Sdílet prostřednictvím


Použití TFSSecurity ke správě skupin a oprávnění pro Azure DevOps

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Pomocí nástroje příkazového řádku TFSSecurity můžete vytvářet, upravovat a odstraňovat skupiny a uživatele v Azure DevOps Server a dále upravovat oprávnění pro skupiny a uživatele. Informace o provádění těchto úkolů v uživatelském rozhraní najdete v tématu Přidání uživatelů nebo skupin do projektu.

Důležité

Nástroj příkazového řádku TFSSecurity je zastaralý pro použití s Azure DevOps Services. I když TFSSecurity může v některých Azure DevOps Services scénářích fungovat, nepodporuje se. Doporučeným způsobem provádění změn skupin zabezpečení a oprávnění pro Azure DevOps Services je použití webového portálu, nástrojů příkazového řádku az devops security nebo az devops permission nebo rozhraní REST API zabezpečení.

Umístění nástroje příkazového řádku

Nástroje příkazového řádku Azure DevOps jsou nainstalované v adresáři /Tools serveru aplikační vrstvy Azure DevOps.

  • Azure DevOps Server 2020:%programfiles%\Azure DevOps Server 2020\Tools
  • Azure DevOps Server 2019:%programfiles%\Azure DevOps Server 2019\Tools
  • TFS 2018: %programfiles%\Microsoft Team Foundation Server 2018\Tools
  • TFS 2017: %programfiles%\Microsoft Team Foundation Server 15.0\Tools
  • TFS 2015: %programfiles%\Microsoft Team Foundation Server 14.0\Tools
  • TFS 2013: %programfiles%\Microsoft Team Foundation Server 12.0\Tools
  • TFS 2012: %programfiles%\Microsoft Team Foundation Server 11.0\Tools
  • TFS 2010: %programfiles%\Microsoft Team Foundation Server 2010\Tools

Poznámka

I když jste přihlášení pomocí přihlašovacích údajů správce, musíte otevřít příkazový řádek se zvýšenými oprávněními k provedení této funkce.

Oprávnění

/a+: Přidání oprávnění

Pomocí příkazu /a+ můžete přidat oprávnění pro uživatele nebo skupinu ve skupině na úrovni serveru, na úrovni kolekce nebo projektu. Pokud chcete přidat uživatele do skupin z webového portálu, přečtěte si téma Nastavení oprávnění na úrovni projektu nebo kolekce.

tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /a+ , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Pokud měníte oprávnění pro projekt, musíte mít také oprávnění Upravit informace na úrovni projektu nastavené na Povolit. Další informace najdete v tématu Referenční informace o oprávněních a skupinách.

Parametry

Argument Description
Obor názvů Obor názvů obsahující skupinu, do které chcete přidat oprávnění pro uživatele nebo skupinu. Můžete také použít příkaz tfssecurity /a k zobrazení seznamu oborů názvů na úrovni serveru, kolekce a projektu.
Identita Identita uživatele nebo skupiny. Další informace o specifikátorech identit najdete v části Specifikátory identit dále v tomto článku.
  • POVOLIT
    Skupina nebo uživatel může provést operaci, kterou určuje akce.
  • DENY
    Skupina nebo uživatel nemůže provést operaci, kterou určuje akce.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Položky řízení přístupu jsou bezpečnostní mechanismy, které určují, ke kterým operacím má uživatel, skupina, služba nebo počítač oprávnění.

Příklad: Zobrazení dostupných oborů názvů

Následující příklad ukazuje, jaké obory názvů jsou k dispozici na úrovni serveru aplikační vrstvy s názvem ADatumCorporation.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /a /server:ServerURL 

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Příklad: Zobrazení dostupných akcí

Následující příklad ukazuje, jaké akce jsou k dispozici pro obor názvů na úrovni serveru na úrovni kolekce.

tfssecurity /a Server /collection:CollectionURL 

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Příklad: Přiřazení oprávnění na úrovni instance

Následující příklad uděluje oprávnění Zobrazit informace na úrovni instance na úrovni serveru k nasazení ADatumCorporation pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
      [+] GenericRead                        DATUM1\jpeoples

    Done.

Příklad: Přiřazení oprávnění na úrovni kolekce

Následující příklad udělí oprávnění Zobrazit informace na úrovni kolekce kolekcí kolekcí projektu Kolekce0 pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts
      [+] GenericRead                        DATUM1\jpeoples

    Done.

/a-: Odebrání uživatele nebo skupiny z členství ve skupině

Pomocí příkazu /a- odeberte uživatele nebo skupinu z členství ve skupině na úrovni serveru, kolekce nebo projektu. Pokud chcete odebrat uživatele ze skupin z webového portálu, přečtěte si téma Odebrání uživatelských účtů.

tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]

Požadavky

Pokud chcete použít příkaz /a- , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastaveno na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Pokud měníte oprávnění pro projekt, musíte mít také oprávnění Upravit informace na úrovni projektu nastavené na Povolit.

Parametry

Argument Description
Obor názvů Obor názvů obsahující skupinu, ke které chcete odebrat oprávnění pro uživatele nebo skupinu. Můžete také použít příkaz tfssecurity /a k zobrazení seznamu oborů názvů na úrovni serveru, kolekce a projektu.
Identita Identita uživatele nebo skupiny. Další informace o specifikátorech identit najdete v části Specifikátory identit dále v tomto článku.
  • POVOLIT
    Skupina nebo uživatel může provést operaci, kterou určuje akce.
  • DENY
    Skupina nebo uživatel nemůže provést operaci, kterou určuje akce.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Položky řízení přístupu jsou bezpečnostní mechanismy, které určují, ke kterým operacím má uživatel, skupina, služba nebo počítač oprávnění provádět na počítači nebo serveru.

Příklad: Zobrazení oborů názvů na úrovni serveru

Následující příklad ukazuje, jaké obory názvů jsou k dispozici na úrovni serveru aplikační vrstvy s názvem ADatumCorporation.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /a /server:ServerURL 

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Příklad: Zobrazení dostupných akcí na úrovni kolekce

Následující příklad ukazuje, jaké akce jsou k dispozici pro obor názvů serveru na úrovni kolekce.

tfssecurity /a Server /collection:CollectionURL 

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Příklad: Odebrání oprávnění na úrovni instance

Následující příklad odebere oprávnění Zobrazit informace na úrovni instance na úrovni serveru pro nasazení ADatumCorporation pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators

    Done.

Příklad: Odebrání oprávnění na úrovni kolekce

Následující příklad odebere oprávnění Zobrazit informace na úrovni kolekce pro kolekci projektu Collection0 pro uživatele domény Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts

    Done.

/acl: Zobrazení seznamu řízení přístupu

Pomocí příkazu /acl zobrazte seznam řízení přístupu, který se vztahuje na konkrétní objekt.

tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /acl , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastaveno na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v referenčních informacích o oprávněních pro Azure DevOps Server.

Parametry

Argument Description
Obor názvů Obor názvů obsahující skupinu, ke které chcete zobrazit oprávnění pro uživatele nebo skupinu.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Položky řízení přístupu jsou bezpečnostní mechanismy, které určují, ke kterým operacím má uživatel, skupina, služba nebo počítač oprávnění provádět na počítači nebo serveru.

Příklad: Výpis přiřazení seznamu ACL k oboru názvů na úrovni serveru

Následující příklad ukazuje, kteří uživatelé a skupiny mají přístup k tokenu FrameworkGlobalSecurity v oboru názvů serveru v rámci nasazení ADatumCorporation.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL 

Ukázkový výstup:

	TFSSecurity - Team Foundation Server Security Tool
	Copyright (c) Microsoft Corporation.  All rights reserved.
	The target Team Foundation Server is http://ADatumCorporation:8080/.
	Retrieving the access control list for object "Server"...

	Effective ACL on object "FrameworkGlobalSecurity":
	  [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
	  [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
	  [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
	  [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
	  [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
	  [+] GenericRead                        DATUM1\jpeoples

	Done.

Skupiny

/g: Výpis skupin

Pomocí příkazu /g můžete zobrazit seznam skupin v projektu, v kolekci projektů nebo napříč Azure DevOps Server.

tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Chcete-li použít příkaz /g , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Hodnotu Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Pokud chcete použít příkaz /g v rámci jednoho projektu, musíte mít oprávnění Zobrazit informace na úrovni projektu nastavené na Povolit. Další informace najdete v tématu Referenční informace o oprávněních a skupinách.

Parametry

Argument Description
scope Nepovinný parametr. Určuje identifikátor URI projektu, pro který chcete zobrazit skupiny. Pokud chcete získat identifikátor URI projektu, otevřete Team Explorer, klikněte pravým tlačítkem na projekt, klikněte na Vlastnosti a zkopírujte celou položku adresy URL.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Příkaz /g nástroje příkazového řádku TFSSecurity zobrazí informace o každé skupině ve vybraném oboru. Tímto oborem může být kolekce projektů (/server) nebo server aplikační vrstvy (/instance). Pokud se použije s oborem projektu, zobrazí se pouze informace o skupinách přidružených k danému projektu.

Příklad: Zobrazení informací o skupině na úrovni kolekce

Následující příklad zobrazuje informace pro všechny skupiny v kolekci projektů.

tfssecurity /g /collection:CollectionURL

/g+: Přidání uživatele nebo jiné skupiny do existující skupiny

Pomocí příkazu /g+ můžete do existující skupiny přidat uživatele nebo jinou skupinu.

tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /g+ , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo Oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Description
groupIdentity Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
memberIdentity Určuje identitu člena. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Uživatele a skupiny můžete také přidat do existující skupiny pomocí Team Exploreru. Další informace najdete v tématu Nastavení oprávnění na úrovni projektu nebo kolekce.

Příklad: Přidání uživatele do skupiny na úrovni serveru

Následující příklad přidá uživatele domény Datum1 John Peoples (Datum1\jpeoples) do skupiny Team Foundation Administrators.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    4 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/g-: Odebrání uživatele nebo skupiny

Pomocí příkazu /g- odeberte uživatele nebo skupinu uživatelů z existující skupiny.

tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /g- , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Description
groupIdentity Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
memberIdentity Určuje identitu člena. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
/collection :CollectionURL Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Uživatele a skupiny můžete také přidat do existující skupiny pomocí Team Exploreru. Další informace najdete v tématech Odebrání uživatelů ze skupiny projektů nebo Nastavení oprávnění na úrovni projektu nebo kolekce.

Příklad: Odebrání uživatele ze skupiny na úrovni serveru

Následující příklad odebere uživatele domény Datum1 John Peoples (Datum1\jpeoples) ze skupiny Team Foundation Administrators.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    3 member(s):
      [U] Datum1\hholt (Holly Holt)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/gc: Vytvoření skupiny na úrovni projektu

Pomocí příkazu /gc na příkazovém řádku vytvořte skupinu na úrovni projektu. Pokud chcete vytvořit skupinu na úrovni projektu z uživatelského rozhraní, přečtěte si téma Správa uživatelů nebo skupin.

tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]

Požadavky

Pokud chcete použít příkaz /gc , musíte mít oprávnění Upravit Project-Level informace pro daný projekt nastavené na Povolit. Další informace najdete v referenčních informacích k oprávněním.

Parametry

Argument Description
Obor Identifikátor URI projektu, do kterého chcete přidat skupinu na úrovni projektu. Pokud chcete získat identifikátor URI projektu, připojte se k němu a otevřete Team Explorer, najeďte myší na název projektu na domovské stránce a přečtěte si adresu. Případně se připojte k projektu v aplikaci Web Access a zkopírujte adresu URL.
Groupname Název nové skupiny.
Groupdescription Popis skupiny projektů Nepovinný parametr.
/collection :CollectionURL Adresa URL kolekce projektu. Povinná hodnota. Skupina se vytvoří v kolekci projektu. Formát adresy URL je http:// ServerName : Port / VirtualDirectoryName / CollectionName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Skupina na úrovni projektu je skupina zabezpečení pro váš projekt. Skupiny projektů můžete použít k udělení oprávnění ke čtení, zápisu a správě, která splňují požadavky vaší organizace na zabezpečení.

Příklad: Přidání skupiny zabezpečení do projektu

Následující příklad vytvoří skupinu specifickou pro projekt, který určuje identifikátor URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000". Skupina má název Testovací skupina a má popis Tato skupina je určená k testování.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

Zástupný identifikátor GUID musíte nahradit identifikátorem URI projektu, pro který chcete vytvořit tuto skupinu. Pokud chcete získat identifikátor URI projektu, otevřete Team Explorer, klikněte pravým tlačítkem na projekt, klikněte na Vlastnosti a zkopírujte celou hodnotu vlastnosti URL.

Po spuštění příkazu můžete skupinu ověřit v Team Exploreru. Klikněte pravým tlačítkem na projekt, který jste použili v příkazu , klikněte na Nastavení projektu a potom klikněte na Členství ve skupinách. V dialogovém okně Skupiny projektů v názvu projektu TeamProjectName obsahuje seznam Skupiny testovací skupinu .

Poznámka

Pomocí příkazu /gc můžete vytvářet skupiny, ale nemůžete do skupin přidávat žádné uživatele ani přiřazovat oprávnění. Pokud chcete změnit členství ve skupině, podívejte se na / g+: Přidání uživatele nebo jiné skupiny do existující skupiny a /g-: Odebrání uživatele nebo skupiny. Pokud chcete změnit oprávnění pro skupinu, podívejte se na / a+: Přidání oprávnění a /a-: Odebrání uživatele nebo skupiny z členství ve skupině.

tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL

/gcg: Vytvoření skupiny na úrovni serveru nebo kolekce

Pomocí příkazu /gcg vytvořte skupinu na úrovni serveru nebo na úrovni kolekce. Pokud chcete vytvořit skupinu na úrovni kolekce z webového portálu, přečtěte si téma Nastavení oprávnění na úrovni projektu nebo kolekce.

tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`

Požadavky

Pokud chcete použít příkaz /gcg , musíte mít oprávnění Upravit informace na úrovni projektu pro daný projekt nastavené na Povolit. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Description
Groupname Název skupiny.
Groupdescription Popis skupiny Nepovinný parametr.
/collection :CollectionURL Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Skupiny na úrovni serveru se vytvářejí přímo na aplikační vrstvě a vztahují se na všechny kolekce projektů. Úroveň kolekce se vytváří na úrovni kolekce projektu. Platí pro tuto kolekci a mají dopad na všechny projekty v rámci kolekce. Naproti tomu skupiny projektů se vztahují na konkrétní projekt v rámci kolekce, ale ne na žádné jiné projekty v této kolekci. Skupinám na úrovni serveru můžete přiřadit oprávnění, aby členové těchto skupin mohli provádět úkoly v Azure DevOps Server, jako je vytváření kolekcí projektů. Skupinám na úrovni kolekce můžete přiřadit oprávnění, aby členové těchto skupin mohli provádět úkoly v kolekci projektů, jako je například správa uživatelů.

Poznámka

K vytvoření skupin můžete použít příkaz /gcg , ale nemůžete ho použít k přidání uživatelů do skupin ani k přiřazení oprávnění. Informace o tom, jak změnit členství ve skupině, najdete v tématech /g+: Přidání uživatele nebo jiné skupiny do existující skupiny a /g-: Odebrání uživatele nebo skupiny. Informace o tom, jak změnit oprávnění pro skupinu, najdete v tématech /a+: Přidání oprávnění a /a-: Odebrání uživatele nebo skupiny z členství ve skupině.

Příklad: Přidání skupiny zabezpečení na úrovni kolekce

Následující příklad vytvoří skupinu na úrovni kolekce s názvem "Testery dat" s popisem "A. Datum Corporation Testers."

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL

Následující příklad vytvoří skupinu na úrovni serveru s názvem "Datum Auditors" s popisem "A. Datum Corporation Auditors."

tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL

/gd: Odstranění serveru nebo skupiny na úrovni kolekce

Pomocí příkazu /gd odstraňte skupinu na úrovni serveru nebo na úrovni kolekce.

tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /gd , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo Oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Description
groupIdentity Určuje identitu skupiny.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps. Pokud chcete upravit oprávnění prostřednictvím webového portálu, přečtěte si téma Nastavení oprávnění na úrovni projektu nebo kolekce.

Příklad: Odstranění skupiny zabezpečení na úrovni kolekce

Následující příklad odstraní skupinu z kolekce projektů. Skupina je identifikována "S-1-5-21-2127521184-1604012920-1887927527-588340", identifikátor zabezpečení (SID). Další informace o vyhledání identifikátoru SID skupiny najdete v tématu /im: Zobrazení informací o identitách, které tvoří přímé členství. K odstranění skupiny můžete použít také popisný název.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL

/gud: Změna popisu serveru nebo skupiny na úrovni kolekce

Pomocí příkazu /gud můžete změnit popis skupiny na úrovni serveru nebo kolekce.

tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /gud , musíte mít oprávnění Upravit informace na úrovni projektu nastavené na Povolit. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Description
GroupIdentity Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identit dále v tomto článku.
Groupdescription Určuje nový popis skupiny.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Příklad: Přidání popisu do skupiny zabezpečení

Následující příklad přidruží popis "Členové této skupiny testují kód pro tento projekt" se skupinou "Testery datumů".

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL

/gun: Přejmenování skupiny

Pomocí příkazu /gun přejmenujte skupinu na úrovni serveru nebo na úrovni kolekce.

tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /gun , musíte mít oprávnění Zobrazit informace na úrovni kolekce a Upravit informace na úrovni kolekce nebo oprávnění Zobrazit informace na úrovni instance a Upravit informace na úrovni instance nastavená na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Description
GroupIdentity Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identit dále v tomto článku.
Groupname Určuje nový název skupiny.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Příklad: Přejmenování skupiny zabezpečení

Následující příklad přejmenuje skupinu na úrovni kolekce "A. Datum Corporation Testers" na "A. Datum Corporation Test Engineers."

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL

Identity a členství

/i: Zobrazení informací o identitě pro zadanou skupinu

Pomocí příkazu /i zobrazíte informace o identitě pro zadanou skupinu v nasazení Azure DevOps Server.

tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /i , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastaveno na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Popis
Identita Identita uživatele nebo skupiny aplikací. Další informace o specifikátorech identit najdete v části Specifikátory identit dále v tomto článku.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Příkaz /i nástroje příkazového řádku TFSSecurity zobrazí informace o každé skupině v kolekci projektů (/server) nebo serveru aplikační vrstvy (/instance). Nezobrazuje žádné informace o členství.

Příklad: Výpis informací o identitě skupiny zabezpečení

Následující příklad zobrazí informace o identitě pro skupinu Team Foundation Administrators.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /i "Team Foundation Administrators" /server:ServerURL 

Ukázkový výstup:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: Team Foundation Administrators
      Description: Members of this application group can perform all privileged operations on the server.

Příklad: Zobrazení informací o identitě pro skupinu zabezpečení

Následující příklad zobrazí informace o identitě pro skupinu Správci kolekcí projektů pomocí specifikátoru identity adm: .

tfssecurity /i adm: /collection:CollectionURL 

Ukázkový výstup:

    Resolving identity "adm:"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [DatumOne]\Project Collection Administrators
      Description: Members of this application group can perform all privileged operations on the project collection.

Následující příklad zobrazí informace o identitě skupiny Správci projektu pro projekt Datum pomocí specifikátoru adm: identity.

tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Ukázkový výstup:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Datum
     Display name: [Datum]\Project Administrators
      Description: Members of this application group can perform all operations in the project.

/im: Zobrazení informací o identitách, které tvoří přímé členství

Pomocí příkazu /im můžete zobrazit informace o identitách, které tvoří přímé členství ve skupině, kterou zadáte.

tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /im , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Popis
Identita Identita uživatele nebo skupiny. Další informace o specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
/collection :CollectionURL Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Příkaz /imtfsSecurity zobrazí pouze přímé členy zadané skupiny. Tento seznam obsahuje další skupiny, které jsou členy zadané skupiny. Skuteční členové skupin členů však nejsou uvedeni.

Příklad: Zobrazení identit členství pro skupinu zabezpečení

Následující příklad zobrazí informace o identitě přímého členství pro skupinu Team Foundation Administrators v doméně Datum1 u fiktivní společnosti A. Datum Corporation".

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /im "Team Foundation Administrators" /server:ServerURL

Ukázkový výstup:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    3 member(s):
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Příklad: Zobrazení informací o identitě pro skupinu zabezpečení

Následující příklad zobrazí informace o identitě pro skupinu Správci kolekce projektů v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A. Datum Corporation" pomocí specifikátoru adm: identity.

tfssecurity /im adm: /collection:CollectionURL 

Ukázkový výstup:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    5 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)

    Done.

Příklad: Zobrazení informací o identitě skupiny zabezpečení pomocí specifikátoru identity

Následující příklad zobrazí informace o identitě pro skupinu Správci projektu pro projekt "Datum" v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A". Datum Corporation" pomocí specifikátoru adm: identity.

tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Ukázkový výstup:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

/imx: Zobrazení informací o identitách, které rozšířené členství

Pomocí příkazu /imx můžete zobrazit informace o identitách, které tvoří rozšířené členství v zadané skupině.

tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /imx , musíte mít oprávnění Zobrazit informace na úrovni kolekce nebo Zobrazit informace na úrovni instance nastavené na Povolit v závislosti na tom, jestli používáte parametr /collection nebo /server . Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Parametry

Argument Popis
Identita Identita uživatele nebo skupiny. Další informace o specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
/collection :CollectionURL Vyžaduje se, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Vyžaduje se, pokud se nepoužívá /collection . Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Název / _virtuálního_portu

Poznámky

Spusťte tento příkaz na serveru aplikační vrstvy pro Azure DevOps.

Příkaz /imxtfsSecurity zobrazí pouze rozšířené členy zadané skupiny. Tento seznam obsahuje nejen ostatní skupiny, které jsou členy zadané skupiny, ale také členy skupin členů.

Příklad: Zobrazení rozbalených informací o členství pro skupinu zabezpečení

Následující příklad zobrazí rozšířené informace o identitě členství pro skupinu Team Foundation Administrators v doméně Datum1 ve fiktivní společnosti A. Datum Corporation".

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /imx "Team Foundation Administrators" /server:ServerURL

Ukázkový výstup:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    10 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [U] Datum1\tommyh (Tommy Hartono)
      [U] Datum1\henriea (Henriette Andersen)
      [U] Datum1\djayne (Darcy Jayne)
      [U] Datum1\aprilr (April Reagan)
      [G] Datum1\InfoSec Secure Environment
      [U] Datum1\nbento (Nuno Bento)
      [U] Datum1\cristp (Cristian Petculescu)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 3 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Následující příklad zobrazí informace o identitě pro skupinu Správci kolekce projektů v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A. Datum Corporation" pomocí specifikátoru adm: identity.

tfssecurity /imx adm: /collection:CollectionURL 

Ukázkový výstup:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    6 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [InstanceName]\Team Foundation Service Accounts
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

Příklad: Zobrazení informací o identitě skupiny zabezpečení pomocí specifikátoru identity

Následující příklad zobrazí informace o identitě pro skupinu Správci projektu pro projekt "Datum" v kolekci projektů "DatumOne" v doméně "Datum1" u fiktivní společnosti "A". Datum Corporation" pomocí specifikátoru adm: identity.

tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Ukázkový výstup:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 2 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Další informace o specifikátorech výstupu, například [G] a [U], najdete v části Specifikátory identity dále v tomto článku.

/m: Kontrola explicitního a implicitního členství ve skupinách

Pomocí příkazu /m zkontrolujte explicitní a implicitní informace o členství ve skupině pro zadanou skupinu nebo uživatele.

tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]

Požadavky

Pokud chcete použít příkaz /m , musíte být členem skupiny zabezpečení Team Foundation Administrators. Další informace najdete v tématu Referenční informace ke skupinám zabezpečení a oprávněním.

Poznámka

I když jste přihlášení pomocí přihlašovacích údajů správce, musíte k provedení této funkce otevřít příkazový řádek se zvýšenými oprávněními.

Parametry

Argument Description
GroupIdentity Určuje identitu skupiny. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
MemberIdentity Určuje identitu člena. Ve výchozím nastavení je hodnotou tohoto argumentu identita uživatele, který spouští příkaz. Další informace o platných specifikátorech identity najdete v části Specifikátory identity dále v tomto článku.
/collection :CollectionURL Povinný argument, pokud se nepoužívá /server . Určuje adresu URL kolekce projektů v následujícím formátu: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Povinný argument, pokud / collection není použit. Určuje adresu URL serveru aplikační vrstvy v následujícím formátu: http:// Název_serveru : Port / VirtualDirectoryName

Poznámky

Spusťte tento příkaz na místním počítači aplikační vrstvy.

Příkaz /m nástroje příkazového řádku TFSSecurity kontroluje přímé i rozšířené členství.

Příklad: Ověření členství uživatele ve skupině zabezpečení

Následující příklad ověřuje, jestli uživatel "Datum1\jpeoples" patří do skupiny Team Foundation Administrators na úrovni serveru.

Poznámka

Příklady jsou pouze pro ilustraci a jsou fiktivní. Žádné skutečnosti z nich nevyplývají ani se z nich nesmí odvozovat.

tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Ukázkový výstup:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Checking group membership...

    John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.

    Done.

Obory názvů zabezpečení

Poznámka

Obory názvů a tokeny jsou platné pro všechny verze Azure DevOps. Obory názvů se můžou v průběhu času měnit. Pokud chcete získat nejnovější seznam oborů názvů, vyzkoušejte jeden z nástrojů příkazového řádku nebo rozhraní REST API. Některé obory názvů jsou zastaralé. Další informace najdete v tématu Referenční informace k oboru názvů zabezpečení a oprávněním.

Specifikátory identity

Na identitu můžete odkazovat pomocí jednoho z zápisů v následující tabulce.

Specifikátor identity Popis Příklad
Sid: Sid. Odkazuje na identitu, která má zadaný identifikátor zabezpečení (SID). sid:S-1-5-21-2127521184-1604012920-1887927527-588340
n:[D omain]Název Odkazuje na identitu se zadaným názvem. Pro Windows je název účtu název. Pokud je odkazovaná identita v doméně, je název domény povinný. Pro skupiny aplikací je zobrazovaný název skupiny Název a Doména je identifikátor URI nebo GUID projektu, který obsahuje. Pokud je v tomto kontextu vynechána doména, předpokládá se, že obor je na úrovni kolekce. Chcete-li odkazovat na identitu uživatele "John Peoples" v doméně "Datum1" ve fiktivní společnosti "A. Datum Corporation:"

n:DATUM1\jpeoples

Odkaz na skupiny aplikací:

n:"Zaměstnanci na plný úvazek"

n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors
adm:[Obor] Odkazuje na skupinu aplikací pro správu pro obor, například "Team Foundation Administrators" pro úroveň serveru nebo "Správci kolekce projektů" na úrovni kolekce. Volitelný parametr Scope je identifikátor URI projektu nebo adresa URL, včetně jeho identifikátoru GUID a připojovací řetězec. Pokud je obor vynechán, předpokládá se obor serveru nebo kolekce na základě toho, jestli je použit parametr /instance nebo /server. V obou případech se dvojtečka stále vyžaduje. adm:vstfs:///Classification/TeamProject/ Identifikátor guid
Srv: Odkazuje na skupinu aplikací pro účty služeb. Neuvedeno
Všechny: Odkazuje na všechny skupiny a identity. Neuvedeno
Řetězec Odkazuje na nekvalifikovaný řetězec. Pokud string začíná na S-1-, je identifikován jako IDENTIFIKÁTOR SID. Pokud řetězec začíná na CN= nebo LDAP:// je označen jako rozlišující název. V opačném případě je řetězec identifikován jako název. "Týmové testery"

Značky typů

Následující značky slouží k identifikaci typů identit a ACE ve výstupních zprávách.

Značky typů identit

Značka typu identity Description
U Uživatel Systému Windows.
G Skupina Systému Windows.
A Azure DevOps Server skupiny aplikací.
a [ A ] Skupina aplikací pro správu.
s [ A ] Skupina aplikací účtu služby
X Identita není platná.
? Identita je neznámá.

Značky položek řízení přístupu

Značka položky řízení přístupu Description
+ POVOLIT položku řízení přístupu.
- ODEPŘÍT položku řízení přístupu.
* [] Zděděná položka řízení přístupu.