Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019 | TFS 2018

Wenn es um den Zugriff auf ein Azure DevOps-Feature geht, ist es hilfreich, die folgenden wichtigen Konzepte zu verstehen.

• Informationen zu Berechtigungen:

  • Alle Zu Azure DevOps hinzugefügten Benutzer werden einer oder mehreren Standardsicherheitsgruppen hinzugefügt.
  • Sicherheitsgruppen werden Berechtigungen zugewiesen, die den Zugriff auf ein Feature oder eine Aufgabe zulassen oder verweigern.
  • Mitglieder einer Sicherheitsgruppe erben die der Gruppe zugewiesenen Berechtigungen.
  • Berechtigungen werden auf verschiedenen Ebenen definiert: Organisation/Sammlung, Projekt oder Objekt.
  • Andere Berechtigungen werden über rollenbasierte Zuweisungen verwaltet, z. B. Teamadministrator, Erweiterungsverwaltung und verschiedene Pipelineressourcenrollen.
  • Administratoren können benutzerdefinierte Sicherheitsgruppen definieren, um Berechtigungen für verschiedene Funktionsbereiche zu verwalten.

• Informationen zu Zugriffsebenen:

  • Allen Benutzern, die Azure DevOps hinzugefügt werden, wird eine Zugriffsebene zugewiesen, die den Zugriff auf ausgewählte Webportalfeatures gewährt oder einschränkt.
  • Es gibt drei Hauptzugriffsebenen: Stakeholder, Basic und Basic + Test Plans.
  • Der Zugriff auf Beteiligte bietet einer unbegrenzten Anzahl von Benutzern kostenlosen Zugriff auf eine begrenzte Anzahl von Features. Weitere Informationen finden Sie unter Schnellübersicht für den Zugriff auf Beteiligte.

• Informationen zu Vorschaufeatures:
  • Wenn neue Features eingeführt werden, können Benutzer sie über Vorschaufeatures aktivieren oder deaktivieren, um auf sie zuzugreifen.
  • Eine kleine Teilmenge neuer Features wird auf Organisationsebene verwaltet und von Organisationsbesitzern aktiviert oder deaktiviert.

Beispielsweise werden die meisten Azure DevOps-Benutzer der Sicherheitsgruppe Mitwirkende hinzugefügt und erhalten die Zugriffsebene Basic . Die Gruppe Mitwirkende bietet Lese- und Schreibzugriff auf Repositorys, Arbeitsnachverfolgung, Pipelines und vieles mehr. Der Standardzugriff bietet Zugriff auf alle Features und Aufgaben für die Verwendung von Azure Boards, Azure Repos, Azure Pipelines und Azure Artifacts. Benutzern, die Zugriff benötigen, um Azure Test Plans verwalten zu können, muss der Zugriff "Basic+ Test Plans" oder "Erweitert" gewährt werden.

Administratoren sollten der Gruppe „Projektsammlungsadministratoren“ oder „Projektadministratoren“ hinzugefügt werden. Administratoren verwalten Sicherheitsgruppen und Berechtigungen über das Webportal, hauptsächlich über Projekteinstellungen. Mitwirkende verwalten berechtigungen für objekte, die sie auch über das Webportal erstellen.

Eine Übersicht über Standardberechtigungen finden Sie unter Schnellreferenz zu Standardberechtigungen.

Sicherheitsgruppen und Mitgliedschaft

Mit der Erstellung einer Organisation, Sammlung oder eines Projekts erstellt Azure DevOps einen Satz von Standardsicherheitsgruppen, denen automatisch Standardberechtigungen zugewiesen werden. Weitere Sicherheitsgruppen werden mit den folgenden Aktionen definiert:

• Wenn Sie benutzerdefinierte Sicherheitsgruppen auf den folgenden Ebenen erstellen:
  • Projektebene
  • Organisations- oder Sammlungsebene
  • Serverebene (nur lokal)
• Wenn Sie ein Team hinzufügen, wird eine Teamsicherheitsgruppe erstellt.

Tipp

Sie können keine Sicherheitsgruppe auf Objektebene erstellen, aber Sie können einer Objektebene eine benutzerdefinierte Gruppe zuweisen und dieser Ebene Berechtigungen zuweisen. Weitere Informationen zu Berechtigungen auf Objektebene finden Sie unter Festlegen von Berechtigungen auf Objektebene.

Standardsicherheitsgruppen

Die folgenden Sicherheitsgruppen werden standardmäßig für jedes Projekt und jede Organisation definiert. In der Regel fügen Sie den Gruppen Leser, Mitwirkende oder Projektadministratoren Benutzer oder Gruppen hinzu.

Project	Organisation oder Sammlung
– Buildadministratoren -Mitwirkenden - Projektadministratoren – Gültige Project-Benutzer -Leser – Releaseadministratoren - TeamName Team	– Projektsammlungsadministratoren – Buildadministratoren für Projektsammlungen – Project Collection Build Service Accounts (Project Collection Build Service Accounts) – Proxydienstkonten der Projektsammlung – Project Collection Service-Konten – Testdienstkonten der Projektsammlung – Gültige Benutzer der Project-Sammlung – Project-Scoped Benutzer – Sicherheitsdienstgruppe

Eine Beschreibung jeder dieser Gruppen finden Sie unter Sicherheitsgruppen, Dienstkonten und Berechtigungen. Standardberechtigungszuweisungen für die gängigsten Standardsicherheitsgruppen finden Sie unter Standardberechtigungen und Zugriff.

Die folgenden Sicherheitsgruppen sind standardmäßig für jedes Projekt und jede Projektsammlung definiert. In der Regel fügen Sie den Gruppen Leser, Mitwirkende oder Projektadministratoren Benutzer oder Gruppen hinzu.

Hinweis

Die folgende Liste enthält die neuesten Gruppen, die für TFS 2017 und höhere Versionen definiert wurden. Bei früheren Versionen von Azure DevOps kann die Liste abweichen. Fügen Sie Dienstkonten nur zu Azure DevOps-Dienstkontogruppen hinzu. Informationen zu gültigen Benutzergruppen finden Sie weiter unten in diesem Artikel unter Gültige Benutzergruppen .

Projektebene	Sammlungsebene
– Buildadministratoren -Mitwirkenden - Projektadministratoren – Gültige Project-Benutzer -Leser – Releaseadministratoren - TeamName Team	– Projektsammlungsadministratoren – Buildadministratoren für Projektsammlungen – Project Collection Build Service Accounts (Project Collection Build Service Accounts) – Proxydienstkonten der Projektsammlung – Project Collection Service-Konten – Testdienstkonten der Projektsammlung – Gültige Benutzer der Project-Sammlung – Sicherheitsdienstgruppe

Tipp

Für Benutzer, die mit der Verwaltung von Features auf Projektebene (z. B. Teams, Bereichs- und Iterationspfaden, Repositorys, Diensthooks und Dienstendpunkten) beauftragt sind, fügen Sie sie der Gruppe Projektadministratoren hinzu. Für Benutzer, die mit der Verwaltung von Organisations- oder Sammlungsebenenfeatures wie z. B. Projekte, Richtlinien, Prozesse, Aufbewahrungsrichtlinien, Agent- und Bereitstellungspools und Erweiterungen beauftragt sind, fügen Sie sie der Gruppe Projektsammlungsadministratoren hinzu. Weitere Informationen finden Sie unter Informationen zu Einstellungen auf Benutzer-, Team-, Projekt- und Organisationsebene.

Eine Beschreibung jeder Gruppe und jeder Berechtigung finden Sie unter Referenz zu Berechtigungen und Gruppen, Gruppen.

Mitgliedschafts-, Berechtigungs- und Zugriffsebenenverwaltung

Azure DevOps steuert den Zugriff über diese drei miteinander verbundenen Funktionsbereiche:

• Die Mitgliedschaftsverwaltung unterstützt das Hinzufügen von einzelnen Benutzerkonten und Gruppen zu Standardsicherheitsgruppen. Jede Standardgruppe ist einem Satz von Standardberechtigungen zugeordnet. Alle Benutzer, die einer Sicherheitsgruppe hinzugefügt werden, werden der Gruppe Gültige Benutzer hinzugefügt. Ein gültiger Benutzer kann eine Verbindung zu einem Projekt, einer Sammlung oder einer Organisation herstellen.

• Die Berechtigungsverwaltung steuert den Zugriff auf bestimmte funktionale Aufgaben auf verschiedenen Ebenen des Systems. Berechtigungen auf Objektebene legen Berechtigungen für eine Datei, einen Ordner, eine Buildpipeline oder eine freigegebene Abfrage fest. Berechtigungseinstellungen sind Zulassen, Verweigern, Geerbte Zulassung, Geerbte Verweigerung und Nicht festgelegt. Weitere Informationen zur Vererbung finden Sie weiter unten in diesem Artikel unter Berechtigungsvererbung und Sicherheitsgruppen .

• Die Verwaltung der Zugriffsebene steuert den Zugriff auf Webportalfeatures. Basierend auf dem, was für einen Benutzer erworben wurde, legen Administratoren die Zugriffsebene des Benutzers auf Stakeholder, Basic, Basic + Test oder Visual Studio Enterprise (zuvor Erweitert) fest.

Jeder Funktionsbereich verwendet Sicherheitsgruppen zur Vereinfachung der Verwaltung in der gesamten Bereitstellung. Sie fügen Benutzer und Gruppen über den Webverwaltungskontext hinzu. Berechtigungen werden automatisch basierend auf der Sicherheitsgruppe festgelegt, der Sie Benutzer hinzufügen, oder basierend auf dem Objekt, dem Projekt, der Sammlung oder der Serverebene, dem bzw. der Sie Gruppen hinzufügen.

Die Sicherheitsgruppenmitgliedschaft kann eine Kombination aus Benutzern, anderen Gruppen und Azure Active Directory-Gruppen sein.

Sicherheitsgruppenmitglieder können eine Kombination aus Benutzern, anderen Gruppen und Active Directory-Gruppen oder einer Arbeitsgruppe sein.

Sie können lokale Gruppen oder Active Directory-Gruppen (AD) erstellen, um Ihre Benutzer zu verwalten.

Active Directory- und Azure Active Directory-Sicherheitsgruppen

Sie können Sicherheitsgruppen auffüllen, indem Sie einzelne Benutzer hinzufügen. Zur Vereinfachung der Verwaltung ist es jedoch einfacher, wenn Sie diese Gruppen mithilfe von Azure Active Directory (Azure AD) für Azure DevOps Services und Active Directory (AD) oder Windows-Benutzergruppen für Azure DevOps Server auffüllen. Mit dieser Methode können Sie Die Gruppenmitgliedschaft und Berechtigungen auf mehreren Computern effizienter verwalten.

Wenn Sie nur eine kleine Gruppe von Benutzern verwalten müssen, können Sie diesen Schritt überspringen. Wenn Sie jedoch voraussehen, dass Ihre Organisation wachsen könnte, sollten Sie AD oder Azure AD einrichten. Außerdem müssen Sie Azure AD für die Verwendung mit Azure DevOps einrichten, wenn Sie für zusätzliche Dienste bezahlen möchten, um die Abrechnung zu unterstützen.

Hinweis

Ohne Azure AD müssen sich alle Azure DevOps-Benutzer mit Microsoft-Konten anmelden, und Sie müssen den Kontozugriff durch einzelne Benutzerkonten verwalten. Auch wenn Sie den Kontozugriff mithilfe von Microsoft-Konten verwalten, müssen Sie ein Azure-Abonnement einrichten, um die Abrechnung zu verwalten.

Informationen zum Einrichten von Azure Active Directory für die Verwendung mit Azure DevOps Services finden Sie unter Verbinden Ihrer Organisation mit Azure Active Directory.

Hinweis

Wenn Ihre Organisation mit Azure Active Directory verbunden ist, gibt es eine Reihe von Organisationsrichtlinien, die Sie aktivieren oder deaktivieren können, um Ihre Organisation zu schützen. Weitere Informationen finden Sie unter Informationen zu Sicherheit, Authentifizierung und Autorisierung, Sicherheitsrichtlinien.

Informationen zum Verwalten des Organisationszugriffs mit Azure AD finden Sie in den folgenden Artikeln:

• Hinzufügen oder Löschen von Benutzern in Azure Active Directory
• Problembehandlung beim Zugriff mit Azure Active Directory

Azure DevOps registriert die Änderungen an einer Azure AD-Gruppe innerhalb einer Stunde nach dieser Änderung in Azure AD und aktualisiert alle Berechtigungen, die über die Mitgliedschaft in dieser Gruppe geerbt wurden. Darüber hinaus kann jeder Azure DevOps-Benutzer eine Aktualisierung seiner Azure AD-Mitgliedschaft zusammen mit den geerbten Berechtigungen in Azure DevOps auslösen, indem er sich abmeldet und sich erneut anmeldet oder eine Aktualisierung auslöst, um Ihre Berechtigung neu zu bewerten.

Informationen zum Einrichten von Active Directory für die Verwendung mit Azure DevOps Server finden Sie in den folgenden Artikeln:

• Installieren von Active Directory-Domänendiensten (Stufe 100)
• Active Directory Domain Services Erste Schritte.

In der Regel sollten Sie Active Directory vor der Installation von Azure DevOps Server installieren.

Gültige Benutzergruppen

Wenn Sie Konten von Benutzern direkt zu einer Sicherheitsgruppe hinzufügen, werden diese automatisch einer der gültigen Benutzergruppen hinzugefügt.

• Gültige Benutzer der Projektsammlung: Alle Mitglieder, die einer Gruppe auf Organisationsebene hinzugefügt wurden.
• Gültige Project-Benutzer: Alle Mitglieder, die einer Gruppe auf Projektebene hinzugefügt wurden.

• Server\Azure DevOps Gültige Benutzer: Alle Mitglieder, die Gruppen auf Serverebene hinzugefügt wurden.
• ProjectCollectionName\Project Collection Valid Users: Alle Mitglieder, die Gruppen auf Sammlungsebene hinzugefügt wurden.
• ProjectName\Project Valid Users: Alle Mitglieder, die Gruppen auf Projektebene hinzugefügt wurden.

• Server\Team Foundation Gültige Benutzer: Alle Mitglieder, die Gruppen auf Serverebene hinzugefügt wurden.
• ProjectCollectionName\Project Collection Valid Users: Alle Mitglieder, die Gruppen auf Sammlungsebene hinzugefügt wurden.
• ProjectName\Project Valid Users: Alle Mitglieder, die Gruppen auf Projektebene hinzugefügt wurden.

Die Diesen Gruppen zugewiesenen Standardberechtigungen sind hauptsächlich auf den Lesezugriff beschränkt, z . B. Buildressourcen anzeigen, Informationen auf Projektebene anzeigen und Informationen auf Sammlungsebene anzeigen.

Alle Benutzer, die Sie einem Projekt hinzufügen, können die Objekte in anderen Projekten innerhalb einer Auflistung anzeigen. Wenn Sie den Ansichtszugriff einschränken müssen, können Sie Einschränkungen über den Knoten "Bereichspfad" festlegen.

Wenn Sie die Berechtigung Informationen auf Instanzebene anzeigen für eine der gültigen Benutzergruppen entfernen oder verweigern, können keine Mitglieder der Gruppe je nach festgelegter Gruppe auf das Projekt, die Sammlung oder die Bereitstellung zugreifen.

Project-Scoped Benutzergruppe

Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Dies umfasst die Liste der Benutzer, die Liste der Projekte, Abrechnungsdetails, Nutzungsdaten und vieles mehr, auf das über die Organisationseinstellungen zugegriffen wird.

Wichtig

• Die in diesem Abschnitt beschriebenen Features für eingeschränkte Sichtbarkeit gelten nur für Interaktionen über das Webportal. Mit den REST-APIs oder azure devops CLI-Befehlen können Projektmitglieder auf die eingeschränkten Daten zugreifen.
• Gastbenutzer, die Mitglieder der eingeschränkten Gruppe mit Standardzugriff in Azure AD sind, können nicht mit der Personenauswahl nach Benutzern suchen. Wenn das Vorschaufeature deaktiviert ist oder Gastbenutzer keine Mitglieder der eingeschränkten Gruppe sind, können Gastbenutzer wie erwartet alle Azure AD-Benutzer durchsuchen.

Wenn Sie ausgewählte Benutzer einschränken möchten, z. B. Stakeholder, Azure Active Directory-Gastbenutzer oder Mitglieder einer bestimmten Sicherheitsgruppe, können Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte beschränken für die Organisation aktivieren. Sobald dies aktiviert ist, kann jeder Benutzer oder jede Gruppe, die der Gruppe "Project-Scoped Users " hinzugefügt wurde, nicht mehr auf die Seiten " Organisationseinstellungen" zugreifen, mit Ausnahme von Übersicht und Projekten. und dürfen nur auf die Projekte zugreifen, denen sie hinzugefügt wurden.

Warnung

Wenn die Vorschaufunktion Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken für die Organisation aktiviert ist, können projektbezogene Benutzer nicht nach Benutzern suchen, die der Organisation über die Azure Active Directory-Gruppenmitgliedschaft hinzugefügt wurden, anstatt über eine explizite Benutzerinladung. Dies ist ein unerwartetes Verhalten, an dem an einer Lösung gearbeitet wird. Um dieses Problem selbst zu beheben, deaktivieren Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte beschränken für die Organisation.

Informationen zum Aktivieren dieses Features finden Sie unter Verwalten oder Aktivieren von Features.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Organisationsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe der REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Zugriffsebenen

Zugriffsebenen steuern, welche Features für Benutzer im Webportal sichtbar sind und von Benutzerlizenzen abhängig sind; Berechtigungen steuern die Fähigkeit eines Benutzers, eine Verbindung mit Azure DevOps herzustellen und Features in Azure DevOps zu verwenden. Wenn Sie versuchen, jemandem Zugriff auf agile Portfolioverwaltungs- oder Testfallverwaltungsfeatures zu gewähren, möchten Sie die Zugriffsebenen und nicht die Berechtigungen ändern.

Das Festlegen der Zugriffsebene für Benutzer oder Gruppen ermöglicht ihnen keinen Zugriff auf ein Projekt oder das Webportal. Nur Benutzer oder Gruppen, die einem Team oder einer Sicherheitsgruppe hinzugefügt wurden, können eine Verbindung mit einem Projekt und dem Webportal herstellen. Stellen Sie sicher, dass Ihre Benutzer sowohl über die Berechtigungen als auch über die erforderliche Zugriffsebene verfügen. Dazu stellen Sie sicher, dass sie dem Projekt oder einem Team hinzugefügt werden.

Berechtigungen

Wie in der folgenden Abbildung gezeigt, können Sicherheitsgruppen, die auf Projekt- und Auflistungsebene definiert sind, Berechtigungen zugewiesen werden, die auf Objekt-, Projekt- und Organisationsebene zugewiesen sind.

Wie in der folgenden Abbildung gezeigt, können Sicherheitsgruppen, die auf Projekt- und Auflistungsebene definiert sind, Berechtigungen zugewiesen werden, die auf Objekt-, Projekt- und Auflistungsebene zugewiesen werden. Sie können Sicherheitsgruppen auf Serverebene nur für Berechtigungen auf Serverebene definieren.

Eine Beschreibung der einzelnen Standardsicherheitsgruppen finden Sie unter Sicherheitsgruppen, Dienstkonten und Berechtigungen.

Berechtigungszustände

Es gibt fünf mögliche Zuweisungen für eine Berechtigung. Sie gewähren oder schränken den Zugriff wie angegeben ein.

• Der Benutzer oder die Gruppe verfügt über Berechtigungen zum Ausführen einer Aufgabe:
  • Zulassen
  • Geerbte Zulassung
• Der Benutzer oder die Gruppe verfügt nicht über die Berechtigung zum Ausführen einer Aufgabe:
  • Deny
  • Geerbte Verweigerung
  • Nicht festgelegt

Folgendes müssen Sie über Berechtigungseinstellungen wissen:

• Durch Zulassen oder Verweigern wird Benutzern explizit die Ausführung bestimmter Aufgaben gewährt oder eingeschränkt, und sie werden von der Gruppenmitgliedschaft geerbt.

• Nicht festgelegt verweigert Benutzern implizit die Fähigkeit, Aufgaben auszuführen, die diese Berechtigung erfordern, aber ermöglicht die Mitgliedschaft in einer Gruppe, deren Berechtigung festgelegt ist, um Vorrang zu haben, auch als Zulassen (geerbt) oder Geerbtes Zulassen und Verweigern (geerbt) oder Geerbte Ablehnung bezeichnet.

• Für die meisten Gruppen und fast alle Berechtigungen überschreibt DenyZulassen. Wenn ein Benutzer zu zwei Gruppen gehört und eine von ihnen über eine bestimmte Berechtigung verfügt, die auf Verweigern festgelegt ist, kann dieser Benutzer keine Aufgaben ausführen, die diese Berechtigung erfordern, selbst wenn er zu einer Gruppe gehört, für die diese Berechtigung auf Zulassen festgelegt ist.

  In einigen Fällen erhalten Mitglieder der Gruppen "Projektsammlungsadministratoren" oder "Team Foundation-Administratoren " möglicherweise immer die Berechtigung, auch wenn ihnen diese Berechtigung in einer anderen Gruppe verweigert wird. In anderen Fällen, z. B. löschen von Arbeitselementen oder Pipelines, umgehen Sie als Mitglied von Projektsammlungsadministratoren die an anderer Stelle festgelegten Verweigern-Berechtigungen nicht.

• Durch ändern einer Berechtigung für eine Gruppe ändert sich diese Berechtigung für alle Benutzer, die Mitglieder dieser Gruppe sind. Das heißt also: Je nach Größe der Gruppe haben Sie durch das Ändern von nur einer Berechtigung bereits Einfluss darauf, ob Hunderte von Benutzern ihre Arbeit ausführen können oder nicht. Vergewissern Sie sich also, dass Sie die Auswirkungen kennen, bevor Sie eine Änderung vornehmen.

Berechtigungsvererbung und Sicherheitsgruppen

Einige Berechtigungen werden über eine Hierarchie verwaltet. Innerhalb dieser Hierarchie können Berechtigungen vom übergeordneten Element geerbt oder überschrieben werden. Sicherheitsgruppen weisen diesen Mitgliedern der Gruppe einen Satz von Berechtigungen zu. Beispielsweise werden Mitgliedern der Gruppe Mitwirkende oder Projektadministratoren die Berechtigungen zugewiesen, die auf Zulässig für diese Gruppen festgelegt sind.

Wenn eine Berechtigung für einen Benutzer nicht direkt zugelassen oder verweigert wird, kann sie auf zwei Arten geerbt werden.

• Benutzer erben Berechtigungen von den Gruppen, zu denen sie gehören. Wenn eine Berechtigung für einen Benutzer direkt oder über die Mitgliedschaft in einer Gruppe zugelassen wird, die über diese Berechtigung verfügt, und sie verweigert wird, entweder direkt oder über die Gruppenmitgliedschaft, wird die Berechtigung verweigert.

  Mitglieder von Projektsammlungsadministratoren oder Team Foundation-Administratoren behalten die meisten zulässigen Berechtigungen bei, auch wenn sie anderen Gruppen angehören, die diese Berechtigungen verweigern. Arbeitselementvorgangsberechtigungen sind die Ausnahme von dieser Regel.

• Berechtigungen auf Objektebene, die knoten einer Hierarchie zugewiesen werden – Bereiche, Iterationen, Ordner für die Versionskontrolle, Arbeitselementabfrageordner – werden in der Hierarchie geerbt. Das heißt, die Berechtigungen eines Benutzers, die auf area-1 festgelegt sind, werden von area-1/sub-area-1geerbt, wenn dieselbe Berechtigung nicht explizit für area-1/sub-area-1zugelassen oder verweigert wird. Wenn eine Berechtigung explizit für ein Objekt wie area-1/sub-area-1festgelegt wird, wird der übergeordnete Knoten nicht geerbt, unabhängig davon, ob er verweigert oder zugelassen wird. Wenn sie nicht festgelegt ist, werden die Berechtigungen für diesen Knoten vom nächstgelegenen Vorgänger geerbt, für den die Berechtigung explizit festgelegt ist. Schließlich übertrumpft die Spezifität in der Objekthierarchie die Vererbung. Ein Benutzer, dessen Berechtigungen für "area-1" explizit auf Verweigern festgelegt sind, aber auch explizit auf Allow für "area-1/sub-area-1" festgelegt sind, erhält für "area-1/sub-area-1" ein Allow-Element .

Um zu verstehen, warum eine Berechtigung geerbt wird, können Sie eine Berechtigungseinstellung anhalten und dann Warum auswählen? Informationen zum Öffnen einer Sicherheitsseite finden Sie unter Anzeigen von Berechtigungen.

Hinweis

Informationen zum Aktivieren der Seite "Projektberechtigungseinstellungen " (Vorschauversion) finden Sie unter Aktivieren von Vorschaufeatures.

Seite „Vorschau“

Ein neues Dialogfeld wird geöffnet, in dem die Vererbungsinformationen für diese Berechtigung angezeigt werden.

Die Vorschau-Benutzeroberfläche für die Seite "Einstellungen für Projektberechtigungen" ist für Azure DevOps Server 2020 und früheren Versionen nicht verfügbar.

Aktuelle Seite

Es wird ein neues Fenster geöffnet, in dem die Vererbungsinformationen für diese Berechtigung angezeigt werden.

Beim Zuweisen von Berechtigungen

Gehen Sie wie folgt vor:

• Verwenden Sie Azure Active Directory, Active Directory oder Windows-Sicherheitsgruppen, wenn Sie viele Benutzer verwalten.
• Beachten Sie beim Erstellen von Teams, welche Berechtigungen Sie an Teamleiter, Scrum-Master und andere Teammitglieder vergeben möchten, die Bereichs- und Iterationspfade sowie Abfragen erstellen und bearbeiten müssen.
• Wenn Sie viele Teams hinzufügen, sollten Sie erwägen, eine benutzerdefinierte Gruppe für Teamadministratoren zu erstellen, in der Sie eine Teilmenge der Berechtigungen zuweisen, die für Projektadministratoren verfügbar sind.
• Erwägen Sie, den Arbeitselementabfrageordnern die Berechtigung Mitwirken für Benutzer oder Gruppen zu gewähren, die die Möglichkeit zum Erstellen und Freigeben von Arbeitselementabfragen für das Projekt benötigen.

Vermeiden Sie Folgendes:

• Fügen Sie benutzer nicht mehreren Sicherheitsgruppen hinzu, die unterschiedliche Berechtigungsstufen enthalten. In bestimmten Fällen kann die Berechtigungsstufe Verweigern die Berechtigungsstufe Zulassen außer Kraft setzen.
• Ändern Sie nicht die Standardzuweisungen, die an die gültigen Benutzergruppen vorgenommen werden. Wenn Sie die Berechtigung Informationen auf Instanzebene anzeigen für eine der Gruppen Gültige Benutzer entfernen oder auf Verweigern festlegen, können keine Benutzer in der Gruppe je nach festgelegter Gruppe auf das Projekt, die Sammlung oder die Bereitstellung zugreifen.
• Weisen Sie Benutzerkonten keine Berechtigungen zu, die als "Nur Dienstkonten zuweisen" gekennzeichnet sind.

Rollenbasierte Berechtigungen

Mit rollenbasierten Berechtigungen weisen Sie einer Rolle Benutzerkonten oder Sicherheitsgruppen zu, wobei jeder Rolle mindestens eine Berechtigung zugewiesen ist. Hier finden Sie die wichtigsten Rollen und Links, um mehr zu erfahren.

• Artefakt- oder Paketfeedsicherheitsrollen: Rollen unterstützen verschiedene Berechtigungsstufen zum Bearbeiten und Verwalten von Paketfeeds.

• Rolle "Marketplace-Erweiterungs-Manager": Mitglieder der Rolle "Manager" können Erweiterungen installieren und auf Anforderungen für die Installation von Erweiterungen reagieren.

• Pipelinesicherheitsrollen: Zum Verwalten von Bibliotheksressourcen, Pipelineressourcen auf Projekt- und Sammlungsebene werden mehrere Rollen verwendet.

• Rolle "Teamadministrator" Teamadministratoren können alle Teamtools verwalten.

  Hinweis

  Mitglieder der Gruppen "Projektadministratoren" oder "Projektsammlungsadministratoren" können alle Teamtools für alle Teams verwalten.

Vorschaufeatures

Featureflags steuern den Zugriff auf die Auswahl neuer Features. In regelmäßigen Abständen führt Azure DevOps Services neue Features ein, indem sie hinter einem Featureflag platziert werden. Projektmitglieder und Organisationsbesitzer können Vorschaufeatures aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Verwalten oder Aktivieren von Features.

Nächste Schritte

Standardberechtigungen und -zugriff

Verwandte Artikel

• Behandeln von Zugriffs- und Berechtigungsproblemen
• Informationen zu Sicherheit, Authentifizierung und Autorisierung
• Was ist Azure Active Directory?
• Erste Schritte mit Azure AD
• Referenz zu Berechtigungen und Gruppen
• Sicherheits- und Berechtigungsverwaltungstools
• Hinzufügen von Benutzern zu einer Organisation
• Hinzufügen und Verwalten von Sicherheitsgruppen
• Verwalten von Token, Namespaces und Berechtigungen
• Funktionsweise der Abrechnung
• Einrichten der Abrechnung zum Bezahlen von Benutzern, Pipelines und cloudbasierten Auslastungstests in Azure DevOps

• Behandeln von Zugriffs- und Berechtigungsproblemenüber Sicherheit, Authentifizierung und Autorisierung
• Übersicht über die Active Directory Domain Services
• Erste Schritte mit AD DS
• Referenz zu Berechtigungen und Gruppen
• Sicherheits- und Berechtigungsverwaltungstools
• Hinzufügen von Benutzern zu einem Team oder projekt
• Hinzufügen und Verwalten von Sicherheitsgruppen
• Verwalten von Token, Namespaces und Berechtigungen
• Referenz zu Berechtigungen und Gruppen
• Sicherheits- und Berechtigungsverwaltungstools