Použití TFSSecurity ke správě skupin a oprávnění pro Azure DevOps
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Pomocí nástroje příkazového řádku TFSSecurity můžete vytvářet, upravovat a odstraňovat skupiny a uživatele v Azure DevOps Server a dále upravovat oprávnění pro skupiny a uživatele. Informace o provádění těchto úkolů v uživatelském rozhraní najdete v tématu Přidání uživatelů nebo skupin do projektu.
Důležité
Nástroj příkazového řádku TFSSecurity je zastaralý pro použití s Azure DevOps Services. I když TFSSecurity může v některých Azure DevOps Services scénářích fungovat, nepodporuje se. Doporučeným způsobem provádění změn skupin zabezpečení a oprávnění pro Azure DevOps Services je použití webového portálu, nástrojů příkazového řádku az devops security nebo az devops permission nebo rozhraní REST API zabezpečení.
Umístění nástroje příkazového řádku
Nástroje příkazového řádku Azure DevOps jsou nainstalované v adresáři /Tools serveru aplikační vrstvy Azure DevOps.
- Azure DevOps Server 2020:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Poznámka
I když jste přihlášení pomocí přihlašovacích údajů správce, musíte otevřít příkazový řádek se zvýšenými oprávněními k provedení této funkce.
Oprávnění
/a+: Přidání oprávnění
Pomocí příkazu /a+ můžete přidat oprávnění pro uživatele nebo skupinu ve skupině na úrovni serveru, na úrovni kolekce nebo projektu. Pokud chcete přidat uživatele do skupin z webového portálu, přečtěte si téma Nastavení oprávnění na úrovni projektu nebo kolekce.
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /a+ , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Pokud měníte oprávnění pro projekt, musíte mít také oprávnění Upravit informace na úrovni projektu nastavené na Povolit. Další informace najdete v tématu Referenční informace o oprávněních a skupinách.
Parametry
| Argument | Description |
|---|---|
| Obor názvů | Obor názvů obsahující skupinu, do které chcete přidat oprávnění pro uživatele nebo skupinu. Můžete také použít příkaz tfssecurity /a k zobrazení seznamu oborů názvů na úrovni serveru, kolekce a projektu. |
| Identita | Identita uživatele nebo skupiny. Další informace o specifikátorech identit najdete v části Specifikátory identit dále v tomto článku.
|
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Položky řízení přístupu jsou bezpečnostní mechanismy, které určují, ke kterým operacím má uživatel, skupina, služba nebo počítač oprávnění.
Příklad: Zobrazení dostupných oborů názvů
Následující příklad ukazuje, jaké obory názvů jsou k dispozici na úrovni serveru aplikační vrstvy s názvem ADatumCorporation.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /a /server:ServerURL
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Příklad: Zobrazení dostupných akcí
Následující příklad ukazuje, jaké akce jsou k dispozici pro obor názvů na úrovni serveru na úrovni kolekce.
tfssecurity /a Server /collection:CollectionURL
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Příklad: Přiřazení oprávnění na úrovni instance
Následující příklad uděluje oprávnění Zobrazit informace na úrovni instance na úrovni serveru k nasazení ADatumCorporation pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Příklad: Přiřazení oprávnění na úrovni kolekce
Následující příklad udělí oprávnění Zobrazit informace na úrovni kolekce kolekcí kolekcí projektu Kolekce0 pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Odebrání uživatele nebo skupiny z členství ve skupině
Pomocí příkazu /a- odeberte uživatele nebo skupinu z členství ve skupině na úrovni serveru, kolekce nebo projektu. Pokud chcete odebrat uživatele ze skupin z webového portálu, přečtěte si téma Odebrání uživatelských účtů.
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Požadavky
Pokud chcete použít příkaz /a- , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastaveno na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Pokud měníte oprávnění pro projekt, musíte mít také oprávnění Upravit informace na úrovni projektu nastavené na Povolit.
Parametry
| Argument | Description |
|---|---|
| Obor názvů | Obor názvů obsahující skupinu, ke které chcete odebrat oprávnění pro uživatele nebo skupinu. Můžete také použít příkaz tfssecurity /a k zobrazení seznamu oborů názvů na úrovni serveru, kolekce a projektu. |
| Identita | Identita uživatele nebo skupiny. Další informace o specifikátorech identit najdete v části Specifikátory identit dále v tomto článku.
|
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Položky řízení přístupu jsou bezpečnostní mechanismy, které určují, ke kterým operacím má uživatel, skupina, služba nebo počítač oprávnění provádět na počítači nebo serveru.
Příklad: Zobrazení oborů názvů na úrovni serveru
Následující příklad ukazuje, jaké obory názvů jsou k dispozici na úrovni serveru aplikační vrstvy s názvem ADatumCorporation.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /a /server:ServerURL
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Příklad: Zobrazení dostupných akcí na úrovni kolekce
Následující příklad ukazuje, jaké akce jsou k dispozici pro obor názvů serveru na úrovni kolekce.
tfssecurity /a Server /collection:CollectionURL
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Příklad: Odebrání oprávnění na úrovni instance
Následující příklad odebere oprávnění Zobrazit informace na úrovni instance na úrovni serveru pro nasazení ADatumCorporation pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Příklad: Odebrání oprávnění na úrovni kolekce
Následující příklad odebere oprávnění Zobrazit informace na úrovni kolekce pro kolekci projektu Collection0 pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Zobrazení seznamu řízení přístupu
Pomocí příkazu /acl zobrazte seznam řízení přístupu, který se vztahuje na konkrétní objekt.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /acl , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastaveno na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v referenčních informacích o oprávněních pro Azure DevOps Server.
Parametry
| Argument | Description |
|---|---|
| Obor názvů | Obor názvů obsahující skupinu, ke které chcete zobrazit oprávnění pro uživatele nebo skupinu. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Položky řízení přístupu jsou bezpečnostní mechanismy, které určují, ke kterým operacím má uživatel, skupina, služba nebo počítač oprávnění provádět na počítači nebo serveru.
Příklad: Výpis přiřazení seznamu ACL k oboru názvů na úrovni serveru
Následující příklad ukazuje, kteří uživatelé a skupiny mají přístup k tokenu FrameworkGlobalSecurity v oboru názvů serveru v rámci nasazení ADatumCorporation.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Skupiny
/g: Výpis skupin
Pomocí příkazu /g můžete zobrazit seznam skupin v projektu, v kolekci projektů nebo napříč Azure DevOps Server.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Chcete-li použít příkaz /g , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Hodnotu Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Pokud chcete použít příkaz /g v rámci jednoho projektu, musíte mít oprávnění Zobrazit informace na úrovni projektu nastavené na Povolit. Další informace najdete v tématu Referenční informace o oprávněních a skupinách.
Parametry
| Argument | Description |
|---|---|
| scope | Nepovinný parametr. Určuje identifikátor URI projektu, pro který chcete zobrazit skupiny. Pokud chcete získat identifikátor URI projektu, otevřete Team Explorer, klikněte pravým tlačítkem na projekt, klikněte na Vlastnosti a zkopírujte celou položku adresy URL. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Příkaz /g nástroje příkazového řádku TFSSecurity zobrazí informace o každé skupině ve vybraném oboru. Tímto oborem může být kolekce projektů (/server) nebo server aplikační vrstvy (/instance). Pokud se použije s oborem projektu, zobrazí se pouze informace o skupinách přidružených k danému projektu.
Příklad: Zobrazení informací o skupině na úrovni kolekce
Následující příklad zobrazuje informace pro všechny skupiny v kolekci projektů.
tfssecurity /g /collection:CollectionURL
/g+: Přidání uživatele nebo jiné skupiny do existující skupiny
Pomocí příkazu /g+ můžete do existující skupiny přidat uživatele nebo jinou skupinu.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /g+ , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo Oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Description |
|---|---|
| groupIdentity | Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| memberIdentity | Určuje identitu člena. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Uživatele a skupiny můžete také přidat do existující skupiny pomocí Team Exploreru. Další informace najdete v tématu Nastavení oprávnění na úrovni projektu nebo kolekce.
Příklad: Přidání uživatele do skupiny na úrovni serveru
Následující příklad přidá uživatele domény Datum1 John Peoples (Datum1\jpeoples) do skupiny Team Foundation Administrators.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Odebrání uživatele nebo skupiny
Pomocí příkazu /g- odeberte uživatele nebo skupinu uživatelů z existující skupiny.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /g- , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Description |
|---|---|
| groupIdentity | Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| memberIdentity | Určuje identitu člena. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| /collection :CollectionURL | Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Uživatele a skupiny můžete také přidat do existující skupiny pomocí Team Exploreru. Další informace najdete v tématech Odebrání uživatelů ze skupiny projektů nebo Nastavení oprávnění na úrovni projektu nebo kolekce.
Příklad: Odebrání uživatele ze skupiny na úrovni serveru
Následující příklad odebere uživatele domény Datum1 John Peoples (Datum1\jpeoples) ze skupiny Team Foundation Administrators.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Vytvoření skupiny na úrovni projektu
Pomocí příkazu /gc na příkazovém řádku vytvořte skupinu na úrovni projektu. Pokud chcete vytvořit skupinu na úrovni projektu z uživatelského rozhraní, přečtěte si téma Správa uživatelů nebo skupin.
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Požadavky
Pokud chcete použít příkaz /gc , musíte mít oprávnění Upravit Project-Level informace pro daný projekt nastavené na Povolit. Další informace najdete v referenčních informacích k oprávněním.
Parametry
| Argument | Description |
|---|---|
| Obor | Identifikátor URI projektu, do kterého chcete přidat skupinu na úrovni projektu. Pokud chcete získat identifikátor URI projektu, připojte se k němu a otevřete Team Explorer, najeďte myší na název projektu na domovské stránce a přečtěte si adresu. Případně se připojte k projektu v aplikaci Web Access a zkopírujte adresu URL. |
| Groupname | Název nové skupiny. |
| Groupdescription | Popis skupiny projektů Nepovinný parametr. |
| /collection :CollectionURL | Adresa URL kolekce projektu. Povinná hodnota. Skupina se vytvoří v kolekci projektu. Formát adresy URL je http:// ServerName : Port / VirtualDirectoryName / CollectionName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Skupina na úrovni projektu je skupina zabezpečení pro váš projekt. Skupiny projektů můžete použít k udělení oprávnění ke čtení, zápisu a správě, která splňují požadavky vaší organizace na zabezpečení.
Příklad: Přidání skupiny zabezpečení do projektu
Následující příklad vytvoří skupinu specifickou pro projekt, který určuje identifikátor URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000". Skupina má název Testovací skupina a má popis Tato skupina je určená k testování.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
Zástupný identifikátor GUID musíte nahradit identifikátorem URI projektu, pro který chcete vytvořit tuto skupinu. Pokud chcete získat identifikátor URI projektu, otevřete Team Explorer, klikněte pravým tlačítkem na projekt, klikněte na Vlastnosti a zkopírujte celou hodnotu vlastnosti URL.
Po spuštění příkazu můžete skupinu ověřit v Team Exploreru. Klikněte pravým tlačítkem na projekt, který jste použili v příkazu , klikněte na Nastavení projektu a potom klikněte na Členství ve skupinách. V dialogovém okně Skupiny projektů v názvu projektu TeamProjectName obsahuje seznam Skupiny testovací skupinu .
Poznámka
Pomocí příkazu /gc můžete vytvářet skupiny, ale nemůžete do skupin přidávat žádné uživatele ani přiřazovat oprávnění. Pokud chcete změnit členství ve skupině, podívejte se na / g+: Přidání uživatele nebo jiné skupiny do existující skupiny a /g-: Odebrání uživatele nebo skupiny. Pokud chcete změnit oprávnění pro skupinu, podívejte se na / a+: Přidání oprávnění a /a-: Odebrání uživatele nebo skupiny z členství ve skupině.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Vytvoření skupiny na úrovni serveru nebo kolekce
Pomocí příkazu /gcg vytvořte skupinu na úrovni serveru nebo na úrovni kolekce. Pokud chcete vytvořit skupinu na úrovni kolekce z webového portálu, přečtěte si téma Nastavení oprávnění na úrovni projektu nebo kolekce.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Požadavky
Pokud chcete použít příkaz /gcg , musíte mít oprávnění Upravit informace na úrovni projektu pro daný projekt nastavené na Povolit. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Description |
|---|---|
| Groupname | Název skupiny. |
| Groupdescription | Popis skupiny Nepovinný parametr. |
| /collection :CollectionURL | Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Skupiny na úrovni serveru se vytvářejí přímo na aplikační vrstvě a vztahují se na všechny kolekce projektů. Úroveň kolekce se vytváří na úrovni kolekce projektu. Platí pro tuto kolekci a mají dopad na všechny projekty v rámci kolekce. Naproti tomu skupiny projektů se vztahují na konkrétní projekt v rámci kolekce, ale ne na žádné jiné projekty v této kolekci. Skupinám na úrovni serveru můžete přiřadit oprávnění, aby členové těchto skupin mohli provádět úkoly v Azure DevOps Server, jako je vytváření kolekcí projektů. Skupinám na úrovni kolekce můžete přiřadit oprávnění, aby členové těchto skupin mohli provádět úkoly v kolekci projektů, jako je například správa uživatelů.
Poznámka
K vytvoření skupin můžete použít příkaz /gcg , ale nemůžete ho použít k přidání uživatelů do skupin ani k přiřazení oprávnění. Informace o tom, jak změnit členství ve skupině, najdete v tématech /g+: Přidání uživatele nebo jiné skupiny do existující skupiny a /g-: Odebrání uživatele nebo skupiny. Informace o tom, jak změnit oprávnění pro skupinu, najdete v tématech /a+: Přidání oprávnění a /a-: Odebrání uživatele nebo skupiny z členství ve skupině.
Příklad: Přidání skupiny zabezpečení na úrovni kolekce
Následující příklad vytvoří skupinu na úrovni kolekce s názvem "Testery dat" s popisem "A. Datum Corporation Testers."
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
Následující příklad vytvoří skupinu na úrovni serveru s názvem "Datum Auditors" s popisem "A. Datum Corporation Auditors."
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Odstranění serveru nebo skupiny na úrovni kolekce
Pomocí příkazu /gd odstraňte skupinu na úrovni serveru nebo na úrovni kolekce.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /gd , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo Oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Description |
|---|---|
| groupIdentity | Určuje identitu skupiny. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps. Pokud chcete upravit oprávnění prostřednictvím webového portálu, přečtěte si téma Nastavení oprávnění na úrovni projektu nebo kolekce.
Příklad: Odstranění skupiny zabezpečení na úrovni kolekce
Následující příklad odstraní skupinu z kolekce projektů. Skupina je identifikována "S-1-5-21-2127521184-1604012920-1887927527-588340", identifikátor zabezpečení (SID). Další informace o vyhledání identifikátoru SID skupiny najdete v tématu /im: Zobrazení informací o identitách, které tvoří přímé členství. K odstranění skupiny můžete použít také popisný název.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Změna popisu serveru nebo skupiny na úrovni kolekce
Pomocí příkazu /gud můžete změnit popis skupiny na úrovni serveru nebo kolekce.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /gud , musíte mít oprávnění Upravit informace na úrovni projektu nastavené na Povolit. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Description |
|---|---|
| GroupIdentity | Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identit dále v tomto článku. |
| Groupdescription | Určuje nový popis skupiny. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Příklad: Přidání popisu do skupiny zabezpečení
Následující příklad přidruží popis "Členové této skupiny testují kód pro tento projekt" se skupinou "Testery datumů".
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Přejmenování skupiny
Pomocí příkazu /gun přejmenujte skupinu na úrovni serveru nebo na úrovni kolekce.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /gun , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Description |
|---|---|
| GroupIdentity | Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identit dále v tomto článku. |
| Groupname | Určuje nový název skupiny. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Příklad: Přejmenování skupiny zabezpečení
Následující příklad přejmenuje skupinu na úrovni kolekce "A. Datum Corporation Testers" na "A. Datum Corporation Test Engineers."
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Identity a členství
/i: Zobrazení informací o identitě pro zadanou skupinu
Pomocí příkazu /i zobrazíte informace o identitě pro zadanou skupinu v nasazení Azure DevOps Server.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /i , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastaveno na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Popis |
|---|---|
| Identita | Identita uživatele nebo skupiny aplikací. Další informace o specifikátorech identit najdete v části Specifikátory identit dále v tomto článku. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Příkaz /i nástroje příkazového řádku TFSSecurity zobrazí informace o každé skupině v kolekci projektů (/server) nebo serveru aplikační vrstvy (/instance). Nezobrazuje žádné informace o členství.
Příklad: Výpis informací o identitě skupiny zabezpečení
Následující příklad zobrazí informace o identitě pro skupinu Team Foundation Administrators.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Ukázkový výstup:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Příklad: Zobrazení informací o identitě pro skupinu zabezpečení
Následující příklad zobrazí informace o identitě pro skupinu Správci kolekcí projektů pomocí specifikátoru identity adm: .
tfssecurity /i adm: /collection:CollectionURL
Ukázkový výstup:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
Následující příklad zobrazí informace o identitě skupiny Správci projektu pro projekt Datum pomocí specifikátoru adm: identity.
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Ukázkový výstup:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Zobrazení informací o identitách, které tvoří přímé členství
Pomocí příkazu /im můžete zobrazit informace o identitách, které tvoří přímé členství ve skupině, kterou zadáte.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /im , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Popis |
|---|---|
| Identita | Identita uživatele nebo skupiny. Další informace o specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| /collection :CollectionURL | Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Příkaz /imtfsSecurity zobrazí pouze přímé členy zadané skupiny. Tento seznam obsahuje další skupiny, které jsou členy zadané skupiny. Skuteční členové skupin členů však nejsou uvedeni.
Příklad: Zobrazení identit členství pro skupinu zabezpečení
Následující příklad zobrazí informace o identitě přímého členství pro skupinu Team Foundation Administrators v doméně Datum1 u fiktivní společnosti A. Datum Corporation".
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Ukázkový výstup:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Příklad: Zobrazení informací o identitě pro skupinu zabezpečení
Následující příklad zobrazí informace o identitě pro skupinu Správci kolekce projektů v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A. Datum Corporation" pomocí specifikátoru adm: identity.
tfssecurity /im adm: /collection:CollectionURL
Ukázkový výstup:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Příklad: Zobrazení informací o identitě skupiny zabezpečení pomocí specifikátoru identity
Následující příklad zobrazí informace o identitě pro skupinu Správci projektu pro projekt "Datum" v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A". Datum Corporation" pomocí specifikátoru adm: identity.
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Ukázkový výstup:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Zobrazení informací o identitách, které rozšířené členství
Pomocí příkazu /imx můžete zobrazit informace o identitách, které tvoří rozšířené členství v zadané skupině.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /imx , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Parametry
| Argument | Popis |
|---|---|
| Identita | Identita uživatele nebo skupiny. Další informace o specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| /collection :CollectionURL | Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu |
Poznámky
Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.
Příkaz /imxtfsSecurity zobrazí pouze rozšířené členy zadané skupiny. Tento seznam obsahuje nejen ostatní skupiny, které jsou členy zadané skupiny, ale také členy skupin členů.
Příklad: Zobrazení rozbalených informací o členství pro skupinu zabezpečení
Následující příklad zobrazí rozšířené informace o identitě členství pro skupinu Team Foundation Administrators v doméně Datum1 ve fiktivní společnosti A. Datum Corporation".
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Ukázkový výstup:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Následující příklad zobrazí informace o identitě pro skupinu Správci kolekce projektů v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A. Datum Corporation" pomocí specifikátoru adm: identity.
tfssecurity /imx adm: /collection:CollectionURL
Ukázkový výstup:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Příklad: Zobrazení informací o identitě skupiny zabezpečení pomocí specifikátoru identity
Následující příklad zobrazí informace o identitě pro skupinu Správci projektu pro projekt "Datum" v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A". Datum Corporation" pomocí specifikátoru adm: identity.
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Ukázkový výstup:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Další informace o specifikátorech výstupu, například [G] a [U], najdete v části Specifikátory identity dále v tomto článku.
/m: Kontrola explicitního a implicitního členství ve skupinách
Pomocí příkazu /m zkontrolujte explicitní a implicitní informace o členství ve skupině pro zadanou skupinu nebo uživatele.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Požadavky
Pokud chcete použít příkaz /m , musíte být členem skupiny zabezpečení Team Foundation Administrators. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.
Poznámka
I když jste přihlášení pomocí přihlašovacích údajů správce, musíte k provedení této funkce otevřít příkazový řádek se zvýšenými oprávněními.
Parametry
| Argument | Description |
|---|---|
| GroupIdentity | Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| MemberIdentity | Určuje identitu člena. Ve výchozím nastavení je hodnotou tohoto argumentu identita uživatele, který spouští příkaz. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku. |
| /collection :CollectionURL | Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName |
Poznámky
Spusťte tento příkaz na místním počítači aplikační vrstvy.
Příkaz /m nástroje příkazového řádku TFSSecurity kontroluje přímé i rozšířené členství.
Příklad: Ověření členství uživatele ve skupině zabezpečení
Následující příklad ověřuje, jestli uživatel "Datum1\jpeoples" patří do skupiny Team Foundation Administrators na úrovni serveru.
Poznámka
Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Ukázkový výstup:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Obory názvů zabezpečení
Poznámka
Obory názvů a tokeny jsou platné pro všechny verze Azure DevOps. Obory názvů se můžou v průběhu času měnit. Pokud chcete získat nejnovější seznam oborů názvů, vyzkoušejte jeden z nástrojů příkazového řádku nebo rozhraní REST API. Některé obory názvů jsou zastaralé. Další informace najdete v tématu Referenční informace k oboru názvů zabezpečení a oprávněním.
Specifikátory identity
Na identitu můžete odkazovat pomocí jednoho z zápisů v následující tabulce.
| Specifikátor identity | Popis | Příklad |
|---|---|---|
| Sid: Sid. | Odkazuje na identitu, která má zadaný identifikátor zabezpečení (SID). | sid:S-1-5-21-2127521184-1604012920-1887927527-588340 |
| n:[D omain]Název | Odkazuje na identitu se zadaným názvem. Pro Windows je název účtu název. Pokud je odkazovaná identita v doméně, je název domény povinný. Pro skupiny aplikací je zobrazovaný název skupiny Název a Doména je identifikátor URI nebo GUID projektu, který obsahuje. Pokud je v tomto kontextu vynechána doména, předpokládá se, že obor je na úrovni kolekce. | Chcete-li odkazovat na identitu uživatele "John Peoples" v doméně "Datum1" ve fiktivní společnosti "A. Datum Corporation:" n:DATUM1\jpeoples Odkaz na skupiny aplikací: n:"Zaměstnanci na plný úvazek" n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors |
| adm:[Obor] | Odkazuje na skupinu aplikací pro správu pro obor, například "Team Foundation Administrators" pro úroveň serveru nebo "Správci kolekce projektů" na úrovni kolekce. Volitelný parametr Scope je identifikátor URI projektu nebo adresa URL, včetně jeho identifikátoru GUID a připojovací řetězec. Pokud je obor vynechán, předpokládá se obor serveru nebo kolekce na základě toho, jestli je použit parametr /instance nebo /server. V obou případech se dvojtečka stále vyžaduje. | adm:vstfs:///Classification/TeamProject/ Identifikátor guid |
| Srv: | Odkazuje na skupinu aplikací pro účty služeb. | Neuvedeno |
| Všechny: | Odkazuje na všechny skupiny a identity. | Neuvedeno |
| Řetězec | Odkazuje na nekvalifikovaný řetězec. Pokud string začíná na S-1-, je identifikován jako IDENTIFIKÁTOR SID. Pokud řetězec začíná na CN= nebo LDAP:// je označen jako rozlišující název. V opačném případě je řetězec identifikován jako název. | "Týmové testery" |
Značky typů
Následující značky slouží k identifikaci typů identit a ACE ve výstupních zprávách.
Značky typů identit
| Značka typu identity | Description |
|---|---|
| U | Uživatel Systému Windows. |
| G | Skupina Systému Windows. |
| A | Azure DevOps Server skupiny aplikací. |
| a [ A ] | Skupina aplikací pro správu. |
| s [ A ] | Skupina aplikací účtu služby |
| X | Identita není platná. |
| ? | Identita je neznámá. |
Značky položek řízení přístupu
| Značka položky řízení přístupu | Description |
|---|---|
| + | POVOLIT položku řízení přístupu. |
| - | ODEPŘÍT položku řízení přístupu. |
| * [] | Zděděná položka řízení přístupu. |