Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Azure DevOps Server |Azure DevOps Server |Azure DevOps Server 2022 | Azure DevOps Server 2020
Você pode usar a ferramenta de linha de comando TFSSecurity para criar, modificar e excluir grupos e usuários no Azure DevOps Server e, adicionalmente, modificar permissões para grupos e usuários. Para obter informações sobre como executar essas tarefas na interface do usuário, consulte Adicionar usuários ou grupos a um projeto.
Importante
A ferramenta de linha de comando TFSSecurity foi preterida para uso com os Serviços de DevOps do Azure. Embora o TFSSecurity possa funcionar para alguns cenários dos Serviços de DevOps do Azure, ele não é suportado. O método recomendado para fazer alterações em grupos de segurança e permissões para os Serviços de DevOps do Azure é usar o portal da Web, as ferramentas de linha de comando az devops security ou az devops permission ou a API Security REST.
Localização da ferramenta de linha de comando
As ferramentas de linha de comando do Azure DevOps são instaladas no diretório /Tools de um servidor de camada de aplicativo do Azure DevOps.
- Azure DevOps Server 2020:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Observação
Mesmo se você estiver conectado com credenciais administrativas, você deve abrir um prompt de comando elevado para executar essa função.
Permissões
/a+: Adicionar permissões
Use /a+ para adicionar permissões para um usuário ou um grupo em um grupo de nível de servidor, nível de coleção ou nível de projeto. Para adicionar usuários a grupos a partir do portal da Web, consulte Definir permissões no nível do projeto ou da coleção.
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /a+, deve-se ter a permissão "Ver informações ao nível da coleção" ou "Ver informações ao nível da instância" definida como "Permitir", dependendo se estás a usar o parâmetro /collection ou /server, respetivamente. Se você estiver alterando permissões para um projeto, também deverá ter a permissão Editar informações no nível do projeto definida como Permitir. Para obter mais informações, consulte Referência de permissões e grupos.
Parâmetros
| Argumento | Descrição |
|---|---|
| Namespace | O namespace que contém o grupo ao qual você deseja adicionar permissões para um usuário ou grupo. Você também pode usar o comando tfssecurity /a para exibir uma lista de namespaces no nível do servidor, da coleção e do projeto. |
| Identidade | A identidade do usuário ou do grupo. Para obter mais informações sobre especificadores de identidade, consulte Especificadores de identidade mais adiante neste artigo.
|
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
As entradas de controle de acesso são mecanismos de segurança que determinam quais operações um usuário, grupo, serviço ou computador está autorizado a executar.
Exemplo: Exibir namespaces disponíveis
O exemplo a seguir exibe quais namespaces estão disponíveis no nível do servidor para o servidor de camada de aplicativo chamado ADatumCorporation.
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /a /server:ServerURL
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Exemplo: Exibir ações disponíveis
O exemplo a seguir exibe quais ações estão disponíveis para o namespace no nível do servidor no nível da coleção.
tfssecurity /a Server /collection:CollectionURL
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Exemplo: atribuir uma permissão no nível da instância
O exemplo a seguir concede a permissão de servidor Ver informações ao nível de instância à implantação da ADatumCorporation para o utilizador do domínio Datum1, John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Exemplo: atribuir uma permissão no nível da coleção
O exemplo a seguir concede a permissão de Visualizar informações ao nível de coleção para a coleção de projeto Collection0, ao usuário de domínio Datum1, John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Remover um usuário ou um grupo da associação a um grupo
Use o comando /a- para remover um usuário ou um grupo da associação a um grupo de nível de servidor, nível de coleção ou nível de projeto. Para remover usuários de grupos do portal da Web, consulte Remover contas de usuário.
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Pré-requisitos
Para utilizar o comando /a-, deve ter a permissão Ver informações ao nível da coleção ou Ver informações ao nível da instância definida como Permitir, dependendo se está a usar o parâmetro /collection ou /server, respetivamente. Se você estiver alterando permissões para um projeto, também deverá ter a permissão Editar informações no nível do projeto definida como Permitir.
Parâmetros
| Argumento | Descrição |
|---|---|
| Namespace | O namespace que contém o grupo para o qual você deseja remover permissões para um usuário ou grupo. Você também pode usar o comando tfssecurity /a para exibir uma lista de namespaces no nível do servidor, da coleção e do projeto. |
| Identidade | A identidade do usuário ou do grupo. Para obter mais informações sobre especificadores de identidade, consulte Especificadores de identidade mais adiante neste artigo.
|
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
As entradas de controle de acesso são mecanismos de segurança que determinam quais operações um usuário, grupo, serviço ou computador está autorizado a executar em um computador ou servidor.
Exemplo: Exibir namespaces no nível do servidor
O exemplo a seguir exibe quais namespaces estão disponíveis no nível do servidor para o servidor de camada de aplicativo chamado ADatumCorporation.
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /a /server:ServerURL
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Exemplo: Exibir ações disponíveis no nível da coleção
O exemplo a seguir exibe quais ações estão disponíveis para o namespace do servidor no nível da coleção.
tfssecurity /a Server /collection:CollectionURL
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Exemplo: remover uma permissão de nível de instância
O exemplo a seguir remove a permissão de informações de nível de instância do View ao nível do servidor para a implantação da ADatumCorporation ao usuário de domínio Datum1, John Peoples (Datum1\jpeoples).
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Exemplo: Remover uma permissão no nível da coleção
O exemplo a seguir remove a permissão View collection-level information da coleção de projeto Collection0 para o usuário de domínio Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Exibir a lista de controle de acesso
Use /acl para exibir a lista de controle de acesso que se aplica a um objeto específico.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /acl , você deve ter a permissão View collection-level information ou View instance-level information definida como Allow, dependendo se você estiver usando o parâmetro /collection ou /server , respectivamente. Para obter mais informações, consulte Referência de permissão para o Azure DevOps Server.
Parâmetros
| Argumento | Descrição |
|---|---|
| Namespace | O namespace que contém o grupo para o qual você deseja exibir permissões para um usuário ou grupo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
As entradas de controle de acesso são mecanismos de segurança que determinam quais operações um usuário, grupo, serviço ou computador está autorizado a executar em um computador ou servidor.
Exemplo: Listar atribuições de ACL para um namespace de nível severo
O exemplo a seguir exibe quais usuários e grupos têm acesso ao token FrameworkGlobalSecurity no namespace do servidor dentro da implantação ADatumCorporation.
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Grupos
/g: Listar os grupos
Use /g para listar os grupos em um projeto, em uma coleção de projetos ou no Servidor de DevOps do Azure.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /g, o utilizador deve ter a permissão Ver informações ao nível da coleção ou Ver informações ao nível da instância definidas como Permitir, dependendo se está a usar o parâmetro /collection ou /server, respetivamente. Para usar o comando /g dentro do escopo de um único projeto, você deve ter a permissão Exibir informações no nível do projeto definida como Permitir. Para obter mais informações, consulte Referência de permissões e grupos.
Parâmetros
| Argumento | Descrição |
|---|---|
| âmbito | Opcional. Especifica o URI do projeto para o qual você deseja exibir grupos. Para obter o URI de um projeto, abra o Team Explorer, clique com o botão direito do mouse no projeto, clique em Propriedades e copie toda a entrada para URL. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
O comando /g do utilitário de linha de comando TFSSecurity exibe informações sobre cada grupo dentro do escopo selecionado. Esse escopo pode ser a coleção de projetos (/server) ou o servidor de camada de aplicativo (/instance). Se usado com o escopo de um projeto, ele exibirá informações apenas sobre os grupos associados a esse projeto.
Exemplo: Exibir informações de grupo no nível da coleção
O exemplo a seguir exibe informações para todos os grupos dentro de uma coleção de projetos.
tfssecurity /g /collection:CollectionURL
/g+: Adicionar um utilizador ou outro grupo a um grupo existente
Use /g+ para adicionar um usuário ou outro grupo a um grupo existente.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /g+ , você deve ter as permissões Exibir informações no nível da coleção e Editar informações no nível da coleção ou Exibir informações no nível da instância e Editar informações no nível da instância definidas como Permitir, dependendo se você estiver usando o parâmetro /collection ou /server, respectivamente. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| identidade de grupo | Especifica a identidade do grupo. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| memberIdentity | Especifica a identidade do membro. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
Você também pode adicionar usuários e grupos a um grupo existente usando o Team Explorer. Para obter mais informações, consulte Definir permissões no nível do projeto ou da coleção.
Exemplo: Adicionar um usuário a um grupo no nível do servidor
O exemplo a seguir adiciona o usuário de domínio Datum1 John Peoples (Datum1\jpeoples) ao grupo Team Foundation Administrators.
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Remover um utilizador ou grupo
Use /g- para remover um usuário ou um grupo de usuários de um grupo existente.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /g- , você deve ter as permissões Exibir informações no nível da coleção e Editar informações no nível da coleção ou Exibir informações no nível da instância e Editar informações no nível da instância definidas como Permitir, dependendo se você estiver usando o parâmetro /collection ou /server , respectivamente. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| identidade de grupo | Especifica a identidade do grupo. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| memberIdentity | Especifica a identidade do membro. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
Você também pode adicionar usuários e grupos a um grupo existente usando o Team Explorer. Para obter mais informações, consulte Remover usuários de um grupo de projetos ou Definir permissões no nível do projeto ou da coleção.
Exemplo: Remover um usuário de um grupo no nível do servidor
O exemplo a seguir remove o usuário de domínio Datum1 John Peoples (Datum1\jpeoples) do grupo Team Foundation Administrators.
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Criar um grupo no nível do projeto
Use /gc em um prompt de comando para criar um grupo no nível do projeto. Para criar um grupo no nível do projeto a partir da interface do usuário, consulte Gerenciar usuários ou grupos.
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Pré-requisitos
Para usar o comando /gc , você deve ter a permissão Editar Project-Level Informações para esse projeto definida como Permitir. Para obter mais informações, consulte Referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| Âmbito de aplicação | O URI do projeto ao qual você deseja adicionar um grupo de nível de projeto. Para obter o URI de um projeto, conecte-se a ele e abra o Team Explorer, passe o mouse sobre o nome do projeto em Página Inicial e leia o endereço. Como alternativa, conecte-se ao projeto no Web Access e copie a URL. |
| Nome do Grupo | O nome do novo grupo. |
| Descrição do Grupo | Uma descrição do grupo de projeto. Opcional. |
| /collection :CollectionURL | A URL da coleção de projetos. Obrigatório. O grupo será criado dentro da coleção do projeto. O formato da URL é http:// ServerName : Port / VirtualDirectoryName / CollectionName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
Um grupo de nível de projeto é um grupo de segurança para o seu projeto. Você pode usar grupos de projetos para conceder permissões de leitura, gravação e administrativas que atendam aos requisitos de segurança da sua organização.
Exemplo: Adicionar um grupo de segurança a um projeto
O exemplo a seguir cria um grupo que é específico para o projeto que o URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000" especifica. O grupo é chamado de "Grupo de teste" e tem a descrição "Este grupo é para teste".
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
Você deve substituir o marcador GUID pelo URI do projeto para o qual deseja criar este grupo. Para obter o URI de um projeto, abra o Team Explorer, clique com o botão direito do mouse no projeto, clique em Propriedades e copie todo o valor da propriedade URL.
Depois de executar o comando, você pode verificar o grupo no Team Explorer. Clique com o botão direito do rato no projeto que utilizou no comando, clique em Definições do Projeto e, em seguida, clique em Associações de Grupo. Na caixa de diálogo Grupos de Projeto em TeamProjectName, a lista Grupos inclui Grupo de Teste .
Observação
Você pode usar o comando /gc para criar grupos, mas não para adicionar usuários aos grupos ou atribuir permissões. Para alterar a associação do grupo, consulte /g+: Adicionar um usuário ou outro grupo a um grupo existente e /g-: Remover um usuário ou grupo. Para alterar as permissões para o grupo, consulte /a+: Adicionar permissões e /a-: Remover um usuário ou um grupo da associação a um grupo.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Criar um servidor ou grupo de nível de coleção
Use o comando /gcg para criar um grupo no nível do servidor ou no nível da coleção. Para criar um grupo no nível da coleção a partir do portal da Web, consulte Definir permissões no nível do projeto ou da coleção.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Pré-requisitos
Para usar o comando /gcg , você deve ter a permissão Editar informações no nível do projeto para esse projeto definida como Permitir. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| Nome do Grupo | O nome do grupo. |
| Descrição do Grupo | Uma descrição do grupo. Opcional. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
Os grupos no nível do servidor são criados diretamente na camada de aplicativo e se aplicam a todas as coleções de projetos. O nível da coleção é criado no nível da coleção do projeto. Aplicam-se a essa coleção e têm implicações para todos os projetos da coleção. Em contraste, os grupos de projeto se aplicam a um projeto específico dentro de uma coleção, mas não a quaisquer outros projetos dessa coleção. Você pode atribuir permissões a grupos no nível de servidor para que os membros desses grupos possam executar tarefas no próprio Servidor de DevOps do Azure, como a criação de coleções de projetos. Você pode atribuir permissões a grupos no nível da coleção para que os membros desses grupos possam executar tarefas em uma coleção de projetos, como administrar usuários.
Observação
Você pode usar o comando /gcg para criar grupos, mas não pode usá-lo para adicionar usuários aos grupos ou atribuir permissões. Para obter informações sobre como alterar a associação de um grupo, consulte /g+: Adicionar um usuário ou outro grupo a um grupo existente e /g-: Remover um usuário ou grupo. Para obter informações sobre como alterar as permissões para o grupo, consulte /a+: Adicionar permissões e /a-: Remover um usuário ou um grupo da associação a um grupo.
Exemplo: Adicionar um grupo de segurança no nível da coleção
O exemplo a seguir cria um grupo de nível de coleção chamado "Datum Testers" com a descrição "A. Testadores da Datum Corporation."
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
O exemplo a seguir cria um grupo de nível de servidor chamado "Datum Auditors" com a descrição "A. Auditores da Datum Corporation."
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Excluir um servidor ou grupo de nível de coleção
Use /gd para excluir um grupo de nível de servidor ou de coleção.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /gd , você deve ter as permissões Exibir informações no nível da coleção e Editar informações no nível da coleção ou Exibir informações no nível da instância e Editar informações no nível da instância definidas como Permitir, dependendo se você estiver usando o parâmetro /collection ou /server , respectivamente. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| identidade de grupo | Especifica a identidade do grupo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps. Para modificar permissões por meio do portal da Web, consulte Definir permissões no nível do projeto ou da coleção.
Exemplo: eliminar um grupo de segurança ao nível da coleção
O exemplo a seguir exclui um grupo da coleção de projetos. O grupo é identificado por "S-1-5-21-2127521184-1604012920-1887927527-588340", o identificador de segurança (SID). Para obter mais informações sobre como localizar o SID de um grupo, consulte /im: Exibir informações sobre identidades que compõem a associação direta. Você também pode usar o nome amigável para excluir um grupo.
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Alterar a descrição de um grupo ao nível do servidor ou ao nível da coleção
Use /gud para alterar a descrição de um grupo de nível de servidor ou de coleção.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /gud , você deve ter a permissão Editar informações no nível do projeto definida como Permitir. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| Identidade do Grupo | Especifica a identidade do grupo. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| Descrição do Grupo | Especifica a nova descrição para o grupo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
Exemplo: Adicionar uma descrição a um grupo de segurança
O exemplo a seguir associa a descrição "Os membros deste grupo testam o código para este projeto" ao grupo "Datum Testers".
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Renomear um grupo
Use /gun para renomear um grupo de nível de servidor ou de coleção.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /gun , você deve ter as permissões Exibir informações no nível da coleção e Editar informações no nível da coleção ou Exibir informações no nível da instância e Editar informações no nível da instância definidas como Permitir, dependendo se você estiver usando o parâmetro /collection ou /server , respectivamente. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| Identidade do Grupo | Especifica a identidade do grupo. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| Nome do Grupo | Especifica o novo nome do grupo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
Exemplo: Renomear um grupo de segurança
O exemplo a seguir renomeia o grupo de nível de coleção "A. Testadores da Datum Corporation" para "A. Engenheiros de Teste da Datum Corporation."
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Identidades e filiação
/i: Exibir informações de identidade para um grupo especificado
Use /i para exibir informações de identidade para um grupo especificado em uma implantação do Azure DevOps Server.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /i , você deve ter a permissão View collection-level information ou View instance -level information definida como Allow, dependendo se você estiver usando o parâmetro /collection ou /server, respectivamente. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| Identidade | A identidade do usuário ou do grupo de aplicativos. Para obter mais informações sobre especificadores de identidade, consulte Especificadores de identidade mais adiante neste artigo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
O comando /i do utilitário de linha de comando TFSSecurity exibe informações sobre cada grupo dentro da coleção de projetos (/server) ou do servidor de camada de aplicativo (/instance). Ele não exibe nenhuma informação de associação.
Exemplo: Listar informações de identidade para um grupo de segurança
O exemplo a seguir exibe informações de identidade para o grupo "Team Foundation Administrators".
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Saída de exemplo:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Exemplo: Exibir informações de identidade de um grupo de segurança
O exemplo a seguir exibe informações de identidade para o grupo Administradores de Coleção de Projetos usando o especificador de identidade adm:.
tfssecurity /i adm: /collection:CollectionURL
Saída de exemplo:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
O exemplo a seguir exibe informações de identidade para o grupo Administradores de Projeto para o projeto "Datum" usando o especificador de identidade adm:.
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Saída de exemplo:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Exibir informações sobre identidades que compõem a associação direta
Use /im para exibir informações sobre as identidades que compõem a associação direta de um grupo que você especificar.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /im , você deve ter a permissão View collection-level information ou View instance-level information definida como Allow, dependendo se você estiver usando o parâmetro /collection ou /server, respectivamente. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| Identidade | A identidade do usuário ou do grupo. Para obter mais informações sobre especificadores de identidade, consulte Especificadores de identidade mais adiante neste artigo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
O comando /im do TFSSecurity exibe apenas os membros diretos do grupo especificado. Esta lista inclui outros grupos que são membros do grupo especificado. No entanto, os membros efetivos dos grupos de membros não estão listados.
Exemplo: Exibir identidades de associação para um grupo de segurança
O exemplo a seguir apresenta dados de identidade de associação direta para o grupo "Team Foundation Administrators" no domínio "Datum1" na empresa fictícia "A.". Datum Corporation".
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Saída de exemplo:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Exemplo: Exibir informações de identidade de um grupo de segurança
O exemplo a seguir exibe informações de identidade para o grupo Project Collection Administrators na coleção de projetos "DatumOne" no domínio "Datum1" na empresa fictícia "A. Datum Corporation" usando o adm: especificador de identidade.
tfssecurity /im adm: /collection:CollectionURL
Saída de exemplo:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Exemplo: Exibir informações de identidade para um grupo de segurança usando um especificador de identidade
O exemplo a seguir exibe informações de identidade para o grupo Administradores de Projeto para o projeto "Datum" na coleção de projetos "DatumOne" no domínio "Datum1" na empresa fictícia "A. Datum Corporation" usando o adm: especificador de identidade.
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Saída de exemplo:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Exibir informações sobre as identidades que a associação expandida
Use /imx para exibir informações sobre as identidades que compõem a associação expandida de um grupo especificado.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /imx , você deve ter a permissão View collection-level information ou View instance-level information definida como Allow, dependendo se você estiver usando o parâmetro /collection ou /server , respectivamente. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Parâmetros
| Argumento | Descrição |
|---|---|
| Identidade | A identidade do usuário ou do grupo. Para obter mais informações sobre especificadores de identidade, consulte Especificadores de identidade mais adiante neste artigo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando em um servidor de camada de aplicativo para o Azure DevOps.
O comando /imx do TFSSecurity exibe apenas os membros expandidos do grupo especificado. Esta lista inclui não apenas outros grupos que são membros do grupo especificado, mas também os membros dos grupos de membros.
Exemplo: Exibir informações de associação expandidas para um grupo de segurança
O exemplo a seguir exibe informações de identidade de associação expandidas para o grupo "Team Foundation Administrators" no domínio "Datum1" na empresa fictícia "A. Datum Corporation".
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Saída de exemplo:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
O exemplo a seguir exibe informações de identidade para o grupo Project Collection Administrators na coleção de projetos "DatumOne" no domínio "Datum1" na empresa fictícia "A. Datum Corporation" usando o adm: especificador de identidade.
tfssecurity /imx adm: /collection:CollectionURL
Saída de exemplo:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Exemplo: Exibir informações de identidade para um grupo de segurança usando um especificador de identidade
O exemplo a seguir exibe informações de identidade para o grupo Administradores de Projeto para o projeto "Datum" na coleção de projetos "DatumOne" no domínio "Datum1" na empresa fictícia "A. Datum Corporation" usando o adm: especificador de identidade.
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Saída de exemplo:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Para obter mais informações sobre os especificadores de saída, como [G] e [U], consulte Especificadores de identidade mais adiante neste artigo.
/m: Verifique a participação explícita e implícita no grupo
Use /m para verificar informações explícitas e implícitas de associação de grupo para um grupo ou usuário especificado.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Pré-requisitos
Para usar o comando /m , você deve ser membro do grupo de segurança Administradores do Team Foundation. Para obter mais informações, consulte Grupos de segurança e referência de permissão.
Observação
Mesmo se você estiver conectado com credenciais administrativas, você deve abrir um prompt de comando elevado para executar essa função.
Parâmetros
| Argumento | Descrição |
|---|---|
| Identidade do Grupo | Especifica a identidade do grupo. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| Identidade do Membro | Especifica a identidade do membro. Por padrão, o valor desse argumento é a identidade do usuário que está executando o comando. Para obter mais informações sobre especificadores de identidade válidos, consulte Especificadores de identidade mais adiante neste artigo. |
| /collection :CollectionURL | Necessário se /server não for usado. Especifica a URL de uma coleção de projetos no seguinte formato: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Obrigatório se /collection não for usado. Especifica a URL de um servidor de camada de aplicativo no seguinte formato: http:// ServerName : Port / VirtualDirectoryName |
Observações
Execute este comando no computador da camada de aplicativo local.
O comando /m do utilitário de linha de comando TFSSecurity verifica associações diretas e estendidas.
Exemplo: Verificar a associação de um usuário a um grupo de segurança
O exemplo a seguir verifica se o usuário "Datum1\jpeoples" pertence ao grupo de nível de servidor Team Foundation Administrators.
Observação
Os exemplos são meramente ilustrativos e fictícios. Nenhuma associação real é pretendida ou inferida.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Saída de exemplo:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Namespaces de segurança
Observação
Namespaces e tokens são válidos para todas as versões do Azure DevOps. Os namespaces estão sujeitos a alterações ao longo do tempo. Para obter a lista mais recente de namespaces, exerça uma das ferramentas de linha de comando ou API REST. Alguns namespaces foram preteridos. Para obter mais informações, consulte Namespace de segurança e referência de permissão.
Especificadores de identidade
Você pode fazer referência a uma identidade usando uma das notações na tabela a seguir.
| Especificador de identidade | Descrição | Exemplo |
|---|---|---|
| SID: Sid. | Faz referência à identidade que tem o identificador de segurança (SID) especificado. | sid:S-1-5-21-2127521184-1604012920-1887927527-588340 |
| n:[D omain]Nome | Faz referência à identidade que tem o nome especificado. Para Windows, Name é o nome da conta. Se a identidade referenciada estiver em um domínio, o nome de domínio será necessário. Para grupos de aplicativos, Name é o nome de exibição do grupo e Domain é o URI ou GUID do projeto que o contém. Nesse contexto, se Domain for omitido, o escopo será assumido como sendo no nível da coleção. | Para referenciar a identidade do utilizador "John Peoples" no domínio "Datum1" na empresa fictícia "A." Datum Corporation:" n:DATUM1\jpeoples Para fazer referência a grupos de aplicativos: n:"Empregados a tempo inteiro" n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Fornecedores |
| adm:[Escopo] | Faz referência ao grupo de aplicativos administrativos para o escopo, como "Administradores do Team Foundation" para o nível do servidor ou "Administradores da Coleção de Projetos" no nível da coleção. O parâmetro opcional Scope é um URI ou URL do projeto, incluindo seu GUID e cadeia de conexão. Se o escopo for omitido, o escopo do servidor ou da coleção será assumido com base no uso do parâmetro /instance ou /server. Em ambos os casos, os dois pontos ainda são necessários. | adm:vstfs:///Classificação/TeamProject/ GUID |
| SRV: | Faz referência ao grupo de aplicativos para contas de serviço. | Não aplicável |
| todos: | Faz referência a todos os grupos e identidades. | Não aplicável |
| Cordão | Faz referência a uma cadeia de caracteres não qualificada. Se String começar com S-1-, ela será identificada como um SID. Se String começar com CN= ou LDAP:// ela será identificada como um nome distinto. Caso contrário, String é identificado como um nome. | "Testadores de equipa" |
Marcadores de tipo
Os marcadores a seguir são usados para identificar tipos de identidades e ACEs em mensagens de saída.
Marcadores de tipo de identidade
| Marcador de tipo de identidade | Descrição |
|---|---|
| U | Usuário do Windows. |
| G | Grupo Windows. |
| A | Grupo de aplicativos do Azure DevOps Server. |
| a [ A ] | Grupo de aplicativos administrativos. |
| s [ A ] | Grupo de aplicações da conta de serviço. |
| X | A identidade não é válida. |
| ? | A identidade é desconhecida. |
Marcadores de controlo de acesso de entrada
| Marcador de entrada de controle de acesso | Descrição |
|---|---|
| + | PERMITIR entrada de controle de acesso. |
| - | NEGAR entrada de controle de acesso. |
| * [] | Entrada de controle de acesso herdada. |