Verwenden von TFSSecurity zum Verwalten von Gruppen und Berechtigungen für Azure DevOps
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Sie können das TFSSecurity-Befehlszeilentool verwenden, um Gruppen und Benutzer in Azure DevOps Server zu erstellen, zu ändern und zu löschen und zusätzlich Berechtigungen für Gruppen und Benutzer zu ändern. Informationen zum Ausführen dieser Aufgaben in der Benutzeroberfläche finden Sie unter Hinzufügen von Benutzern oder Gruppen zu einem Projekt.
Wichtig
Das TFSSecurity-Befehlszeilentool ist für die Verwendung mit Azure DevOps Services veraltet. TFSSecurity funktioniert zwar für einige Azure DevOps Services Szenarien, wird jedoch nicht unterstützt. Die empfohlene Methode zum Ändern von Sicherheitsgruppen und Berechtigungen für Azure DevOps Services ist entweder die Verwendung des Webportals, der Befehlszeilentools az devops security oder az devops permission oder der Rest-API für Sicherheit.
Speicherort des Befehlszeilentools
Azure DevOps-Befehlszeilentools werden im Verzeichnis /Tools eines Azure DevOps-Anwendungsebenenservers installiert.
- Azure DevOps Server 2020:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Hinweis
Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.
Berechtigungen
/a+: Berechtigungen hinzufügen
Verwenden Sie /a+ , um Berechtigungen für einen Benutzer oder eine Gruppe in einer Gruppe auf Server-, Sammlungs- oder Projektebene hinzuzufügen. Informationen zum Hinzufügen von Benutzern zu Gruppen über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /a+ verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, muss die Berechtigung Informationen auf Projektebene bearbeiten für das Projekt auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, der Sie Berechtigungen für einen Benutzer oder eine Gruppe hinzufügen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen. |
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
|
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.
Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer ausführen darf.
Beispiel: Anzeigen verfügbarer Namespaces
Im folgenden Beispiel wird angezeigt, welche Namespaces auf Serverebene für den Anwendungsebenenserver mit dem Namen ADatumCorporation verfügbar sind.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /a /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Beispiel: Anzeigen verfügbarer Aktionen
Im folgenden Beispiel wird angezeigt, welche Aktionen für den Namespace auf Serverebene auf Sammlungsebene verfügbar sind.
tfssecurity /a Server /collection:CollectionURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Beispiel: Zuweisen einer berechtigung auf instance ebene
Im folgenden Beispiel wird der Instance der ADatumCorporation-Bereitstellung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) die Berechtigung View instance-Ebene erteilt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Beispiel: Zuweisen einer Berechtigung auf Sammlungsebene
Im folgenden Beispiel wird der Auflistungsebene Anzeigen von Informationen auf Sammlungsebene der Collection0-Projektsammlung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) die Berechtigung erteilt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe
Verwenden Sie den Befehl /a- , um einen Benutzer oder eine Gruppe aus der Mitgliedschaft in einer Gruppe auf Server-, Sammlungs- oder Projektebene zu entfernen. Informationen zum Entfernen von Benutzern aus Gruppen aus dem Webportal finden Sie unter Entfernen von Benutzerkonten.
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Voraussetzungen
Um den Befehl /a- verwenden zu können, müssen Sie die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt haben, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, muss die Berechtigung Informationen auf Projektebene bearbeiten für das Projekt auf Zulassen festgelegt sein.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe entfernen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen. |
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
|
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.
Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.
Beispiel: Anzeigen von Namespaces auf Serverebene
Das folgende Beispiel zeigt, welche Namespaces auf der Serverebene für den Anwendungsebenenserver "ADatumCorporation" verfügbar sind.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /a /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Beispiel: Anzeigen verfügbarer Aktionen auf Sammlungsebene
Im folgenden Beispiel wird angezeigt, welche Aktionen für den Servernamespace auf Sammlungsebene verfügbar sind.
tfssecurity /a Server /collection:CollectionURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Beispiel: Entfernen einer berechtigung auf instance ebene
Im folgenden Beispiel wird die Berechtigung Ansicht instance auf Serverebene für die ADatumCorporation-Bereitstellung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Beispiel: Entfernen einer Berechtigung auf Sammlungsebene
Im folgenden Beispiel wird die Berechtigung Ansichtsinformationen auf Sammlungsebene für die Collection0-Projektsammlung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Anzeigen der Zugriffssteuerungsliste
Verwenden Sie /acl , um die Zugriffssteuerungsliste anzuzeigen, die für ein bestimmtes Objekt gilt.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /acl verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder Instance-Ebene anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den /collection- oder /server-Parameter verwenden. Weitere Informationen finden Sie unter Berechtigungsreferenz für Azure DevOps Server.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe anzeigen möchten. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.
Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.
Beispiel: Auflisten von ACL-Zuweisungen zu einem Namespace auf Serverebene
Im folgenden Beispiel wird angezeigt, welche Benutzer und Gruppen zugriff auf das Token FrameworkGlobalSecurity im Servernamespace innerhalb der ADatumCorporation-Bereitstellung haben.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Gruppen
/g: Auflisten der Gruppen
Verwenden Sie /g, um die Gruppen in einem Projekt, in einer Projektsammlung oder über Azure DevOps Server hinweg auflisten.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /g verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf Instance ebene anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den /collection- oder /server-Parameter verwenden. Um den Befehl /g im Bereich eines einzelnen Projekts verwenden zu können, muss die Berechtigung Informationen auf Projektebene anzeigen auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| scope | Optional. Gibt den URI des Projekts an, für das Gruppen angezeigt werden sollen. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Eintrag für URL. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.
Der Befehl /g des TFSSecurity-Befehlszeilenprogramms zeigt Informationen zu jeder Gruppe innerhalb des ausgewählten Bereichs an. Dieser Bereich kann die Projektsammlung (/server) oder der Anwendungsebenenserver (/instance) sein. Wenn sie mit dem Bereich eines Projekts verwendet wird, werden nur Informationen zu den Gruppen angezeigt, die diesem Projekt zugeordnet sind.
Beispiel: Anzeigen von Gruppeninformationen auf Sammlungsebene
Im folgenden Beispiel werden Informationen für alle Gruppen innerhalb einer Projektauflistung angezeigt.
tfssecurity /g /collection:CollectionURL
/g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe
Verwenden Sie /g+ , um einer vorhandenen Gruppe einen Benutzer oder eine andere Gruppe hinzuzufügen.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /g+ verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen auf instance Ebene anzeigen und Informationen auf instance Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| groupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| memberIdentity | Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.
Sie können einer vorhandenen Gruppe auch Mithilfe von Team Explorer Benutzer und Gruppen hinzufügen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Beispiel: Hinzufügen eines Benutzers zu einer Gruppe auf Serverebene
Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) der Gruppe "Team Foundation-Administratoren" hinzugefügt.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Entfernen eines Benutzers oder einer Gruppe
Verwenden Sie /g- , um einen Benutzer oder eine Benutzergruppe aus einer vorhandenen Gruppe zu entfernen.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /g- verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen instance anzeigen und Informationen auf instance-Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| groupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| memberIdentity | Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.
Sie können einer vorhandenen Gruppe auch Mithilfe von Team Explorer Benutzer und Gruppen hinzufügen. Weitere Informationen finden Sie unter Entfernen von Benutzern aus einer Projektgruppe oder Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Beispiel: Entfernen eines Benutzers aus einer Gruppe auf Serverebene
Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) aus der Gruppe "Team Foundation-Administratoren" entfernt.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Erstellen einer Gruppe auf Projektebene
Verwenden Sie /gc an einer Eingabeaufforderung, um eine Gruppe auf Projektebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Projektebene über die Benutzeroberfläche finden Sie unter Verwalten von Benutzern oder Gruppen.
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Voraussetzungen
Um den Befehl /gc verwenden zu können, muss die Berechtigung Project-Level Informationen bearbeiten für dieses Projekt auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| `Scope` | Der URI des Projekts, dem Sie eine Gruppe auf Projektebene hinzufügen möchten. Um den URI für ein Projekt zu erhalten, stellen Sie eine Verbindung mit dem Projekt her, und öffnen Sie Team Explorer, zeigen Sie auf den Namen des Projekts in der Startseite, und lesen Sie die Adresse. Alternativ können Sie in Web Access eine Verbindung mit dem Projekt herstellen und die URL kopieren. |
| GroupName | Der Name der neuen Gruppe. |
| Groupdescription | Eine Beschreibung der Projektgruppe. Optional. |
| /collection :CollectionURL | Die URL der Projektauflistung. Erforderlich. Die Gruppe wird innerhalb der Projektauflistung erstellt. Das Format für die URL ist http:// ServerName : Port / VirtualDirectoryName / CollectionName |
Hinweise
Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.
Eine Gruppe auf Projektebene ist eine Sicherheitsgruppe für Ihr Projekt. Mithilfe von Projektgruppen können Sie Lese-, Schreib- und Administratorberechtigungen gewähren, die die Sicherheitsanforderungen Ihrer Organisation erfüllen.
Beispiel: Hinzufügen einer Sicherheitsgruppe zu einem Projekt
Im folgenden Beispiel wird eine Gruppe erstellt, die spezifisch für das vom URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000" angegebene Projekt ist. Die Gruppe hat den Namen "Test Group" und die Beschreibung "This group is for testing."
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
Sie müssen die Platzhalter-GUID durch den URI des Projekts ersetzen, für das Sie diese Gruppe erstellen möchten. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Wert der URL-Eigenschaft.
Nachdem Sie den Befehl ausgeführt haben, können Sie die Gruppe in Team Explorer überprüfen. Klicken Sie mit der rechten Maustaste auf das Projekt, das Sie im Befehl verwendet haben, klicken Sie auf Projekteinstellungen, und klicken Sie dann auf Gruppenmitgliedschaften. Im Dialogfeld Projektgruppen in Teamprojektname enthält die Liste Gruppen den Eintrag "Test Group".
Hinweis
Sie können den Befehl /gc verwenden, um Gruppen zu erstellen, aber nicht, um den Gruppen Benutzer hinzuzufügen oder Berechtigungen zuzuweisen. Informationen zum Ändern der Mitgliedschaft der Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Erstellen eines Servers oder einer Gruppe auf Sammlungsebene
Verwenden Sie den Befehl /gcg , um eine Gruppe auf Server- oder Sammlungsebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Sammlungsebene über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Voraussetzungen
Um den Befehl /gcg verwenden zu können, muss die Berechtigung Informationen auf Projektebene bearbeiten für dieses Projekt auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| GroupName | Der Gruppenname. |
| Groupdescription | Eine Beschreibung der Gruppe. Optional. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.
Gruppen auf Serverebene werden direkt auf der Anwendungsebene erstellt und gelten für alle Projektsammlungen. Sammlungsebene wird auf Projektsammlungsebene erstellt. Sie gelten für diese Sammlung und haben Auswirkungen auf alle Projekte innerhalb der Sammlung. Im Gegensatz dazu gelten Projektgruppen für ein bestimmtes Projekt innerhalb einer Auflistung, aber nicht für andere Projekte in dieser Auflistung. Sie können Gruppen auf Serverebene Berechtigungen zuweisen, damit Mitglieder dieser Gruppen Aufgaben in Azure DevOps Server selbst ausführen können, z. B. das Erstellen von Projektsammlungen. Sie können Gruppen auf Sammlungsebene Berechtigungen zuweisen, damit Mitglieder dieser Gruppen Aufgaben in einer Projektsammlung ausführen können, z. B. das Verwalten von Benutzern.
Hinweis
Sie können den Befehl /gcg verwenden, um Gruppen zu erstellen, aber Sie können ihn nicht verwenden, um den Gruppen Benutzer hinzuzufügen oder Berechtigungen zuzuweisen. Informationen zum Ändern der Mitgliedschaft einer Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.
Beispiel: Hinzufügen einer Sicherheitsgruppe auf Sammlungsebene
Im folgenden Beispiel wird eine Gruppe auf Auflistungsebene mit dem Namen "Datum Testers" mit der Beschreibung "A. Datum Corporation Testers."
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
Im folgenden Beispiel wird eine Gruppe auf Serverebene mit dem Namen "Datum Auditoren" mit der Beschreibung "A" erstellt. Datum Corporation Auditoren."
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Löschen einer Gruppe auf Server- oder Sammlungsebene
Verwenden Sie /gd , um eine Gruppe auf Server- oder Sammlungsebene zu löschen.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /gd verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen auf instance-Ebene anzeigen und Informationen auf instance-Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| groupIdentity | Gibt die Gruppenidentität an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus. Informationen zum Ändern von Berechtigungen über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Beispiel: Löschen einer Sicherheitsgruppe auf Sammlungsebene
Im folgenden Beispiel wird eine Gruppe aus der Projektauflistung gelöscht. Die Gruppe wird durch "S-1-5-21-2127521184-1604012920-1887927527-588340", dem Sicherheitsbezeichner (SID) identifiziert. Weitere Informationen zum Suchen der SID einer Gruppe finden Sie unter /im: Anzeigen von Informationen zu Identitäten, die eine direkte Mitgliedschaft bilden. Sie können auch den Anzeigenamen verwenden, um eine Gruppe zu löschen.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Ändern der Beschreibung für einen Server oder eine Gruppe auf Sammlungsebene
Verwenden Sie /gud , um die Beschreibung für eine Gruppe auf Server- oder Sammlungsebene zu ändern.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /gud verwenden zu können, muss die Berechtigung Informationen auf Projektebene bearbeiten auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| GroupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| Groupdescription | Gibt die neue Beschreibung für die Gruppe an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.
Beispiel: Hinzufügen einer Beschreibung zu einer Sicherheitsgruppe
Im folgenden Beispiel wird die Beschreibung "Die Mitglieder dieser Gruppe testen den Code für dieses Projekt" der Gruppe "Datum testers" zugeordnet.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Umbenennen einer Gruppe
Verwenden Sie /gun , um eine Gruppe auf Server- oder Sammlungsebene umzubenennen.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /gun verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen auf instance-Ebene anzeigen und Informationen auf instance-Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| GroupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| GroupName | Gibt den neuen Namen der Gruppe an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.
Beispiel: Umbenennen einer Sicherheitsgruppe
Im folgenden Beispiel wird die Gruppe auf Sammlungsebene in "A" umbenannt. Datum Corporation Testers" auf "A. Datum Corporation Test Engineers."
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Identitäten und Mitgliedschaft
/i: Anzeigen von Identitätsinformationen für eine angegebene Gruppe
Verwenden Sie /i, um Identitätsinformationen für eine angegebene Gruppe in einer Bereitstellung von Azure DevOps Server anzuzeigen.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /i verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder die Berechtigung Informationen auf Instance anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Identität | Die Identität des Benutzers oder der Anwendungsgruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.
Der Befehl /i des TFSSecurity-Befehlszeilenprogramms zeigt Informationen zu jeder Gruppe innerhalb der Projektsammlung (/server) oder des Anwendungsebenenservers (/instance) an. Es werden keine Mitgliedschaftsinformationen angezeigt.
Beispiel: Auflisten von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Team Foundation-Administratoren" angezeigt.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektsammlungsadministratoren mithilfe des identitätsbezeichners adm: angezeigt.
tfssecurity /i adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektadministratoren für das Projekt "Datum" mithilfe des identitätsbezeichners adm: angezeigt.
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Anzeigen von Informationen zu Identitäten, die eine direkte Mitgliedschaft bilden
Verwenden Sie /im , um Informationen zu den Identitäten anzuzeigen, aus denen die direkte Mitgliedschaft einer gruppe besteht, die Sie angeben.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /im verwenden zu können, müssen Sie die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt haben, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.
Der / im-Befehl von TFSSecurity zeigt nur die direkten Mitglieder der angegebenen Gruppe an. Diese Liste umfasst weitere Gruppen, die Mitglieder der angegebenen Gruppe sind. Die tatsächlichen Mitglieder der Mitgliedsgruppen werden jedoch nicht aufgelistet.
Beispiel: Anzeigen von Mitgliedschaftsidentitäten für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen zu direkten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektsammlungsadministratoren in der Projektauflistung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /im adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektadministratoren für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Anzeigen von Informationen zu den Identitäten der erweiterten Mitgliedschaft
Verwenden Sie /imx , um Informationen zu den Identitäten anzuzeigen, aus denen die erweiterte Mitgliedschaft einer angegebenen Gruppe besteht.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /imx verwenden zu können, müssen Sie die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt haben, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.
Der Befehl /imx von TFSSecurity zeigt nur die erweiterten Mitglieder der angegebenen Gruppe an. Diese Liste enthält nicht nur andere Gruppen, die Elemente der angegebenen Gruppe sind, sondern auch Elemente der Elementgruppen.
Beispiel: Anzeigen erweiterter Mitgliedschaftsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen zu erweiterten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektsammlungsadministratoren in der Projektauflistung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /imx adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektadministratoren für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Weitere Informationen zu den Ausgabespezifizierern, z. B. [G] und [U], finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
/m: Überprüfen der expliziten und impliziten Gruppenmitgliedschaft
Verwenden Sie /m , um explizite und implizite Gruppenmitgliedschaftsinformationen für eine angegebene Gruppe oder einen angegebenen Benutzer zu überprüfen.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /m verwenden zu können, müssen Sie Mitglied der Sicherheitsgruppe Team Foundation-Administratoren sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Hinweis
Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| GroupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| MemberIdentity | Gibt die Mitgliedsidentität an. Standardmäßig ist der Wert dieses Arguments die Identität des Benutzers, der den Befehl ausführt. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Hinweise
Führen Sie diesen Befehl auf dem lokalen Computer der Anwendungsebene aus.
Der Befehl /m des TFSSecurity-Befehlszeilenprogramms überprüft sowohl direkte als auch erweiterte Mitgliedschaften.
Beispiel: Überprüfen der Mitgliedschaft eines Benutzers in einer Sicherheitsgruppe
Im folgenden Beispiel wird überprüft, ob der Benutzer "Datum1\jpeoples" zur Gruppe Team Foundation-Administratoren auf Serverebene gehört.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Sicherheitsnamespaces
Hinweis
Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Namespaces können sich im Laufe der Zeit ändern. Um die neueste Liste der Namespaces abzurufen, verwenden Sie eines der Befehlszeilentools oder die REST-API. Einige Namespaces sind veraltet. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz.
Identitätsspezifizierer
Sie können auf eine Identität verweisen, indem Sie eine der Notationen in der folgenden Tabelle verwenden.
| Identitätsbezeichner | BESCHREIBUNG | Beispiel |
|---|---|---|
| Sid: Sid. | Verweist auf die Identität, die über die angegebene Sicherheits-ID (SID) verfügt. | sid:S-1-5-21-2127521184-1604012920-1887927527-588340 |
| n:[D omain]Name | Verweist auf die Identität mit dem angegebenen Namen. Für Windows ist Name der Kontoname. Wenn sich die Identität, auf die verwiesen wird, in einer Domäne befindet, ist der Domänenname erforderlich. Für Anwendungsgruppen ist Name der Anzeigename der Gruppe, und Domäne ist der URI oder die GUID des enthaltenden Projekts. Wenn Domäne in diesem Kontext ausgelassen wird, wird davon ausgegangen, dass sich der Bereich auf der Sammlungsebene befindet. | Auf die Identität des Benutzers "John Peoples" in der Domäne "Datum1" bei der fiktiven Firma "A. Datum Corporation:" n:DATUM1\jpeoples So verweisen Sie auf Anwendungsgruppen: n:"Vollzeitbeschäftigte" n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors |
| adm:[Bereich] | Verweist auf die administrative Anwendungsgruppe für den Bereich, z. B. "Team Foundation-Administratoren" für die Serverebene oder "Projektsammlungsadministratoren" auf Sammlungsebene. Der optionale Parameter Scope ist ein Projekt-URI oder eine URL, einschließlich seiner GUID und Verbindungszeichenfolge. Wenn der Bereich ausgelassen wird, wird der Server- oder Sammlungsbereich basierend darauf angenommen, ob der /instance- oder /server-Parameter verwendet wird. In beiden Fällen ist der Doppelpunkt weiterhin erforderlich. | adm:vstfs:///Classification/TeamProject/ GUID |
| Srv: | Verweist auf die Anwendungsgruppe für Dienstkonten. | Nicht zutreffend |
| Alle: | Verweist auf alle Gruppen und Identitäten. | Nicht zutreffend |
| String | Verweist auf eine nicht qualifizierte Zeichenfolge. Wenn String mit S-1- beginnt, wird es als SID identifiziert. Wenn String mit CN= oder LDAP:// beginnt, wird es als distinguished Name identifiziert. Andernfalls wird String als Name identifiziert. | "Teamtester" |
Typmarker
Die folgenden Marker werden verwendet, um Typen von Identitäten und ACEs in Ausgabemeldungen zu identifizieren.
Identitätstypmarker
| Identitätstypmarker | Beschreibung |
|---|---|
| U | Windows-Benutzer. |
| G | Windows-Gruppe. |
| A | Azure DevOps Server Anwendungsgruppe. |
| a [ A ] | Administrative Anwendungsgruppe. |
| s [ A ] | Dienstkontoanwendungsgruppe. |
| X | Die Identität ist ungültig. |
| ? | Die Identität ist unbekannt. |
Zugriffssteuerungsmarker
| Zugriffssteuerungsmarker | BESCHREIBUNG |
|---|---|
| + | ALLOW-Zugriffssteuerungseintrag. |
| - | DENY-Zugriffssteuerungseintrag. |
| * [] | Geerbter Zugriffssteuerungseintrag. |