Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

Wenn es um den Zugriff auf ein Azure DevOps-Feature geht, ist es hilfreich, die folgenden Schlüsselkonzepte zu verstehen.

  • Informationen zu Berechtigungen:

    • Alle Benutzer, die Azure DevOps hinzugefügt haben, werden einer oder mehreren Standardsicherheitsgruppen hinzugefügt.
    • Sicherheitsgruppen werden Berechtigungen zugewiesen, die entweder den Zugriff auf ein Feature oder eine Aufgabe zulassen oder verweigern.
    • Mitglieder einer Sicherheitsgruppe erben die Berechtigungen, die der Gruppe zugewiesen sind.
    • Berechtigungen werden auf verschiedenen Ebenen definiert: Organisation/Auflistung, Projekt oder Objekt.
    • Andere Berechtigungen werden über rollenbasierte Zuordnungen verwaltet, z. B. Teamadministrator, Erweiterungsverwaltung und verschiedene Pipelineressourcenrollen.
    • Administratoren können benutzerdefinierte Sicherheitsgruppen definieren, um Berechtigungen für verschiedene Funktionsbereiche zu verwalten.
  • Informationen zu Zugriffsstufen:

    • Alle Benutzer, die Azure DevOps hinzugefügt haben, werden einer Zugriffsstufe zugewiesen, die den Zugriff auf die Auswahl von Webportalfeatures gewährt oder eingeschränkt.
    • Es gibt drei Hauptzugriffsebenen: Stakeholder, Basic und Basic + Test Plans.
    • Der Stakeholderzugriff bietet kostenlosen Zugriff auf eine unbegrenzte Anzahl von Benutzern auf eine begrenzte Reihe von Features. Ausführliche Informationen finden Sie in der Schnellübersicht des Stakeholders.
  • Informationen zu Vorschaufeatures:
    • Wenn neue Features eingeführt werden, können Benutzer sie über Vorschaufeatures aktivieren oder deaktivieren, um darauf zuzugreifen.
    • Eine kleine Teilmenge neuer Features wird auf Organisationsebene verwaltet und von Organisationsbesitzern aktiviert oder deaktiviert.

Die meisten Azure DevOps-Benutzer werden beispielsweise der Sicherheitsgruppe "Mitwirkende " hinzugefügt und der Standardzugriffsebene gewährt. Die Gruppe "Mitwirkende" bietet Lese- und Schreibzugriff auf Repositorys, Arbeitsverfolgung, Pipelines und vieles mehr. Der grundlegende Zugriff bietet Zugriff auf alle Features und Aufgaben für die Verwendung von Azure Boards, Azure Repos, Azure-Pipelines und Azure-Artefakten. Benutzer, die Zugriff auf die Verwaltung Azure Test Plans benötigen, müssen Basic + Test Plans oder Erweiterter Zugriff gewährt werden.

Administratoren sollten der Gruppe „Projektsammlungsadministratoren“ oder „Projektadministratoren“ hinzugefügt werden. Administratoren verwalten Sicherheitsgruppen und Berechtigungen im Webportal, hauptsächlich aus Project-Einstellungen. Mitwirkende verwalten Berechtigungen für Objekte, die sie auch im Webportal erstellen.

Eine Übersicht über Standardberechtigungen finden Sie unter "Kurzübersicht zu Standardberechtigungen".

Sicherheitsgruppen und Mitgliedschaft

Mit der Erstellung einer Organisation, Einer Auflistung oder eines Projekts erstellt Azure DevOps eine Reihe von Standardsicherheitsgruppen, die automatisch Standardberechtigungen zugewiesen werden. Zusätzliche Sicherheitsgruppen werden mit den folgenden Aktionen definiert:

  • Wenn Sie benutzerdefinierte Sicherheitsgruppen auf folgenden Ebenen erstellen:
    • Projektebene
    • Organisations- oder Sammlungsebene
    • Serverebene (nur lokal)
  • Wenn Sie ein Team hinzufügen, wird eine Teamsicherheitsgruppe erstellt.

Tipp

Sie können keine Sicherheitsgruppe auf Objektebene erstellen, aber Sie können einer objektbasierten Gruppe eine benutzerdefinierte Gruppe zuweisen und dieser Ebene Berechtigungen zuweisen. Weitere Informationen zu Berechtigungen auf Objektebene finden Sie unter Festlegen von Berechtigungen auf Objektebene.

Standardsicherheitsgruppen

Die folgenden Sicherheitsgruppen werden standardmäßig für jedes Projekt und jede Organisation definiert. Sie fügen in der Regel Benutzer oder Gruppen zu den Gruppen "Leser", "Mitwirkende" oder " Projektadministratoren " hinzu.

Project Organisation oder Auflistung
- Buildadministratoren
-Mitwirkenden
- Projektadministratoren
- Projekt gültige Benutzer
-Leser
- Versionsadministratoren
- TeamName Team
- Projektsammlungsadministratoren
- Projektsammlungs-Buildadministratoren
- Projektsammlungs-Builddienstkonten
- Projektsammlungsproxydienstkonten
- Projektsammlungsdienstkonten
- Projektsammlungstestdienstkonten
- Gültige Benutzer der Project-Auflistung
- Project-Scoped Benutzer
- Sicherheitsdienstgruppe

Eine Beschreibung jeder dieser Gruppen finden Sie unter Sicherheitsgruppen, Dienstkonten und Berechtigungen. Standardberechtigungszuweisungen, die an den häufigsten Standardsicherheitsgruppen vorgenommen wurden, finden Sie unter Standardberechtigungen und Zugriff.

Die folgenden Sicherheitsgruppen werden standardmäßig für jedes Projekt und jede Projektsammlung definiert. Sie fügen in der Regel Benutzer oder Gruppen zu den Gruppen "Leser", "Mitwirkende" oder " Projektadministratoren " hinzu.

Hinweis

In der folgenden Liste werden die neuesten Gruppen angegeben, die für TFS 2017 und höher definierte Gruppen definiert sind. Für frühere Versionen von Azure DevOps kann sich die Liste unterscheiden. Fügen Sie nur Dienstkonten zu Azure DevOps-Dienstkontogruppen hinzu. Informationen zu gültigen Benutzergruppen finden Sie weiter unten in diesem Artikel unter "Gültige Benutzergruppen ".

Projektebene Auflistungsebene
- Buildadministratoren
-Mitwirkenden
- Projektadministratoren
- Projekt gültige Benutzer
-Leser
- Versionsadministratoren
- TeamName Team
- Projektsammlungsadministratoren
- Projektsammlungs-Buildadministratoren
- Projektsammlungs-Builddienstkonten
- Projektsammlungsproxydienstkonten
- Projektsammlungsdienstkonten
- Projektsammlungstestdienstkonten
- Gültige Benutzer der Project-Auflistung
- Sicherheitsdienstgruppe

Tipp

Für Benutzer, die mit der Verwaltung von Project-Level-Features (z. B. Teams, Bereichs- und Iterationspfade, Repositorys, Dienst-Hooks und Dienst-Endpunkte) beauftragt sind, fügen Sie sie der Gruppe "Projektadministratoren " hinzu. Für Benutzer, die mit der Verwaltung von Organisations- oder Sammlungsebenenfeatures arbeiten – z. B. Projekte, Richtlinien, Prozesse, Aufbewahrungsrichtlinien, Agent- und Bereitstellungspools und Erweiterungen – fügen Sie sie der Gruppe "Projektsammlungsadministratoren " hinzu. Weitere Informationen finden Sie unter "Informationen zu Benutzer-, Team-, Projekt- und Organisationsebeneneinstellungen".

Eine Beschreibung der einzelnen Gruppen und jeder Berechtigung finden Sie unter " Berechtigungen und Gruppenverweis", "Gruppen".

Mitgliedschaft, Berechtigung und Zugriffsebenenverwaltung

Azure DevOps steuert den Zugriff über diese drei miteinander verbundenen Funktionsbereiche:

  • Die Mitgliedschaftsverwaltung unterstützt das Hinzufügen von einzelnen Benutzerkonten und Gruppen zu Standardsicherheitsgruppen. Jede Standardgruppe ist einem Satz von Standardberechtigungen zugeordnet. Alle Benutzer, die jeder Sicherheitsgruppe hinzugefügt wurden, werden der Gruppe "Gültige Benutzer" hinzugefügt. Ein gültiger Benutzer kann eine Verbindung zu einem Projekt, einer Sammlung oder einer Organisation herstellen.

  • Die Berechtigungsverwaltung steuert den Zugriff auf bestimmte funktionale Aufgaben auf verschiedenen Ebenen des Systems. Berechtigungen auf Objektebene legen Berechtigungen für eine Datei, einen Ordner, eine Buildpipeline oder eine freigegebene Abfrage fest. Berechtigungseinstellungen sind Zulassen, Verweigern, Geerbte Zulassung, Geerbte Verweigerung und Nicht festgelegt. Weitere Informationen zur Vererbung finden Sie weiter unten in diesem Artikel unter Berechtigungsvererbung und Sicherheitsgruppen .

  • Zugriffsebenenverwaltung steuert den Zugriff auf Webportalfeatures. Basierend auf dem, was für einen Benutzer erworben wurde, legen Administratoren die Zugriffsstufe des Benutzers auf Stakeholder, Basic, Basic+ Test oder Visual Studio Enterprise (zuvor Erweitert) fest.

Jeder Funktionsbereich verwendet Sicherheitsgruppen zur Vereinfachung der Verwaltung in der gesamten Bereitstellung. Sie fügen Benutzer und Gruppen über den Webverwaltungskontext hinzu. Berechtigungen werden automatisch basierend auf der Sicherheitsgruppe festgelegt, der Sie Benutzer hinzufügen, oder basierend auf dem Objekt, dem Projekt, der Sammlung oder der Serverebene, dem bzw. der Sie Gruppen hinzufügen.

Die Sicherheitsgruppenmitgliedschaft kann eine Kombination aus Benutzern, anderen Gruppen und Azure Active Directory-Gruppen sein.

Sicherheitsgruppenmitglieder können eine Kombination aus Benutzern, anderen Gruppen und Active Directory-Gruppen oder einer Arbeitsgruppe sein.

Sie können lokale Gruppen oder Active Directory-Gruppen (AD) erstellen, um Ihre Benutzer zu verwalten.

Active Directory- und Azure Active Directory-Sicherheitsgruppen

Sie können Sicherheitsgruppen füllen, indem Sie einzelne Benutzer hinzufügen. Für eine einfache Verwaltung ist es jedoch einfacher, wenn Sie diese Gruppen mithilfe von Azure Active Directory (Azure AD) für Azure DevOps Services und Active Directory (AD) oder Windows-Benutzergruppen für Azure DevOps Server auffüllen. Mit dieser Methode können Sie Gruppenmitgliedschaft und Berechtigungen effizienter auf mehreren Computern verwalten.

Wenn Sie nur eine kleine Gruppe von Benutzern verwalten müssen, können Sie diesen Schritt überspringen. Wenn Sie jedoch sehen, dass Ihre Organisation möglicherweise wachsen kann, möchten Sie möglicherweise AD oder Azure AD einrichten. Wenn Sie auch für zusätzliche Dienste bezahlen möchten, müssen Sie Azure AD für die Verwendung mit Azure DevOps einrichten, um die Abrechnung zu unterstützen.

Hinweis

Ohne Azure AD müssen sich alle Azure DevOps-Benutzer mit Microsoft-Konten anmelden, und Sie müssen den Kontozugriff durch einzelne Benutzerkonten verwalten. Selbst wenn Sie den Kontozugriff mithilfe von Microsoft-Konten verwalten, müssen Sie ein Azure-Abonnement einrichten, um die Abrechnung zu verwalten.

Informationen zum Einrichten von Azure Active Directory für die Verwendung mit Azure DevOps Services finden Sie unter Verbinden Ihrer Organisation mit Azure Active Directory.

Hinweis

Wenn Ihre Organisation mit Azure Active Directory verbunden ist, gibt es eine Reihe von Organisationsrichtlinien, die Sie aktivieren oder deaktivieren können, um Ihre Organisation zu schützen. Weitere Informationen finden Sie unter Sicherheit, Authentifizierung und Autorisierung, Sicherheitsrichtlinien.

Informationen zum Verwalten des Organisationszugriffs mit Azure AD finden Sie in den folgenden Artikeln:

Azure DevOps registriert Änderungen, die an einer Azure AD-Gruppe vorgenommen wurden, innerhalb einer Stunde dieser Änderung in Azure AD, und aktualisieren Sie alle Berechtigungen, die über die Mitgliedschaft in dieser Gruppe geerbt wurden. Darüber hinaus kann jeder Azure DevOps-Benutzer eine Aktualisierung ihrer Azure AD-Mitgliedschaft auslösen, zusammen mit den geerbten Berechtigungen in Azure DevOps, indem Sie sich abmelden und wieder anmelden oder eine Aktualisierung auslösen, um Ihre Berechtigung erneut zu bewerten.

Informationen zum Einrichten von Active Directory für die Verwendung mit Azure DevOps Server finden Sie in den folgenden Artikeln:

Normalerweise sollten Sie Active Directory vor der Installation Azure DevOps Server installieren.

Gültige Benutzergruppen

Wenn Sie Benutzer direkt zu einer Sicherheitsgruppe hinzufügen, werden sie automatisch zu einer der gültigen Benutzergruppen hinzugefügt.

  • Gültige Benutzer der Project-Auflistung: Alle Mitglieder, die einer Gruppe auf Organisationsebene hinzugefügt wurden.
  • Project Gültige Benutzer: Alle Mitglieder, die einer Projektebenengruppe hinzugefügt wurden.
  • Server\Azure DevOps gültige Benutzer: Alle Mitglieder, die zu Gruppen auf Serverebene hinzugefügt wurden.
  • ProjectCollectionName\Project Collection Valid Users: Alle Mitglieder, die zu Gruppen auf Sammlungsebene hinzugefügt wurden.
  • ProjectName\Project Valid Users: Alle Mitglieder, die zu Projektebene-Gruppen hinzugefügt wurden.
  • Server\Team Foundation Gültige Benutzer: Alle Mitglieder, die zu Gruppen auf Serverebene hinzugefügt wurden.
  • ProjectCollectionName\Project Collection Valid Users: Alle Mitglieder, die zu Gruppen auf Sammlungsebene hinzugefügt wurden.
  • ProjectName\Project Valid Users: Alle Mitglieder, die zu Projektebene-Gruppen hinzugefügt wurden.

Die Standardberechtigungen, die diesen Gruppen zugewiesen sind, sind in erster Linie auf Lesezugriff beschränkt, z. B. Ansichts-Buildressourcen, Informationen auf Projektebene anzeigen und Informationen auf Sammlungsebene anzeigen.

Dies bedeutet, dass alle Benutzer, die Sie zu einem Projekt hinzufügen, die Objekte in anderen Projekten in einer Auflistung anzeigen können. Wenn Sie den Zugriff auf die Ansicht einschränken müssen, können Sie Einschränkungen über den Bereichspfadknoten festlegen.

Wenn Sie die Berechtigung "Informationen auf Instanzebene anzeigen " für eine der gültigen Benutzergruppen entfernen oder ablehnen, können keine Mitglieder der Gruppe abhängig von der von Ihnen festgelegten Gruppe auf das Projekt, die Auflistung oder die Bereitstellung zugreifen.

Projektbezogene Benutzergruppe

Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Dazu gehören die Anzeigeliste der Benutzer, die Liste der Projekte, Abrechnungsdetails, Nutzungsdaten und mehr, auf die über Organisationseinstellungen zugegriffen wird.

Um ausgewählte Benutzer, z. B. Stakeholder, Azure Active Directory-Gastbenutzer oder Mitglieder einer bestimmten Sicherheitsgruppe einzuschränken, können Sie die Sichtbarkeit und Zusammenarbeit für bestimmte Projekte in der Vorschaufunktion für die Organisation aktivieren. Nachdem dies aktiviert ist, sind alle Benutzer oder Gruppen, die der Gruppe "Project-Bereichsbenutzer " hinzugefügt wurden, auf den Seiten " Organisationseinstellungen " beschränkt, außer für Übersicht und Projekte; und sind eingeschränkt, nur auf diese Projekte zuzugreifen, zu denen sie hinzugefügt wurden.

Informationen zum Aktivieren dieses Features finden Sie unter "Verwalten oder Aktivieren von Features".

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Organisationsebene, auch diese Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen auf Grundlage von Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des Azure devops CLI-Tools oder unserer REST-APIs entdecken. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch diese Gruppen, die nur Berechtigungen für ein bestimmtes Projekt haben. Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen auf Grundlage von Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des Azure devops CLI-Tools oder unserer REST-APIs entdecken. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch diese Gruppen, die nur Berechtigungen für ein bestimmtes Projekt haben. Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen auf Grundlage von Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe der REST-APIs entdecken. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Zugriffsebenen

Zugriffsstufen steuern, welche Features für Benutzer im Webportal sichtbar sind und von Benutzerlizenzen abhängig sind; Berechtigungen steuern die Möglichkeit eines Benutzers, eine Verbindung mit Azure DevOps herzustellen und Features in Azure DevOps zu verwenden. Wenn Sie versuchen, jemanden Zugriff auf agile Portfolioverwaltungs- oder Testfallverwaltungsfeatures zu gewähren, möchten Sie Zugriffsstufen ändern, nicht Berechtigungen.

Das Festlegen der Zugriffsstufe für Benutzer oder Gruppen bietet ihnen keinen Zugriff auf ein Projekt oder das Webportal. Nur Benutzer oder Gruppen, die einer Team- oder Sicherheitsgruppe hinzugefügt wurden, können eine Verbindung mit einem Projekt und dem Webportal herstellen. Stellen Sie sicher, dass Ihre Benutzer sowohl über die Berechtigungen als auch über die erforderlichen Zugriffsebene verfügen. Dazu stellen Sie sicher, dass sie dem Projekt oder einem Team hinzugefügt werden.

Berechtigungen

Wie in der folgenden Abbildung dargestellt, können Sicherheitsgruppen, die auf Projekt- und Sammlungsebene definiert sind, berechtigungen zugewiesen werden, die auf der Ebene des Objekts, projekts und der Organisation zugewiesen sind.

Konzeptionelle Bildzuordnung standardsicherheitsgruppen zu Berechtigungsstufen, Cloud

Wie in der folgenden Abbildung dargestellt, können Sicherheitsgruppen, die auf Projekt- und Sammlungsebene definiert sind, berechtigungen zugewiesen werden, die dem Objekt, Projekt und Auflistungsebene zugewiesen werden. Sie können nur Sicherheitsgruppen auf Serverebene für Berechtigungen auf Serverebene definieren.

Konzeptionelle Bildzuordnung standardmäßige Sicherheitsgruppen zu Berechtigungsstufen, lokal

Konzeptionelle Abbildung von Sicherheitsgruppen und Berechtigungsstufen, TFS-2018 und früheren Versionen

Eine Beschreibung jeder Standardsicherheitsgruppe finden Sie unter Sicherheitsgruppen, Dienstkonten und Berechtigungen.

Berechtigungszustände

Es gibt fünf mögliche Zuordnungen an eine Berechtigung. Sie gewähren oder einschränken den Zugriff wie angegeben.

  • Benutzer oder Gruppe verfügt über Berechtigungen zum Ausführen einer Aufgabe:
    • Zulassen
    • Geerbte Zulassung
  • Benutzer oder Gruppe verfügt nicht über die Berechtigung zum Ausführen einer Aufgabe:
    • Deny (Verweigern)
    • Geerbte Verweigerung
    • Nicht festgelegt

Hier erfahren Sie mehr über Berechtigungseinstellungen:

  • Zulassen oder Ablehnen von Benutzern explizit gewähren oder einschränken, bestimmte Aufgaben auszuführen, und werden in der Regel von der Gruppenmitgliedschaft geerbt.

  • Es wird nicht implizit festgelegt, dass Benutzer die Möglichkeit haben, Aufgaben auszuführen, die diese Berechtigung erfordern, aber die Mitgliedschaft in einer Gruppe ermöglicht, die über diese Berechtigung verfügt, um Vorrang zu haben, auch bekannt als Allow (geerbt) oder Geerbt (geerbt) oder Geerbt (geerbt) oder Geerbt.

  • Für die meisten Gruppen und fast alle Berechtigungen wird "Zulassen" außer Kraft gesetzt. Wenn ein Benutzer zu zwei Gruppen gehört, und einer davon hat einen bestimmten Berechtigungssatz für Deny, ist dieser Benutzer nicht in der Lage, Aufgaben auszuführen, die diese Berechtigung erfordern, auch wenn sie zu einer Gruppe gehören, die diese Berechtigung auf "Zulassen" festgelegt hat.

    In einigen Fällen erhalten Mitglieder der Gruppen "Projektsammlungsadministratoren " oder "Team Foundation-Administratoren " immer die Berechtigung, auch wenn sie diese Berechtigung in einer anderen Gruppe verweigert werden. In anderen Fällen, z. B. Löschen von Arbeitselementen oder Pipelines , wird ein Mitglied der Projektsammlungsadministratoren nicht umgehen, die an anderer Stelle festgelegte Berechtigungen nicht umgehen.

  • Das Ändern einer Berechtigung für eine Gruppe ändert die Berechtigung für alle Benutzer, die Mitglieder dieser Gruppe sind. Das heißt also: Je nach Größe der Gruppe haben Sie durch das Ändern von nur einer Berechtigung bereits Einfluss darauf, ob Hunderte von Benutzern ihre Arbeit ausführen können oder nicht. Vergewissern Sie sich also, dass Sie die Auswirkungen kennen, bevor Sie eine Änderung vornehmen.

Berechtigungsvererbung und Sicherheitsgruppen

Einige Berechtigungen werden über eine Hierarchie verwaltet. Innerhalb dieser Hierarchie können Berechtigungen von der übergeordneten oder außerKraftsetzung geerbt werden. Sicherheitsgruppen weisen diesen Mitgliedern der Gruppe eine Reihe von Berechtigungen zu. Beispielsweise werden Mitgliedern der Gruppe "Mitwirkende " oder " Projektadministratoren " die Berechtigungen zugewiesen, die als "Zulässig " für diese Gruppen festgelegt sind.

Wenn eine Berechtigung für einen Benutzer nicht direkt zulässig oder verweigert wird, wird sie möglicherweise auf zwei Arten geerbt.

  • Benutzer erben Berechtigungen von den Gruppen, zu denen sie gehören. Wenn eine Berechtigung für einen Benutzer direkt oder über die Mitgliedschaft in einer Gruppe zulässig ist, die über diese Berechtigung verfügt, und er verweigert, entweder direkt oder über die Gruppenmitgliedschaft, wird die Berechtigung verweigert.

    Mitglieder von Project Collection-Administratoren oder Team Foundation-Administratoren behalten die meisten zulässigen Berechtigungen bei, auch wenn sie zu anderen Gruppen gehören, die diese Berechtigungen verweigern. Berechtigungen für Arbeitsaufgabenoperationen sind die Ausnahme für diese Regel.

  • Berechtigungen auf Objektebene, die für Knoten einer Hierarchie zugewiesen sind – Bereiche, Iterationen, Versionssteuerungsordner, Arbeitsaufgabenabfrageordner – werden nach unten geerbt. Das heißt, die Berechtigungen eines Benutzers, die festgelegt area-1 werden, werden von geerbt area-1/sub-area-1, wenn dieselbe Berechtigung nicht explizit zulässig oder verweigert wird area-1/sub-area-1. Wenn eine Berechtigung explizit für ein Objekt festgelegt wird, z area-1/sub-area-1. B. , wird der übergeordnete Knoten nicht geerbt, unabhängig davon, ob es verweigert oder zulässig ist. Wenn er nicht festgelegt ist, werden die Berechtigungen für diesen Knoten von dem nächstgelegenen Vorgänger geerbt, der die Berechtigung explizit festgelegt hat. Schließlich wird in der Objekthierarchie die Spezifizität der Vererbung vortrübt. Ein Benutzer, dessen Berechtigungen beispielsweise explizit auf " Area-1" festgelegt sind, aber auch explizit auf " area-1/sub-area-1" festgelegt sind, erhält letztendlich einen Allow für "area-1/sub-area-1".

Um zu verstehen, warum eine Berechtigung geerbt wird, können Sie über eine Berechtigungseinstellung anhalten und dann " Warum" auswählen? Informationen zum Öffnen einer Sicherheitsseite finden Sie unter "Anzeigen von Berechtigungen".

Hinweis

Informationen zum Aktivieren der Seitenvorschau der Projektberechtigungseinstellungen finden Sie unter Aktivieren von Vorschaufeatures.

Dialogfeld

Ein neues Dialogfeld wird geöffnet, in dem die Vererbungsinformationen für diese Berechtigung angezeigt werden.

Die Vorschau-Benutzeroberfläche für die Seite "Projektberechtigungseinstellungen" ist für Azure DevOps Server 2020 und frühere Versionen nicht verfügbar.

Beim Zuweisen von Berechtigungen

Gehen Sie wie folgt vor:

  • Verwenden Sie Azure Active Directory, Active Directory oder Windows-Sicherheitsgruppen, wenn Sie viele Benutzer verwalten.
  • Beachten Sie beim Erstellen von Teams, welche Berechtigungen Sie an Teamleiter, Scrum-Master und andere Teammitglieder vergeben möchten, die Bereichs- und Iterationspfade sowie Abfragen erstellen und bearbeiten müssen.
  • Wenn Sie viele Teams hinzufügen, sollten Sie eine benutzerdefinierte Teamadministratorgruppe erstellen, in der Sie eine Teilmenge der Berechtigungen zuweisen, die für Project-Administratoren verfügbar sind.
  • Erwägen Sie, den Arbeitsaufgabenabfrageordnern die Berechtigung "Mitwirken " für Benutzer oder Gruppen zu erteilen, die die Möglichkeit zum Erstellen und Freigeben von Arbeitsaufgabenabfragen für das Projekt erfordern.

Vermeiden Sie Folgendes:

  • Fügen Sie keine Benutzer zu mehreren Sicherheitsgruppen hinzu, die unterschiedliche Berechtigungsstufen enthalten. In bestimmten Fällen kann eine Berechtigungsstufe "Verweigern" eine Berechtigungsstufe "Zulassen" außer Kraft setzen.
  • Ändern Sie nicht die Standardzuweisungen, die an die gültigen Benutzergruppen vorgenommen wurden. Wenn Sie die Berechtigung "Informationen auf Instanzebene anzeigen" für eine der Gruppen "Gültige Benutzer" entfernen oder festlegen, können keine Benutzer in der Gruppe abhängig von der von Ihnen festgelegten Gruppe auf das Projekt, die Sammlung oder die Bereitstellung zugreifen.
  • Weisen Sie keine Berechtigungen zu, die als "Nur Dienstkonten zuweisen" für Benutzerkonten angegeben sind.

Rollenbasierte Berechtigungen

Mit rollenbasierten Berechtigungen weisen Sie einer Rolle Benutzerkonten oder Sicherheitsgruppen zu, wobei jeder Rolle mindestens eine Berechtigung zugewiesen wurde. Hier sind die primären Rollen und Links, um weitere Informationen zu erhalten.

  • Sicherheitsrollen für Artefakte oder Paketfeeds: Rollen unterstützen verschiedene Berechtigungsstufen zum Bearbeiten und Verwalten von Paketfeeds.

  • Marketplace-Erweiterungs-Manager-Rolle: Mitglieder der Managerrolle können Erweiterungen installieren und auf Anforderungen reagieren, nach denen Erweiterungen installiert werden sollen.

  • Pipelinesicherheitsrollen: Mehrere Rollen werden verwendet, um Bibliotheksressourcen, Projektebene und Pipelineressourcen auf Sammlungsebene zu verwalten.

  • Teamadministratorrolle Teamadministratoren können alle Teamtools verwalten.

    Hinweis

    Mitglieder der Gruppen "Project Administrators" oder "Project Collection Administrators" können alle Teamtools für alle Teams verwalten.

Previewfunktionen

Der Zugriff auf die Auswahl wird durch Featurekennzeichnungen gesteuert. In regelmäßigen Abständen führt Azure DevOps Services neue Features ein, indem sie sie hinter einem Feature-Flag platzieren. Vorschaufeatures können von Projektmitgliedern oder Organisationsbesitzern aktiviert oder deaktiviert werden. Weitere Informationen finden Sie unter "Verwalten oder Aktivieren von Features".

Nächste Schritte