.
Uwaga
Polecenia /gc można użyć do tworzenia grup, ale nie do dodawania żadnych użytkowników do grup lub przypisywania żadnych uprawnień. Aby zmienić członkostwo w grupie, zobacz /g+: Dodaj użytkownika lub inną grupę do istniejącej grupy i /g-: Usuń użytkownika lub grupę. Aby zmienić uprawnienia dla grupy, zobacz /a+: Dodawanie uprawnień i /a-: Usuwanie użytkownika lub grupy z członkostwa w grupie.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Tworzenie serwera lub grupy na poziomie kolekcji
Użyj polecenia /gcg , aby utworzyć grupę na poziomie serwera lub na poziomie kolekcji. Aby utworzyć grupę na poziomie kolekcji w portalu internetowym, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Wymagania wstępne
Aby użyć /gcg polecenia, musisz mieć uprawnienie Edytuj informacje na poziomie projektu dla tego projektu ustawione na Zezwalaj. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| Nazwa grupy | Nazwa grupy. |
| Opis grupy | Opis grupy. Opcjonalny. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Grupy na poziomie serwera są tworzone bezpośrednio w warstwie aplikacji i mają zastosowanie do wszystkich kolekcji projektów. Poziomy kolekcji są tworzone na poziomie kolekcji projektów. Mają one zastosowanie do tej kolekcji i mają wpływ na wszystkie projekty w kolekcji. Natomiast grupy projektów mają zastosowanie do określonego projektu w kolekcji, ale nie do żadnych innych projektów w tej kolekcji. Uprawnienia można przypisać do grup na poziomie serwera, aby członkowie tych grup mogli wykonywać zadania w samej usłudze Azure DevOps Server, takich jak tworzenie kolekcji projektów. Możesz przypisać uprawnienia do grup na poziomie kolekcji, aby członkowie tych grup mogli wykonywać zadania w kolekcji projektów, takich jak administrowanie użytkownikami.
Uwaga
Polecenia /gcg można użyć do utworzenia grup, ale nie można jej użyć do dodania żadnych użytkowników do grup ani przypisania żadnych uprawnień. Aby uzyskać informacje na temat zmiany członkostwa w grupie, zobacz /g+: Dodawanie użytkownika lub innej grupy do istniejącej grupy i /g-: Usuwanie użytkownika lub grupy. Aby uzyskać informacje o sposobie zmiany uprawnień dla grupy, zobacz /a+: Dodawanie uprawnień i /a-: Usuwanie użytkownika lub grupy z członkostwa w grupie.
Przykład: Dodawanie grupy zabezpieczeń na poziomie kolekcji
Poniższy przykład tworzy grupę na poziomie kolekcji o nazwie "Testerzy danych" z opisem "A". Datum Corporation Testers".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
Poniższy przykład tworzy grupę na poziomie serwera o nazwie "Audytorzy danych" z opisem "A. Audytorzy Datum Corporation".
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Usuwanie serwera lub grupy na poziomie kolekcji
Użyj /gd , aby usunąć grupę na poziomie serwera lub na poziomie kolekcji.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /gd, musisz mieć uprawnienia do Wyświetlania informacji na poziomie kolekcji i Edytowania informacji na poziomie kolekcji lub Wyświetlania informacji na poziomie wystąpienia i Edytowania informacji na poziomie wystąpienia ustawione na Zezwalaj, w zależności od tego, czy używasz parametru /collection lub /server, odpowiednio. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| tożsamość grupy | Określa tożsamość grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps. Aby zmodyfikować uprawnienia za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
Przykład: usuwanie grupy zabezpieczeń na poziomie kolekcji
Poniższy przykład usuwa grupę z kolekcji projektów. Grupa jest identyfikowana przez "S-1-5-21-2127521184-1604012920-1887927527-588340", identyfikator zabezpieczeń (SID). Aby uzyskać więcej informacji na temat znajdowania identyfikatora SID grupy, zobacz /im: Wyświetlanie informacji o tożsamościach, które tworzą członkostwo bezpośrednie. Możesz również użyć przyjaznej nazwy, aby usunąć grupę.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Zmień opis serwera lub grupy na poziomie kolekcji
Użyj /gud , aby zmienić opis grupy na poziomie serwera lub kolekcji.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /gud polecenia, musisz mieć uprawnienie Edytuj informacje na poziomie projektu ustawione na Zezwalaj. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| Identyfikator grupy | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| Opis grupy | Określa nowy opis grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Przykład: Dodawanie opisu do grupy zabezpieczeń
Poniższy przykład kojarzy opis "Członkowie tej grupy testować kod dla tego projektu" z grupą "Testerzy datum".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Zmienianie nazwy grupy
Użyj /gun , aby zmienić nazwę grupy na poziomie serwera lub kolekcji.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /gun polecenia, musisz mieć wyświetlanie informacji na poziomie kolekcji i Edytowanie informacji na poziomie kolekcji lub Wyświetl informacje na poziomie wystąpienia i Edytuj informacje na poziomie wystąpienia ustawione na Wartość Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| Identyfikator grupy | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| Nazwa grupy | Określa nową nazwę grupy. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Przykład: zmienianie nazwy grupy zabezpieczeń
W poniższym przykładzie zmieniono nazwę grupy na poziomie kolekcji "A". Datum Corporation Testers" do "A. Datum Corporation Test Engineers".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Tożsamości i członkostwo
/i: Wyświetlanie informacji o tożsamości dla określonej grupy
Użyj /i , aby wyświetlić informacje o tożsamości dla określonej grupy we wdrożeniu usługi Azure DevOps Server.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /i, musisz mieć uprawnienie do wyświetlania informacji na poziomie kolekcji lub wyświetlania informacji o instancji -level ustawione na Zezwalaj, w zależności od tego, czy używasz parametru /collection lub /server. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| Tożsamość | Tożsamość użytkownika lub grupy aplikacji. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Komenda /i narzędzia wiersza polecenia TFSSecurity wyświetla informacje o każdej grupie w kolekcji projektów (/serwer) lub na serwerze warstwy aplikacji (/wystąpienie). Nie wyświetla żadnych informacji o członkostwie.
Przykład: Lista informacji o tożsamości dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje o tożsamości grupy "Team Foundation Administrators".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Przykładowe dane wyjściowe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje o tożsamości dla grupy Administratorzy Zbioru Projektów przy użyciu specyfikatora tożsamości `adm:`.
tfssecurity /i adm: /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
W poniższym przykładzie przedstawiono informacje o tożsamości dla grupy Administratorzy projektu "Datum" przy użyciu specyfikatora tożsamości adm: .
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Wyświetl informacje o tożsamościach, które tworzą bezpośrednie członkostwo
Użyj /im , aby wyświetlić informacje o tożsamościach, które tworzą bezpośrednie członkostwo w określonej grupie.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /im, musisz mieć uprawnienia do przeglądania informacji na poziomie kolekcji lub na poziomie wystąpienia ustawione na 'Zezwalaj', w zależności od tego, czy używasz parametru /collection czy /server. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
/im polecenie TFSSecurity wyświetla tylko bezpośrednich członków określonej grupy. Ta lista zawiera inne grupy, które są członkami określonej grupy. Jednak rzeczywistych członków grup członkowskich nie ma na liście.
Przykład: wyświetlanie tożsamości członkostwa dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje dotyczące tożsamości bezpośredniego członkostwa w grupie "Team Foundation Administrators" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Przykładowe dane wyjściowe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń
Poniższy przykład przedstawia informacje o tożsamości grupy Administratorzy kolekcji projektów w kolekcji projektów "DatumOne", w domenie "Datum1", w fikcyjnej firmie "A". Datum Corporation" przy użyciu specyfikatora adm: identity.
tfssecurity /im adm: /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń przy użyciu specyfikatora tożsamości
Poniższy przykład przedstawia informacje szczegółowe o tożsamości grupy Administratorzy Projektu dla projektu "Datum" w kolekcji projektów "DatumOne" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation" używając specyfikatora tożsamości adm:.
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Wyświetlanie informacji o tożsamościach, które obejmuje rozszerzone członkostwo
Użyj /imx , aby wyświetlić informacje o tożsamościach, które tworzą rozszerzone członkostwo określonej grupy.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć /imx polecenia, musisz mieć widok informacji na poziomie kolekcji lub widok informacji na poziomie wystąpienia uprawnienie Zezwalaj, w zależności od tego, czy używasz /collection lub /server parametru, odpowiednio. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Parametry
| Argumentacja | Opis |
|---|---|
| Tożsamość | Tożsamość użytkownika lub grupy. Aby uzyskać więcej informacji na temat specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na serwerze warstwy aplikacji dla usługi Azure DevOps.
Polecenie /imx w narzędziu TFSSecurity wyświetla tylko rozszerzonych członków określonej grupy. Ta lista zawiera nie tylko inne grupy, które są członkami określonej grupy, ale także członkami grup członkowskich.
Przykład: wyświetlanie rozszerzonych informacji o członkostwie dla grupy zabezpieczeń
W poniższym przykładzie przedstawiono rozszerzone informacje o tożsamości członkostwa dla grupy "Administratorzy Team Foundation" w domenie "Datum1" w fikcyjnej firmie "A." Datum Corporation".
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Przykładowe dane wyjściowe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Poniższy przykład przedstawia informacje o tożsamości grupy Administratorzy kolekcji projektów w kolekcji projektów "DatumOne", w domenie "Datum1", w fikcyjnej firmie "A". Datum Corporation" używając specyfikatora tożsamości adm:.
tfssecurity /imx adm: /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Przykład: wyświetlanie informacji o tożsamości dla grupy zabezpieczeń przy użyciu specyfikatora tożsamości
Poniższy przykład przedstawia informacje szczegółowe o tożsamości grupy Administratorzy Projektu dla projektu "Datum" w kolekcji projektów "DatumOne" w domenie "Datum1" w fikcyjnej firmie "A". Datum Corporation" używając specyfikatora tożsamości adm:.
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Przykładowe dane wyjściowe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Aby uzyskać więcej informacji na temat specyfikatorów danych wyjściowych, takich jak [G] i [U], zobacz Specyfikatory tożsamości w dalszej części tego artykułu.
/m: Sprawdzanie jawnego i niejawnego członkostwa w grupach
Użyj /m , aby sprawdzić jawne i niejawne informacje o członkostwie w grupie lub użytkowniku.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Wymagania wstępne
Aby użyć polecenia /m, musisz być członkiem grupy zabezpieczeń Administratorzy Team Foundation. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń i dokumentacja uprawnień.
Uwaga
Nawet jeśli zalogowano się przy użyciu poświadczeń administracyjnych, musisz otworzyć wiersz polecenia z podwyższonym poziomem uprawnień, aby wykonać tę funkcję.
Parametry
| Argumentacja | Opis |
|---|---|
| Identyfikator grupy | Określa tożsamość grupy. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| Tożsamość członka | Określa tożsamość członka. Domyślnie wartość tego argumentu to tożsamość użytkownika, który uruchamia polecenie. Aby uzyskać więcej informacji na temat prawidłowych specyfikatorów tożsamości, zobacz Specyfikatory tożsamości w dalszej części tego artykułu. |
| /collection :CollectionURL | Wymagane, jeśli /server nie jest używany. Określa adres URL kolekcji projektu w następującym formacie: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Wymagane, jeśli /collection nie jest używany. Określa adres URL serwera warstwy aplikacji w następującym formacie: http:// ServerName : Port / VirtualDirectoryName |
Uwagi
Uruchom to polecenie na komputerze w lokalnej warstwie aplikacji.
Polecenie /m narzędzia wiersza polecenia TFSSecurity sprawdza zarówno członkostwo bezpośrednie, jak i rozszerzone.
Przykład: Weryfikowanie członkostwa użytkownika w grupie zabezpieczeń
Poniższy przykład sprawdza, czy użytkownik "Datum1\jpeoples" należy do grupy administratorzy serwera Team Foundation.
Uwaga
Przykłady dotyczą tylko ilustracji i są fikcyjne. Żadne rzeczywiste skojarzenia nie są zamierzone ani wnioskowane.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Przykładowe dane wyjściowe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Przestrzenie nazw zabezpieczeń
Uwaga
Przestrzenie nazw i tokeny są ważne dla wszystkich wersji usługi Azure DevOps. Przestrzenie nazw mogą ulec zmianie w czasie. Aby uzyskać najnowszą listę przestrzeni nazw, wykonaj jedną z narzędzi wiersza polecenia lub interfejsu API REST. Niektóre przestrzenie nazw zostały przestarzałe. Aby uzyskać więcej informacji, zobacz Przestrzeń nazw zabezpieczeń i dokumentację uprawnień.
Specyfikatory tożsamości
Można odwołać się do tożsamości, używając jednej z notacji w poniższej tabeli.
| Specyfikator tożsamości | Opis | Przykład |
|---|---|---|
| Sid: Sid. | Odwołuje się do tożsamości, która ma określony identyfikator zabezpieczeń (SID). | sid:S-1-5-21-2127521184-1604012920-1887927527-588340 |
| n:[D omain]Nazwa | Odnosi się do tożsamości o określonej nazwie. W przypadku systemu Windows nazwa to nazwa konta. Jeśli przywołyana tożsamość znajduje się w domenie, wymagana jest nazwa domeny. Dla grup aplikacji, nazwa to nazwa grupy, a domena to URI lub GUID projektu, który je zawiera. W tym kontekście, jeśli domena zostanie pominięta, zakłada się, że zakres jest na poziomie kolekcji. | Aby odwołać się do tożsamości użytkownika "John Peoples" w domenie "Datum1" w fikcyjnej firmie „A.”. Datum Corporation:" n:DATUM1\jpeoples Aby odwołać się do grup aplikacji: n:"Pracownicy pełnoetatowi" n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendor |
| adm:[Zakres] | Odwołuje się do grupy aplikacji administracyjnych dla zakresu, takiej jak "Administratorzy Team Foundation" na poziomie serwera lub "Administratorzy Kolekcji Projektów" na poziomie kolekcji. Opcjonalny parametr Scope to identyfikator URI lub adres URL projektu, w tym jego identyfikator GUID i ciąg połączenia. Jeśli zakres zostanie pominięty, zakłada się serwer lub zakres kolekcji w zależności od tego, czy używany jest parametr /instance lub /server. W obu przypadkach dwukropek jest nadal wymagany. | adm:vstfs:///Classification/TeamProject/ GUID |
| srv: | Odwołuje się do grupy aplikacji dla kont usług. | Nie dotyczy |
| wszyscy: | Odwołuje się do wszystkich grup i tożsamości. | Nie dotyczy |
| Sznurek | Odwołuje się do niekwalifikowanego ciągu. Jeśli ciąg rozpoczyna się od S-1-, jest identyfikowany jako identyfikator SID. Jeśli ciąg zaczyna się od CN= lub LDAP:// jest identyfikowany jako nazwa wyróżniająca. W przeciwnym razie ciąg jest identyfikowany jako nazwa. | "Testerzy zespołu" |
Znaczniki typów
Następujące znaczniki służą do identyfikowania typów tożsamości i kontroli dostępu w komunikatach wyjściowych.
Znaczniki typu tożsamości
| Znacznik typu tożsamości | Opis |
|---|---|
| U | Użytkownik systemu Windows. |
| G | Grupa systemu Windows. |
| A | Grupa aplikacji usługi Azure DevOps Server. |
| a [ A ] | Grupa aplikacji administracyjnych. |
| s [ A ] | Grupa aplikacji konta usługi. |
| X | Tożsamość jest nieprawidłowa. |
| ? | Tożsamość jest nieznana. |
Znaczniki wprowadzania kontroli dostępu
| Znacznik wejścia kontroli dostępu | Opis |
|---|---|
| + | ZEZWALAJ na wpis kontroli dostępu. |
| - | ODMOWA wpisu kontroli dostępu. |
| * [] | Odziedziczony wpis kontroli dostępu. |