Sicherheitsgruppen, Dienstkonten und Berechtigungen in Azure DevOps
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018
Dieser Artikel bietet eine umfassende Referenz für jeden integrierten Benutzer, jede Gruppe und jede berechtigung. Es sind viele Informationen, die die integrierten Sicherheitsbenutzer und -gruppen sowie die einzelnen Berechtigungen beschreiben.
Eine kurze Referenz zu Standardzuweisungen finden Sie unter Standardberechtigungen und Zugriff. Eine Übersicht darüber, wie Berechtigungen und Sicherheit verwaltet werden, finden Sie unter Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen. Neben Sicherheitsgruppen gibt es auch Sicherheitsrollen, die Berechtigungen für ausgewählte Bereiche bereitstellen.
Informationen zum Hinzufügen von Benutzern zu einer Gruppe oder zum Festlegen einer bestimmten Berechtigung, die Sie über das Webportal verwalten können, finden Sie in den folgenden Ressourcen:
Benutzer und Gruppen
Wiki
DevOps
Hinweis
Die Bilder, die Sie in Ihrem Webportal sehen, unterscheiden sich möglicherweise von den Bildern, die Sie in diesem Thema sehen. Diese Unterschiede ergeben sich aus Updates, die in Azure DevOps vorgenommen wurden. Die ihnen zur Verfügung stehenden grundlegenden Funktionen bleiben jedoch unverändert, sofern nicht explizit erwähnt.
Dienstkonten
Es gibt einige Dienstkonten, die vom System generiert werden, um bestimmte Vorgänge zu unterstützen. Dazu gehören die in der folgenden Tabelle beschriebenen. Diese Benutzerkonten werden auf Organisations- oder Sammlungsebene hinzugefügt.
| Benutzername | BESCHREIBUNG |
|---|---|
| Agentpooldienst | Verfügt über die Berechtigung, die Nachrichtenwarteschlange für den bestimmten Pool zu lauschen, um Arbeit zu empfangen. In den meisten Fällen sollten Sie die Mitglieder dieser Gruppe nicht verwalten müssen. Der Agentregistrierungsprozess übernimmt dies für Sie. Das Dienstkonto, das Sie für den Agent angeben (üblicherweise Netzwerkdienst), wird automatisch hinzugefügt, wenn Sie den Agent registrieren. Verantwortlich für Azure Boards Lese-/Schreibvorgänge und Aktualisieren von Arbeitselementen, wenn GitHub-Objekte aktualisiert werden. |
| Azure Boards | Wird hinzugefügt, wenn Azure Boards mit GitHub verbunden ist. Sie sollten keine Mitglieder dieser Gruppe verwalten müssen. Verantwortlich für die Verwaltung der Linkerstellung zwischen GitHub und Azure Boards. |
| PipelinesSDK | Bei Bedarf hinzugefügt, um die Token des Pipelines-Richtliniendienstbereichs zu unterstützen. Dieses Benutzerkonto ähnelt den Builddienstidentitäten, unterstützt aber das separate Sperren von Berechtigungen. In der Praxis erhalten die Token, die diese Identität umfassen, schreibgeschützte Berechtigungen für Pipelineressourcen und die einmalige Möglichkeit, Richtlinienanforderungen zu genehmigen. Dieses Konto sollte genauso behandelt werden wie die Builddienstidentitäten. |
| Projectname Builddienst | Verfügt über Berechtigungen zum Ausführen von Builddiensten für das Projekt. Dies ist ein Legacybenutzer, der für XAML-Builds verwendet wird. Es wird der Sicherheitsdienstgruppe hinzugefügt, die zum Speichern von Benutzern verwendet wird, denen Berechtigungen erteilt, aber keiner anderen Sicherheitsgruppe hinzugefügt wurden. |
| Builddienst für die Projektauflistung | Verfügt über Berechtigungen zum Ausführen von Builddiensten für die Sammlung. Es wird der Sicherheitsdienstgruppe hinzugefügt, die zum Speichern von Benutzern verwendet wird, denen Berechtigungen erteilt, aber keiner anderen Sicherheitsgruppe hinzugefügt wurden. |
Gruppen
Berechtigungen können direkt einer Person oder einer Gruppe erteilt werden. Die Verwendung von Gruppen vereinfacht die Dinge erheblich. Das System stellt zu diesem Zweck mehrere integrierte Gruppen bereit. Diese Gruppen und die ihnen zugewiesenen Standardberechtigungen werden auf verschiedenen Ebenen definiert: Server (nur lokale Bereitstellung), Projektsammlung, Projekt und bestimmte Objekte. Sie können auch Ihre eigenen Gruppen erstellen und ihnen den spezifischen Satz von Berechtigungen erteilen, die für bestimmte Rollen in Ihrer Organisation geeignet sind.
Hinweis
Alle Sicherheitsgruppen sind Entitäten auf Organisationsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.
Hinweis
Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.
Hinweis
Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe der REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.
Gruppen auf Serverebene
Wenn Sie Azure DevOps Server installieren, erstellt das System Standardgruppen, die über bereitstellungsweite Berechtigungen auf Serverebene verfügen. Sie können die integrierten Gruppen auf Serverebene nicht entfernen oder löschen.
Sie können die Standardgruppen auf Serverebene nicht entfernen oder löschen.
Hinweis
Der vollständige Name jeder dieser Gruppen lautet [Team Foundation]\{Gruppenname}. Der vollständige Name der Administratorgruppe auf Serverebene lautet also [Team Foundation]\Team Foundation-Administratoren.
Gruppenname
Berechtigungen
Mitgliedschaft
Azure DevOps-Dienstkonten
Verfügt über Berechtigungen auf Dienstebene für die Serverinstanz.
Enthält das Dienstkonto, das während der Installation bereitgestellt wurde.
Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten. Standardmäßig ist diese Gruppe Mitglied von Team Foundation-Administratoren.
Wenn Sie dieser Gruppe nach der Installation Azure DevOps Server ein Konto hinzufügen müssen, können Sie dies mithilfe des Hilfsprogramms TFSSecurity.exe im Unterordner Extras Ihres lokalen Installationsverzeichnisses tun.
Der Hierfür folgende Befehl ist: TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Azure DevOps-Proxydienstkonten
Verfügt über Berechtigungen auf Dienstebene für den Team Foundation Server-Proxy und einige Berechtigungen auf Dienstebene.
Hinweis
Dieses Konto wird erstellt, wenn Sie den Azure DevOps-Proxydienst installieren.
Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten.
Gültige Azure DevOps-Benutzer
Verfügt über die Berechtigung zum Anzeigen von Informationen auf Serverinstanzebene.
Enthält alle Benutzer, die bekanntermaßen in der Serverinstanz vorhanden sind. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.
Team Foundation-Administratoren
Verfügt über Berechtigungen zum Ausführen aller Vorgänge auf Serverebene.
Lokale Administratorgruppe (BUILTIN\Administrators) für jeden Server, der Azure DevOPs/Team Foundation-Anwendungsdienste hostet.
Die Gruppe Server\Team Foundation Service-Konten und die Mitglieder der Gruppe \Project Server Integration Service-Konten.
Diese Gruppe sollte auf die kleinstmögliche Anzahl von Benutzern beschränkt sein, die eine vollständige administrative Kontrolle über Vorgänge auf Serverebene benötigen.
Hinweis
Wenn Ihre Bereitstellung Berichterstellung verwendet, sollten Sie erwägen, die Mitglieder dieser Gruppe den Inhalts-Manager-Gruppen in Reporting Services hinzuzufügen.
Gruppenname
Berechtigungen
Mitgliedschaft
Team Foundation-Administratoren
Verfügt über Berechtigungen zum Ausführen aller Vorgänge auf Serverebene.
Lokale Administratorgruppe (BUILTIN\Administrators) für jeden Server, der Azure DevOPs/Team Foundation-Anwendungsdienste hostet.
Die Gruppe Server\Team Foundation Service-Konten und die Mitglieder der Gruppe \Project Server Integration Service-Konten.
Diese Gruppe sollte auf die kleinstmögliche Anzahl von Benutzern beschränkt sein, die eine vollständige administrative Kontrolle über Vorgänge auf Serverebene benötigen.
Hinweis
Wenn Ihre Bereitstellung Berichterstellung verwendet, sollten Sie erwägen, die Mitglieder dieser Gruppe den Inhalts-Manager-Gruppen in Reporting Services hinzuzufügen.
Team Foundation-Proxydienstkonten
Verfügt über Berechtigungen auf Dienstebene für den Team Foundation Server-Proxy und einige Berechtigungen auf Dienstebene.
Hinweis
Dieses Konto wird erstellt, wenn Sie den TFS-Proxydienst installieren.
Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten.
Team Foundation Service-Konten
Verfügt über Berechtigungen auf Dienstebene für die Serverinstanz.
Enthält das Dienstkonto, das während der Installation bereitgestellt wurde.
Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten. Standardmäßig ist diese Gruppe Mitglied von Team Foundation-Administratoren.
Wenn Sie dieser Gruppe nach der Installation Azure DevOps Server ein Konto hinzufügen müssen, können Sie dazu das Hilfsprogramm TFSSecurity.exe im Unterordner Tools Ihres TFS-Installationsverzeichnisses verwenden.
Der Hierfür folgende Befehl ist: TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Gültige Team Foundation-Benutzer
Verfügt über die Berechtigung zum Anzeigen von Informationen auf Serverinstanzebene.
Hinweis
Wenn Sie die Berechtigung Informationen auf Instanzebene anzeigen für diese Gruppe auf Verweigern oder Nicht festlegen , können keine Benutzer auf die Bereitstellung zugreifen.
Enthält alle Benutzer, die bekanntermaßen in der Serverinstanz vorhanden sind. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.
Gruppen auf der Auflistungsebene
Wenn Sie eine Organisation oder Projektsammlung in Azure DevOps erstellen, erstellt das System Gruppen auf Sammlungsebene, die über Berechtigungen in dieser Sammlung verfügen. Sie können die integrierten Gruppen auf Sammlungsebene nicht entfernen oder löschen.
Hinweis
Informationen zum Aktivieren der Seite Organisationsberechtigungseinstellungen v2 (Vorschauversion) finden Sie unter Aktivieren von Vorschaufeatures. Die Vorschauseite stellt eine Gruppeneinstellungsseite bereit, die von der aktuellen Seite nicht unterstützt wird.
Der vollständige Name jeder dieser Gruppen lautet [{Sammlungsname}]\{Gruppenname}. Daher lautet der vollständige Name der Administratorgruppe für die Standardsammlung [Standardsammlung]\Project Collection Administrators.
Gruppenname
Berechtigungen
Mitgliedschaft
Projektauflistungsadministratoren
Verfügt über Berechtigungen zum Ausführen aller Vorgänge für die Sammlung.
Enthält die Gruppe Lokale Administratoren (BUILTIN\Administrators) für den Server, auf dem die Dienste der Anwendungsebene installiert wurden. Enthält außerdem die Mitglieder der Gruppe CollectionName-Dienstkonten/. Diese Gruppe sollte so wenige Benutzer wie möglich enthalten und nur solche, die eine umfassende Verwaltungskontrolle über die Auflistung benötigen.
Hinweis
Wenn Ihre Bereitstellung Reporting Services verwendet, sollten Sie die Mitglieder dieser Gruppe den Team Foundation-Inhalts-Manager-Gruppen in Reporting Services hinzufügen.
Projektauflistungsbuild-Administratoren
Verfügt über Berechtigungen zum Verwalten von Buildressourcen und Berechtigungen für die Sammlung.
Begrenzen Sie diese Gruppe möglichst wenige Benutzer, die vollständige Kontrolle zur Verwaltung von Buildservern und Diensten für diese Auflistung benötigen.
Builddienstkonten für Projektauflistung
Verfügt über Berechtigungen zum Ausführen von Builddiensten für die Sammlung.
Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten. Dies ist eine Legacygruppe, die für XAML-Builds verwendet wird. Verwenden Sie den Benutzer Project Collection Build Service ({your organization}) zum Verwalten von Berechtigungen für aktuelle Builds.
Proxydienstkonten für Projektauflistung
Verfügt über Berechtigungen zum Ausführen des Proxydiensts für die Sammlung.
Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten.
Dienstkonten für Projektauflistung
Verfügt über Berechtigungen auf Dienstebene für die Sammlung und für Azure DevOps Server.
Enthält das während der Installation angegebene Dienstkonto. In dieser Gruppe dürfen sich nur Dienstkonten und Gruppen befinden, die ausschließlich Dienstkonten enthalten. Standardmäßig ist diese Gruppe Mitglied der Gruppe Administratoren.
Testdienstkonten für Projektauflistung
Verfügt über Testdienstberechtigungen für die Sammlung.
Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten.
Gültige Benutzer für Projektauflistung
Verfügt über Berechtigungen für den Zugriff auf Teamprojekte und das Anzeigen von Informationen in der Sammlung.
Enthält alle Benutzer und Gruppen, die an einer beliebigen Stelle innerhalb der Sammlung hinzugefügt wurden. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.
Verfügt über eingeschränkten Zugriff zum Anzeigen von Organisationseinstellungen und anderen Projekten als den Projekten, denen sie speziell hinzugefügt wurden. Außerdem sind die Optionen für die Personenauswahl auf die Benutzer und Gruppen beschränkt, die dem Projekt, mit dem der Benutzer verbunden ist, explizit hinzugefügt wurden.
Fügen Sie dieser Gruppe Benutzer hinzu, wenn Sie ihre Sichtbarkeit und den Zugriff auf die Projekte einschränken möchten, denen Sie sie explizit hinzufügen. Fügen Sie dieser Gruppe keine Benutzer hinzu, wenn sie auch der Gruppe Projektsammlungsadministratoren hinzugefügt werden.
Hinweis
Die Gruppe "Project-Scoped Users" wird mit eingeschränktem Zugriff verfügbar, wenn die Vorschaufunktion " Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken" auf Organisationsebene aktiviert ist. Weitere Informationen, einschließlich wichtiger sicherheitsrelevanter Aufforderungen, finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Sicherheitsdienstgruppe
Dient zum Speichern von Benutzern, denen Berechtigungen erteilt wurden, aber keiner anderen Sicherheitsgruppe hinzugefügt wurden.
Weisen Sie dieser Gruppe keine Benutzer zu. Wenn Sie Benutzer aus allen Sicherheitsgruppen entfernen, überprüfen Sie, ob Sie sie aus dieser Gruppe entfernen müssen.
Gruppen auf Projektebene
Für jedes Projekt, das Sie erstellen, erstellt das System die folgenden Gruppen auf Projektebene. Diesen Gruppen werden Berechtigungen auf Projektebene zugewiesen.
Hinweis
Informationen zum Aktivieren der Vorschauseite für die Seite "Einstellungen für Projektberechtigungen" finden Sie unter Aktivieren von Vorschaufeatures.
Tipp
Der vollständige Name jeder dieser Gruppen lautet [{Projektname}]\{Gruppenname}. Die Gruppe "Mitwirkender" für ein Projekt mit dem Namen "Mein Projekt" lautet beispielsweise [Mein Projekt]\Mitwirkende.
Gruppenname
Berechtigungen
Mitgliedschaft
Buildadministratoren
Verfügt über Berechtigungen zum Verwalten von Buildressourcen und Buildberechtigungen für das Projekt. Die Mitglieder können Testumgebungen verwalten, Testläufe erstellen und Builds verwalten.
Weisen Sie Benutzern, die Buildpipelines definieren und verwalten, zu.
Beitragende
Verfügt über Berechtigungen, um vollständig zur Projektcodebasis und zur Nachverfolgung von Arbeitselementen beizutragen. Die Hauptberechtigungen, über die sie nicht verfügen, sind diejenigen, die Ressourcen verwalten oder verwalten.
Standardmäßig wird die Beim Erstellen eines Projekts erstellte Teamgruppe dieser Gruppe hinzugefügt, und jeder Benutzer, den Sie dem Team oder Projekt hinzufügen, ist Mitglied dieser Gruppe. Darüber hinaus wird jedes Team, das Sie für ein Projekt erstellen, dieser Gruppe hinzugefügt.
Leser
Verfügt über Berechtigungen zum Anzeigen von Projektinformationen, der Codebasis, Arbeitselementen und anderen Artefakten, die jedoch nicht geändert werden können.
Weisen Sie Mitgliedern Ihrer Organisation oder Sammlung zu, wem Sie Nur-Ansichtsberechtigungen für ein Projekt bereitstellen möchten. Diese Benutzer können Backlogs, Boards, Dashboards usw. anzeigen, aber nichts hinzufügen oder bearbeiten.
Verfügt über Berechtigungen zum Verwalten aller Aspekte von Teams und Projekten, obwohl sie keine Teamprojekte erstellen können.
Weisen Sie Benutzern zu, die Benutzerberechtigungen verwalten, Teams erstellen oder bearbeiten, Teameinstellungen ändern, einen Iterationspfad definieren oder die Nachverfolgung von Arbeitselementen anpassen. Mitgliedern der Gruppe "Projektadministratoren" werden Berechtigungen zum Ausführen der folgenden Aufgaben erteilt:
- Hinzufügen und Entfernen von Benutzern aus der Projektmitgliedschaft
- Hinzufügen und Entfernen benutzerdefinierter Sicherheitsgruppen aus einem Projekt
- Hinzufügen und Verwalten aller Projektteams und teambezogenen Features
- Bearbeiten von Berechtigungs-ACLs auf Projektebene
- Bearbeiten Sie Ereignisabonnements (E-Mail oder SOAP) für Teams oder Ereignisse auf Projektebene.
Gültige Projektbenutzer
Verfügt über Berechtigungen zum Zugreifen auf und Anzeigen von Projektinformationen.
Enthält alle Benutzer und Gruppen, die dem Projekt an einer beliebigen Stelle hinzugefügt wurden. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.
Hinweis
Es wird empfohlen, die Standardberechtigungen für diese Gruppe nicht zu ändern.
Releaseadministratoren
Verfügt über Berechtigungen zum Verwalten aller Releasevorgänge.
Weisen Sie Benutzern, die Releasepipelines definieren und verwalten, zu.
Hinweis
Die Gruppe "Releaseadministrator" wird gleichzeitig erstellt, wenn die erste Releasepipeline definiert wird. Es wird nicht standardmäßig erstellt, wenn das Projekt erstellt wird.
Verfügt über Berechtigungen, um vollständig zur Projektcodebasis und zur Nachverfolgung von Arbeitselementen beizutragen.
Die Standardmäßige Teamgruppe wird erstellt, wenn Sie ein Projekt erstellen, und standardmäßig der Gruppe Mitwirkende für das Projekt hinzugefügt. Alle neuen Teams, die Sie erstellen, haben ebenfalls eine für sie erstellte Gruppe und werden zur Gruppe der Contributors hinzugefügt.
Fügen Sie dieser Gruppe Mitglieder des Teams hinzu. Um Zugriff zum Konfigurieren von Teameinstellungen zu gewähren, fügen Sie der Teamadministratorrolle ein Teammitglied hinzu.
Rolle "Teamadministrator"
Für jedes Team, das Sie hinzufügen, können Sie ein oder mehrere Teammitglieder als Administratoren zuweisen. Die Teamadministratorrolle ist keine Gruppe mit definierten Berechtigungen. Stattdessen wird die Rolle "Teamadministrator" mit der Verwaltung von Teamressourcen beauftragt. Weitere Informationen finden Sie unter Verwalten von Teams und Konfigurieren von Teamtools. Informationen zum Hinzufügen eines Benutzers als Teamadministrator finden Sie unter Hinzufügen eines Teamadministrators.
Hinweis
Projektadministratoren können alle Teamverwaltungsbereiche für alle Teams verwalten.
Berechtigungen
Das System verwaltet Berechtigungen auf verschiedenen Ebenen – Organisation, Projekt, Objekt sowie rollenbasierte Berechtigungen – und weist sie standardmäßig einer oder mehreren integrierten Gruppen zu. Sie können die meisten Berechtigungen über das Webportal verwalten. Zusätzliche Berechtigungen können mithilfe eines oder mehrerer Sicherheitsverwaltungstools verwaltet werden, indem eine Namespaceberechtigung angegeben wird.
Das System verwaltet Berechtigungen auf verschiedenen Ebenen – Server-, Sammlungs-, Projekt-, Objekt- und rollenbasierte Berechtigungen – und weist sie standardmäßig einer oder mehreren integrierten Gruppen zu. Sie verwalten die meisten Berechtigungen über das Webportal. Zusätzliche Berechtigungen können mithilfe eines oder mehrerer Sicherheitsverwaltungstools verwaltet werden, indem eine Namespaceberechtigung angegeben wird.
In den folgenden Abschnitten wird die Namespaceberechtigung nach der Berechtigungsbezeichnung bereitgestellt, die auf der Benutzeroberfläche angezeigt wird. Beispiel:
Tagdefinition erstellen
Tagging, Create
Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz.
Berechtigungen auf Serverebene
Sie verwalten Berechtigungen auf Serverebene über die Team Foundation-Verwaltungskonsole oder das Befehlszeilentool TFSSecurity. Team Foundation-Administratoren werden alle Berechtigungen auf Serverebene erteilt. Andere Gruppen auf Serverebene verfügen über Auswahlberechtigungszuweisungen.
Berechtigung (UI)
Namespace permission
Beschreibung
Diese Berechtigung ist nur für Azure DevOps Server 2020 und frühere Versionen gültig, die für die Unterstützung SQL Server Berichte konfiguriert sind. Kann Einstellungen für das Data Warehouse oder SQL Server Analysis-Cube mithilfe des Warehouse Control-Webdiensts verarbeiten oder ändern.
Möglicherweise sind zusätzliche Berechtigungen erforderlich, um das Data Warehouse und den Analysis-Cube vollständig zu verarbeiten oder neu zu erstellen.
Kann Sammlungen erstellen und verwalten.
Kann eine Sammlung aus der Bereitstellung löschen.
Hinweis
Durch das Löschen einer Sammlung wird die Sammlungsdatenbank nicht aus SQL Server gelöscht.
Kann Berechtigungen auf Serverebene für Benutzer und Gruppen bearbeiten und Gruppen auf Serverebene hinzufügen oder daraus entfernen.
Hinweis
Informationen auf Instanzebene bearbeiten umfasst die Möglichkeit, diese Aufgaben auszuführen, die in allen für die Instanz definierten Sammlungen definiert sind:
- Ändern von Erweiterungen und Analyseeinstellungen
- Implizit ermöglicht es dem Benutzer, Berechtigungen für die Versionsverwaltung und Repositoryeinstellungen zu ändern.
- Bearbeiten von Ereignisabonnements oder Warnungen für globale Benachrichtigungen, Ereignisse auf Projekt- und Teamebene
- Bearbeiten aller Einstellungen auf Projekt- und Teamebene für Projekte, die in den Sammlungen definiert sind
- Globale Listen erstellen und bearbeiten
Um alle diese Berechtigungen an einer Eingabeaufforderung zu erteilen, müssen Sie den tf.exe Permission -Befehl verwenden, um die AdminConfiguration Berechtigungen und AdminConnections zusätzlich zu zu erteilen GENERIC_WRITE.
Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Nur an Dienstkonten zuweisen.
Kann Warnungsereignisse auf Serverebene auslösen. Weisen Sie nur Dienstkonten und Mitgliedern der Gruppe Azure DevOps- oder Team Foundation-Administratoren zu.
Kann alle lokalen Webportalfeatures verwenden. Diese Berechtigung ist mit Azure DevOps Server 2019 und höheren Versionen veraltet.
Hinweis
Wenn die Berechtigung Vollständige Webzugriffsfeatures verwenden auf Verweigern festgelegt ist, werden dem Benutzer nur diese Features angezeigt, die für die Stakeholdergruppe zulässig sind (siehe Ändern von Zugriffsebenen). Eine Deny-Instanz überschreibt alle impliziten Genehmigungen, auch für Konten, die Mitglieder administrativer Gruppen sind, z. B. Team Foundation-Administratoren.
Kann die Gruppenmitgliedschaft auf Serverebene und die Berechtigungen dieser Benutzer anzeigen.
Hinweis
Die Berechtigung Informationen auf Instanzebene anzeigen wird auch der Gruppe Gültige Benutzer von Azure DevOps zugewiesen.
Berechtigungen auf Organisationsebene
Sie verwalten Berechtigungen auf Organisationsebene über den Administratorkontext des Webportals oder mit den Befehlen az devops security group . Projektsammlungsadministratoren erhalten alle Berechtigungen auf Organisationsebene. Andere Gruppen auf Organisationsebene verfügen über Berechtigungszuweisungen.
Hinweis
Informationen zum Aktivieren der Vorschauseite für die Seite Projektberechtigungeneinstellungen finden Sie unter Aktivieren von Vorschaufeatures.
Wichtig
Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Organisations- oder Sammlungsebene, zum Hinzufügen und Verwalten der Mitgliedschaft in Organisationen oder Gruppen auf Sammlungsebene sowie zum Bearbeiten von Berechtigungs-ACLs auf Sammlungs- und Projektebene ist allen Mitgliedern der Gruppe des Projektsammlungsadministratorszugewiesen. Es wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.
Sie können die Berechtigungen für die Gruppe Projektsammlungsadministratoren nicht ändern. Auch wenn Sie die Berechtigungszuweisungen für ein Mitglied dieser Gruppe ändern können, entsprechen die effektiven Berechtigungen weiterhin den Berechtigungen, die der Administratorgruppe zugewiesen sind, für die es Mitglied ist.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Allgemein
Kann die Ablaufverfolgungseinstellungen ändern, um ausführlichere Diagnoseinformationen zu Azure DevOps-Webdiensten zu sammeln.
Kann ein Projekt zu einer Organisation oder Projektsammlung hinzufügen. Abhängig von Ihrer lokalen Bereitstellung sind möglicherweise zusätzliche Berechtigungen erforderlich.
Kann ein Projekt löschen. Beim Löschen eines Projekts werden alle Daten gelöscht, die dem Projekt zugeordnet sind. Sie können das Löschen eines Projekts nicht rückgängig machen, außer indem Sie die Auflistung bis zu einem Punkt wiederherstellen, an dem das Projekt gelöscht wurde.
Kann Organisations- und Projektebeneneinstellungen festlegen.
Hinweis
Informationen auf Instanzebene bearbeiten umfasst die Möglichkeit, diese Aufgaben für alle in einer Organisation oder Sammlung definierten Projekte auszuführen:
- Ändern der Organisationsübersichtseinstellungen, Erweiterungen und Azure Active Directory-Einstellungen
- Ändern von Versionssteuerungsberechtigungen und Repositoryeinstellungen
- Bearbeiten von Ereignisabonnements oder Warnungen für globale Benachrichtigungen, Ereignisse auf Projekt- und Teamebene
- Bearbeiten Sie alle Einstellungen auf Projekt- und Teamebene für Projekte, die in den Sammlungen definiert sind.
Kann Berechtigungen auf Organisationsebene für einen Benutzer oder eine Gruppe anzeigen.
Dienstkonto
Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Weisen Sie diese Berechtigung nur Dienstkonten zu.
Können Projektwarnungsereignisse innerhalb der Auflistung auslösen. Nur an Dienstkonten zuweisen.
Können die Synchronisierungs-Anwendungsprogrammierschnittstellen aufrufen. Nur an Dienstkonten zuweisen.
Boards
Kann Berechtigungen zum Anpassen der Arbeitsnachverfolgung ändern, indem geerbte Prozesse erstellt und angepasst werden.
Kann einen geerbten Prozess erstellen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird. Benutzern, denen Der Zugriff "Basic" und "Stakeholder" gewährt wurde, wird diese Berechtigung standardmäßig gewährt.
Kann einen geerbten Prozess löschen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird.
Kann einen benutzerdefinierten geerbten Prozess bearbeiten.
Repos
Gilt nur für die Team Foundation-Versionskontrolle (TFVC)
Können einen Arbeitsbereich der Versionskontrolle erstellen. Die Berechtigung Arbeitsbereich erstellen wird allen Benutzern im Rahmen ihrer Mitgliedschaft in der Gruppe Gültige Benutzer der Projektsammlung erteilt.
Pipelines
Kann Berechtigungen für Buildressourcen auf Organisations- oder Projektsammlungsebene ändern. Dies schließt Folgendes ein:
- Festlegen von Aufbewahrungsrichtlinien
- Festlegen von Ressourcengrenzwerten für Pipelines
- Hinzufügen und Verwalten von Agentpools
- Hinzufügen und Verwalten von Bereitstellungspools
Hinweis
Zusätzlich zu dieser Berechtigung bietet Azure DevOps rollenbasierte Berechtigungen für die Sicherheit von Agentpools. Andere Einstellungen auf Objektebene überschreiben diejenigen, die auf Organisations- oder Projektebene festgelegt sind.
Können Buildcomputer, Build-Agents und Buildcontroller verwalten.
Kann Pipelineeinstellungen verwalten, die über Organisationseinstellungen, Pipelines, Einstellungen festgelegt sind.
Können Build-Agents reservieren und zuordnen. Nur an Dienstkonten für Builddienste zuweisen.
Buildcontroller und Build-Agents, die für eine Organisation oder Projektsammlung konfiguriert sind, können diese anzeigen, aber nicht verwenden.
Test Plans
Können Testcontroller registrieren und deren Registrierung aufheben.
Kann einen Überwachungsstream löschen. Überwachungsstreams befinden sich in der Vorschauphase. Ausführliche Informationen finden Sie unter Erstellen von Überwachungsstreaming.
Kann einen Überwachungsstream hinzufügen. Überwachungsstreams befinden sich in der Vorschauphase. Ausführliche Informationen finden Sie unter Erstellen von Überwachungsstreaming.
Kann Überwachungsprotokolle anzeigen und exportieren. Überwachungsprotokolle befinden sich in der Vorschau. Ausführliche Informationen finden Sie unter Zugriff, Exportieren und Filtern von Überwachungsprotokollen.
Richtlinien
Kann Anwendungsverbindungsrichtlinien aktivieren und deaktivieren, wie unter Ändern von Anwendungsverbindungsrichtlinien beschrieben.
Berechtigungen auf Auflistungsebene
Sie verwalten Berechtigungen auf Sammlungsebene über den Verwaltungskontext des Webportals oder das Befehlszeilentool TFSSecurity. Projektsammlungsadministratoren erhalten alle Berechtigungen auf Sammlungsebene. Andere Gruppen auf Sammlungsebene verfügen über Berechtigungszuweisungen.
Die für Azure DevOps Server 2019 und höheren Versionen verfügbaren Berechtigungen variieren je nach dem für die Sammlung konfigurierten Prozessmodell. Eine Übersicht über Prozessmodelle finden Sie unter Anpassen der Arbeitsnachverfolgung.
Geerbtes Prozessmodell
Lokales XML-Prozessmodell
Wichtig
Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Organisations- oder Sammlungsebene, zum Hinzufügen und Verwalten der Mitgliedschaft in Organisationen oder Gruppen auf Sammlungsebene sowie zum Bearbeiten von Berechtigungs-ACLs auf Sammlungs- und Projektebene ist allen Mitgliedern der Gruppe des Projektsammlungsadministratorszugewiesen. Es wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.
Sie können die Berechtigungen für die Gruppe Projektsammlungsadministratoren nicht ändern. Auch wenn Sie die Berechtigungszuweisungen für ein Mitglied dieser Gruppe ändern können, entsprechen die effektiven Berechtigungen weiterhin den Berechtigungen, die der Administratorgruppe zugewiesen sind, für die es Mitglied ist.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Berechtigungen für Buildressourcen verwalten
BuildAdministration, AdministerBuildResourcePermissions
Kann Berechtigungen für Buildpipelines auf Projektsammlungsebene ändern. Dies umfasst die folgenden Artefakte:
Kann Berechtigungen zum Anpassen der Arbeitsnachverfolgung ändern, indem geerbte Prozesse erstellt und angepasst werden. Erfordert, dass die Auflistung so konfiguriert wird, dass sie das geerbte Prozessmodell unterstützt. Weitere Informationen:
Kann Regale löschen, die von anderen Benutzern erstellt wurden. Gilt, wenn TFVC als Quellcodeverwaltung verwendet wird.
Kann Arbeitsbereiche für andere Benutzer erstellen und löschen. Gilt, wenn TFVC als Quellcodeverwaltung verwendet wird.
Kann die Ablaufverfolgungseinstellungen ändern, um ausführlichere Diagnoseinformationen zu Azure DevOps-Webdiensten zu sammeln.
Können einen Arbeitsbereich der Versionskontrolle erstellen. Gilt, wenn TFVC als Quellcodeverwaltung verwendet wird. Diese Berechtigung wird allen Benutzern als Teil ihrer Mitgliedschaft in der Gruppe Project Collection Valid Users gewährt.
Kann Einer Projektsammlung Projekte hinzufügen. Abhängig von Ihrer lokalen Bereitstellung sind möglicherweise zusätzliche Berechtigungen erforderlich.
Kann einen geerbten Prozess erstellen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird. Erfordert, dass die Auflistung so konfiguriert wird, dass sie das geerbte Prozessmodell unterstützt.
Kann ein benutzerdefiniertes Feld löschen, das einem Prozess hinzugefügt wurde. Für lokale Bereitstellungen muss die Auflistung so konfiguriert werden, dass sie geerbtes Prozessmodell unterstützt.
Kann einen geerbten Prozess löschen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird. Erfordert, dass die Auflistung so konfiguriert wird, dass sie geerbtes Prozessmodell unterstützt.
Kann ein Projekt löschen.
Hinweis
Beim Löschen eines Projekts werden alle Daten gelöscht, die dem Projekt zugeordnet sind. Sie können das Löschen eines Projekts nicht rückgängig machen, außer indem Sie die Auflistung bis zu einem Punkt wiederherstellen, an dem das Projekt gelöscht wurde.
Kann Organisations- und Projektebeneneinstellungen festlegen.
Hinweis
Informationen auf Sammlungsebene bearbeiten umfasst die Möglichkeit, diese Aufgaben für alle in einer Organisation oder Sammlung definierten Projekte auszuführen:
- Ändern von Erweiterungen und Analyseeinstellungen
- Ändern von Versionssteuerungsberechtigungen und Repositoryeinstellungen
- Bearbeiten von Ereignisabonnements oder Warnungen für globale Benachrichtigungen, Ereignisse auf Projekt- und Teamebene
- Bearbeiten Sie alle Einstellungen auf Projekt- und Teamebene für Projekte, die in den Sammlungen definiert sind.
Kann einen benutzerdefinierten geerbten Prozess bearbeiten. Erfordert, dass die Auflistung so konfiguriert wird, dass sie das geerbte Prozessmodell unterstützt.
Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Weisen Sie diese Berechtigung nur lokalen Dienstkonten zu.
Können Buildcomputer, Build-Agents und Buildcontroller verwalten.
Kann Anwendungsverbindungsrichtlinien aktivieren und deaktivieren, wie unter Ändern von Anwendungsverbindungsrichtlinien beschrieben.
Hinweis
Diese Berechtigung ist nur für Azure DevOps Services gültig. Es kann zwar für Azure DevOps Server lokal angezeigt werden, gilt aber nicht für lokale Server.
Kann Prozessvorlagen herunterladen, erstellen, bearbeiten und hochladen. Eine Prozessvorlage definiert die Bausteine des Arbeitselementnachverfolgungssystems sowie anderer Subsysteme, auf die Sie über Azure Boards zugreifen. Erfordert, dass die Auflistung für die Unterstützung des lokalen XML-Prozessmodells konfiguriert wird.
Können Testcontroller registrieren und deren Registrierung aufheben.
Können Projektwarnungsereignisse innerhalb der Auflistung auslösen. Nur an Dienstkonten zuweisen. Benutzer mit dieser Berechtigung können integrierte Gruppen auf Sammlungsebene wie Project Collection Administrators nicht entfernen.
Können Build-Agents reservieren und zuordnen. Nur an Dienstkonten für Builddienste zuweisen.
Buildcontroller und Build-Agents, die für eine Organisation oder Projektsammlung konfiguriert sind, können diese anzeigen, aber nicht verwenden.
Instanzebeneninformationen anzeigen
oder Anzeigen von Informationen auf Sammlungsebene
Collection, GENERIC_READ
Kann Berechtigungen auf Sammlungsebene für einen Benutzer oder eine Gruppe anzeigen.
Können die Synchronisierungs-Anwendungsprogrammierschnittstellen aufrufen. Nur an Dienstkonten zuweisen.
Berechtigungen auf Projektebene
Sie verwalten Berechtigungen auf Projektebene über den Administratorkontext des Webportals oder mit den Befehlen az devops security group . Projektadministratoren werden alle Berechtigungen auf Projektebene erteilt. Andere Gruppen auf Projektebene verfügen über Berechtigungszuweisungen.
Hinweis
Informationen zum Aktivieren der Vorschauseite der Seite "Projektberechtigungseinstellungen" finden Sie unter Aktivieren von Vorschaufeatures.
Wichtig
Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Projektebene sowie zum Hinzufügen und Verwalten der Gruppenmitgliedschaft auf Projektebene ist allen Mitgliedern der Gruppe Projektadministratoren zugewiesen. Es wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.
Sie können die Berechtigungen für die Gruppe Projektadministratoren nicht ändern. Auch wenn Sie die Berechtigungszuweisungen für ein Mitglied dieser Gruppe ändern können, entsprechen die effektiven Berechtigungen weiterhin den Berechtigungen, die der Administratorgruppe zugewiesen sind, für die es Mitglied ist.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Allgemein
Kann ein Projekt aus einer Organisation oder Projektsammlung löschen.
Hinweis
Selbst wenn Sie diese Berechtigung auf Verweigern festlegen, können Benutzer, die die Berechtigung auf Projektebene erteilt haben, möglicherweise das Projekt löschen, für das sie berechtigt sind. Um sicherzustellen, dass ein Benutzer ein Projekt nicht löschen kann, stellen Sie sicher, dass Sie auch das Teamprojekt Löschen auf Projektebene auf Verweigern festlegen.
Kann die folgenden Aufgaben für das ausgewählte Projekt ausführen, das in einer Organisation oder Sammlung definiert ist.
Hinweis
Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Projektebene sowie zum Hinzufügen und Verwalten der Gruppenmitgliedschaft auf Projektebene ist allen Mitgliedern der Gruppe Projektadministratoren zugewiesen. Es wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.
Kann Metadaten für ein Projekt bereitstellen oder bearbeiten. Beispielsweise kann ein Benutzer allgemeine Informationen zum Inhalt eines Projekts bereitstellen. Das Ändern von Metadaten wird über die REST-API Zum Festlegen von Projekteigenschaften unterstützt.
Benutzer mit dieser Berechtigung können Arbeitselemente aktualisieren, ohne Benachrichtigungen zu generieren. Dies ist nützlich, wenn Sie Migrationen von Massenupdates durch Tools durchführen und das Generieren von Benachrichtigungen überspringen möchten.
Erwägen Sie, diese Berechtigung Dienstkonten oder Benutzern zu erteilen, denen die Berechtigung Umgehungsregeln für Arbeitselementupdates erteilt wurde. Sie können den suppressNotifications Parameter auf true festlegen, wenn die Aktualisierung über Arbeitselemente – REST-API aktualisiert wird.
Kann die Projektsichtbarkeit von "privat" in "öffentlich" oder "öffentlich" in "privat" ändern. Gilt nur für Azure DevOps Services.
Kann Informationen auf Projektebene anzeigen, einschließlich Der Mitgliedschaft in Sicherheitsinformationsgruppen und Berechtigungen. Wenn Sie diese Berechtigung für einen Benutzer auf Verweigern festlegen, kann er das Projekt nicht anzeigen oder sich beim Projekt anmelden.
Boards
Benutzer mit dieser Berechtigung können ein Arbeitselement speichern, das Regeln ignoriert, z. B . Kopier-, Einschränkungs- oder bedingte Regeln, die für den Arbeitselementtyp definiert sind. Szenarien, in denen dies nützlich ist, sind Migrationen, bei denen Sie die Nach-/Datumsfelder beim Import nicht aktualisieren möchten oder wenn Sie die Überprüfung eines Arbeitselements überspringen möchten.
Regeln können auf zwei Arten umgangen werden. Die erste besteht über die Arbeitselemente – Aktualisieren der REST-API und Festlegen des bypassRules Parameters auf true. Die zweite erfolgt über das Clientobjektmodell, indem im Bypassrules-Modus initialisiert wird (initialisieren WorkItemStore mit WorkItemStoreFlags.BypassRules).
In Kombination mit der Berechtigung "Informationen auf Projektebene bearbeiten" können Benutzer den Vererbungsprozess für ein Projekt ändern. Weitere Informationen finden Sie unter Erstellen und Verwalten geerbter Prozesse.
Kann einem Arbeitselement Tags hinzufügen. Standardmäßig verfügen alle Mitglieder der Gruppe Mitwirkende über diese Berechtigung. Darüber hinaus können Sie zusätzliche Taggingberechtigungen über Sicherheitsverwaltungstools festlegen. Siehe Sicherheitsnamespace und Berechtigungsreferenz, Tagging.
Hinweis
Alle Benutzer, die Den Stakeholder-Zugriff für ein privates Projekt erhalten, können nur vorhandene Tags hinzufügen. Auch wenn die Berechtigung Tagdefinition erstellen auf Zulassen festgelegt ist, können Projektbeteiligte keine Tags hinzufügen. Dies ist Teil der Zugriffseinstellungen für Stakeholder. Azure DevOps Services Benutzern, denen ein öffentliches Projekt zugriff gewährt wurde, wird diese Berechtigung standardmäßig erteilt. Weitere Informationen finden Sie unter Schnellübersicht für den Stakeholderzugriff.
Obwohl die Berechtigung Tagdefinition erstellen in den Sicherheitseinstellungen auf Projektebene angezeigt wird, handelt es sich bei Tagsberechtigungen tatsächlich um Berechtigungen auf Sammlungsebene, die auf Projektebene festgelegt sind, wenn sie auf der Benutzeroberfläche angezeigt werden.
Wenn Sie bei Verwendung des TFSSecurity-Befehls Berechtigungen zum Tagging auf ein einzelnes Projekt festlegen möchten, müssen Sie die GUID für das Projekt als Teil der Befehlssyntax bereitstellen.
Andernfalls gilt Ihre Änderung für die gesamte Sammlung.
Denken Sie daran, wenn Sie diese Berechtigungen ändern oder festlegen.
Löschen und Wiederherstellen von Arbeitselementen
oder Löschen von Arbeitselementen in diesem Projekt
Project, WORK_ITEM_DELETE
Kann Arbeitselemente im Projekt als gelöscht markieren. Azure DevOps Services Benutzern, denen ein öffentliches Projekt zugriff gewährt wurde, wird diese Berechtigung standardmäßig erteilt.
Kann ein Arbeitselement von einem Projekt in ein anderes Projekt innerhalb der Auflistung verschieben.
Kann Arbeitselemente aus diesem Projekt endgültig löschen.
Analyse
Zusätzlich zu den AnalyticsView in diesem Abschnitt aufgeführten Namespaceberechtigungen können Sie Berechtigungen auf Objektebene für jede Ansicht festlegen.
Kann Analytics-Ansichten löschen, die im Freigegebenen Bereich gespeichert wurden.
Kann freigegebene Analytics-Ansichten erstellen und ändern.
Kann auf daten zugreifen, die über den Analytics-Dienst verfügbar sind. Ausführliche Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf den Analytics-Dienst.
Test Plans
Können Testergebnisse hinzufügen und entfernen und Testläufe hinzufügen oder ändern. Weitere Informationen finden Sie unter Steuern der Dauer der Aufbewahrung von Testergebnissen und Ausführen manueller Tests.
Kann einen Testlauf löschen.
Kann Testkonfigurationen erstellen und löschen.
Kann Testumgebungen erstellen und löschen.
Kann Testpläne unter dem Projektbereichpfad anzeigen.
Sie verwalten Berechtigungen auf Projektebene über den Verwaltungskontext des Webportals oder das Befehlszeilentool TFSSecurity. Projektadministratoren werden alle Berechtigungen auf Projektebene erteilt. Andere Gruppen auf Projektebene verfügen über Auswahlberechtigungszuweisungen.
Hinweis
Mitgliedern der Gruppe "Projektadministratoren " werden mehrere Berechtigungen erteilt und nicht auf der Benutzeroberfläche angezeigt.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Benutzer mit dieser Berechtigung können ein Arbeitselement speichern, das Regeln ignoriert, z. B . Kopier-, Einschränkungs- oder bedingte Regeln, die für den Arbeitselementtyp definiert sind. Szenarien, in denen dies nützlich ist, sind Migrationen, bei denen Sie die Felder nach oder datum beim Import nicht aktualisieren möchten oder wenn Sie die Überprüfung eines Arbeitselements überspringen möchten.
Regeln können auf zwei Arten umgangen werden. Die erste erfolgt über die Rest-API Work Items – Update und das Festlegen des bypassRules Parameters auf true. Der zweite erfolgt über das Clientobjektmodell, indem im Umgehungsregelmodus initialisiert wird (initialisieren WorkItemStore mit WorkItemStoreFlags.BypassRules).
In Kombination mit der Berechtigung "Informationen auf Projektebene bearbeiten" können Benutzer den Vererbungsprozess für ein Projekt ändern. Weitere Informationen finden Sie unter Erstellen und Verwalten von geerbten Prozessen.
Kann einem Arbeitselement Tags hinzufügen. Standardmäßig verfügen alle Mitglieder der Gruppe Mitwirkende über diese Berechtigung. Darüber hinaus können Sie zusätzliche Taggingberechtigungen über Sicherheitsverwaltungstools festlegen. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz, Tagging.
Hinweis
Alle Benutzer, die Zugriff auf Stakeholder erhalten, können nur vorhandene Tags hinzufügen. Auch wenn die Berechtigung Tagdefinition erstellen auf Zulassen festgelegt ist, können Projektbeteiligte keine Tags hinzufügen. Dies ist Teil der Zugriffseinstellungen für Beteiligte. Weitere Informationen finden Sie unter Schnellreferenz für den Zugriff auf Beteiligte. Obwohl die Berechtigung Tagdefinition erstellen in den Sicherheitseinstellungen auf Projektebene angezeigt wird, handelt es sich bei Taggingberechtigungen tatsächlich um Berechtigungen auf Sammlungsebene, die auf Projektebene festgelegt sind, wenn sie in der Benutzeroberfläche angezeigt werden. Sie müssen die GUID für das Projekt als Teil der Befehlssyntax angeben, um den Bereich für tagging-Berechtigungen für ein einzelnes Projekt bei Verwendung des TFSSecurity-Befehls einzugrenzen. Andernfalls gilt Ihre Änderung für die gesamte Sammlung. Denken Sie daran, wenn Sie diese Berechtigungen ändern oder festlegen.
Können Testergebnisse hinzufügen und entfernen und Testläufe hinzufügen oder ändern. Weitere Informationen finden Sie unter Steuern der Aufbewahrungsdauer von Testergebnissen und Ausführen manueller Tests.
Löschen und Wiederherstellen von Arbeitselementen
oder Löschen von Arbeitselementen in diesem Projekt
Project, WORK_ITEM_DELETE
Kann Arbeitselemente im Projekt als gelöscht markieren. Für die Gruppe Mitwirkende ist "Löschen und Wiederherstellen" von Arbeitselementen auf Projektebene standardmäßig auf Zulassen festgelegt.
Kann Analytics-Ansichten löschen, die im Bereich Freigegeben gespeichert wurden.
Kann ein Projekt aus einer Organisation oder Projektsammlung löschen.
Kann einen Testlauf löschen.
Kann die folgenden Aufgaben für das ausgewählte Projekt ausführen, das in einer Organisation oder Sammlung definiert ist.
Hinweis
Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Projektebene sowie zum Hinzufügen und Verwalten der Gruppenmitgliedschaft auf Projektebene wird allen Mitgliedern der Gruppe Projektadministratoren zugewiesen. Sie wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.
Kann freigegebene Analytics-Ansichten erstellen und ändern.
Kann Metadaten für ein Projekt bereitstellen oder bearbeiten. Beispielsweise kann ein Benutzer allgemeine Informationen zum Inhalt eines Projekts bereitstellen. Das Ändern von Metadaten wird über die REST-API zum Festlegen von Projekteigenschaften unterstützt.
Kann Testkonfigurationen erstellen und löschen.
Kann Testumgebungen erstellen und löschen.
Kann ein Arbeitselement aus einem Projekt in ein anderes Projekt innerhalb der Auflistung verschieben.
Benutzer mit dieser Berechtigung können Arbeitselemente aktualisieren, ohne Benachrichtigungen zu generieren. Dies ist nützlich, wenn Sie Massenupdates mit Tools migrieren und das Generieren von Benachrichtigungen überspringen möchten.
Erwägen Sie, diese Berechtigung für Dienstkonten oder Benutzer zu gewähren, denen die Berechtigung Umgehungsregeln für Arbeitselementupdates erteilt wurde. Sie können den Parameter beim Aktualisieren der suppressNotifications Arbeit über die Rest-API "Arbeitselemente – Aktualisieren" auf true festlegen.
Kann die Sichtbarkeit des Projekts von privat in öffentlich oder öffentlich in privat ändern. Gilt nur für Azure DevOps Services.
Kann auf daten zugreifen, die über den Analytics-Dienst verfügbar sind. Ausführliche Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf den Analytics-Dienst.
Kann gruppenmitgliedschaft und Berechtigungen auf Projektebene anzeigen.
Kann Testpläne unter dem Projektbereichpfad anzeigen.
Analysesichten (Objektebene)
Mit freigegebenen Analytics-Ansichten können Sie bestimmte Berechtigungen zum Anzeigen, Bearbeiten oder Löschen einer von Ihnen erstellten Ansicht erteilen. Sie verwalten die Sicherheit von Analytics-Ansichten über das Webportal.
Die folgenden Berechtigungen werden für jede freigegebene Analytics-Ansicht definiert. Allen gültigen Benutzern werden automatisch alle Berechtigungen zum Verwalten von Analytics-Ansichten erteilt. Erwägen Sie, anderen Teammitgliedern oder Sicherheitsgruppen, die Sie erstellen, bestimmte freigegebene Ansichten auszuwählen. Siehe auch: Was sind Analytics-Ansichten? Zusätzliche Namespaceberechtigungen werden unterstützt, wie unter Sicherheitsnamespace und Berechtigungsverweis definiert.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Kann die freigegebene Analytics-Ansicht löschen.
Kann die Parameter der freigegebenen Analytics-Ansicht ändern.
Kann die freigegebene Analyseansicht von Power BI Desktop anzeigen und verwenden.
Dashboards (Objektebene)
Berechtigungen für Team- und Projektdashboards können individuell festgelegt werden. Die Standardberechtigungen für ein Team können für ein Projekt festgelegt werden. Sie verwalten die Sicherheit von Dashboards über das Webportal. Zusätzliche Namespaceberechtigungen werden unterstützt, wie unter Sicherheitsnamespace und Berechtigungsverweis definiert.
Berechtigungen des Projektdashboards
Standardmäßig ist der Ersteller des Projektdashboards der Besitzer des Dashboards und erteilte alle Berechtigungen für dieses Dashboard.
BerechtigungNamespace permission |
Beschreibung |
|---|---|
Dashboard löschenDashboardsPrivileges, Delete |
Kann das Projektdashboard löschen. |
Bearbeiten des DashboardsDashboardsPrivileges, Edit |
Kann Widgets hinzufügen und das Layout des Projektdashboards ändern. |
Berechtigungen verwaltenDashboardsPrivileges, ManagePermissions |
Kann Berechtigungen für das Projektdashboard verwalten. |
Berechtigungen für Teamdashboards können individuell festgelegt werden. Die Standardberechtigungen für ein Team können für ein Projekt festgelegt werden. Sie verwalten die Sicherheit von Dashboards über das Webportal.
Teamdashboard-Standardberechtigungen
Standardmäßig erhalten Teamadministratoren alle Berechtigungen für ihre Teamdashboards, einschließlich der Verwaltung von Standard- und individuellen Dashboardberechtigungen.
BerechtigungNamespace permission |
Beschreibung |
|---|---|
Erstellen von DashboardsDashboardsPrivileges, MaterializeDashboards |
Kann ein Teamdashboard erstellen. |
Löschen von DashboardsDashboardsPrivileges, Delete |
Kann ein Teamdashboard löschen. |
Bearbeiten von DashboardsDashboardsPrivileges, Edit |
Kann Widgets hinzufügen und das Layout eines Teamdashboards ändern. |
Individuelle Teamdashboardberechtigungen
Teamadministratoren können die Berechtigungen für einzelne Teamdashboards ändern, indem sie die folgenden beiden Berechtigungen ändern.
BerechtigungNamespace permission |
Beschreibung |
|---|---|
Dashboard löschenDashboardsPrivileges, Delete |
Kann das spezifische Teamdashboard löschen. |
Bearbeiten des DashboardsDashboardsPrivileges, Edit |
Kann Widgets hinzufügen und das Layout des jeweiligen Teamdashboards ändern. |
Pipeline oder Build (Objektebene)
Sie verwalten Pipelineberechtigungen für jede pipeline, die im Webportal oder mit dem Befehlszeilentool TFSSecurity definiert ist. Projektadministratoren werden alle Pipelineberechtigungen erteilt, und Buildadministratoren werden die meisten dieser Berechtigungen zugewiesen. Sie können Pipelineberechtigungen für alle Pipelines festlegen, die für ein Projekt oder für jede Pipelinedefinition definiert sind.
Berechtigungen in Build folgen einem hierarchischen Modell. Standardwerte für alle Berechtigungen können auf Projektebene festgelegt und für eine einzelne Builddefinition überschrieben werden.
Um die Berechtigungen auf Projektebene für alle Builddefinitionen in einem Projekt festzulegen, wählen Sie in der Aktionsleiste auf der Hauptseite des Builds-Hubs die Option Sicherheit aus.
Um die Berechtigungen für eine bestimmte Builddefinition festzulegen oder außer Kraft zu setzen, wählen Sie im Kontextmenü der Builddefinition die Option Sicherheit aus.
Die folgenden Berechtigungen sind in Build definiert. All dies kann auf beiden Ebenen festgelegt werden.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Können die Buildberechtigungen für andere Benutzer verwalten.
Können Builddefinitionen für dieses Projekt löschen.
Ein fertig gestellter Build gelöscht werden. Builds, die gelöscht werden, werden auf der Registerkarte Gelöscht für einen bestimmten Zeitraum aufbewahrt, bevor sie zerstört werden.
Können einen abgeschlossenen Build permanent löschen.
Buildpipeline bearbeiten Kann alle Änderungen an einer Buildpipeline speichern, einschließlich Konfigurationsvariablen, Triggern, Repositorys und Aufbewahrungsrichtlinie. Verfügbar mit Azure DevOps Services, Azure DevOps Server 2019 1.1 und höheren Versionen. Ersetzt Builddefinition bearbeiten.
Builddefinition bearbeiten Kann Builddefinitionen für dieses Projekt erstellen und ändern.
Hinweis
Sie deaktivieren Vererbung für eine Builddefinition, wenn Sie Berechtigungen für bestimmte Builddefinitionen steuern möchten.
Wenn die Vererbung Auf ist, berücksichtigt die Builddefinition die Buildberechtigungen, die auf Projektebene oder einer Gruppe oder eines Benutzers definiert sind. Eine benutzerdefinierte Build Managers-Gruppe hat z. B. die Berechtigung, einen Build für das Projekt Fabrikam manuell in die Warteschlange zu versetzen. In einer Builddefinition mit aktivierter Vererbung für das Projekt Fabrikam erlaubt allen Mitgliedern der Build Managers-Gruppe, einen Build manuell zur Warteschlange hinzuzufügen.
Durch Deaktivieren der Vererbung für Das Projekt Fabrikam können Sie jedoch Berechtigungen festlegen, die es Projektadministratoren ermöglichen, einen Build für eine bestimmte Builddefinition manuell in die Warteschlange zu stellen. Auf diese Weise können Sie spezifische Berechtigungen für diese Builddefinition vergeben.
Kann Informationen zur Qualität des Builds über Team Explorer oder das Webportal hinzufügen.
Können Buildqualitäten hinzufügen oder entfernen. Gilt nur für XAML-Builds.
Builds in der Warteschlange können abgebrochen oder verschoben werden, oder ihre Priorität kann geändert werden. Gilt nur für XAML-Builds.
Kann einen TFVC-Änderungssatz committen, der sich auf eine gated Builddefinition auswirkt, ohne dass das System ausgelöst wird, dass zuerst die Änderungen verschoben und erstellt werden.
Hinweis
Weisen Sie die Berechtigung Einchecküberprüfung überschreiben durch Build** nur Dienstkonten für Builddienste und Buildadministratoren zu, die für die Qualität des Codes verantwortlich sind. Gilt für tfVC-Gated-Check-In-Builds. Dies gilt nicht für PR-Builds. Weitere Informationen finden Sie unter Einchecken in einem Ordner, der durch einen gated Check-In-Buildprozess gesteuert wird.
Kann einen Build über die Schnittstelle für Team Foundation Build oder an einer Eingabeaufforderung in die Warteschlange einfügen. Sie können auch die Builds beenden, die sie in die Warteschlange gestellt haben.
Kann das Aufbewahrungsflag für einen Build unbegrenzt umschalten. Dieses Feature markiert einen Build, sodass das System ihn nicht automatisch basierend auf einer anwendbaren Aufbewahrungsrichtlinie löscht.
Können jeden ausgeführten Build beenden, darunter auch die Builds, die von anderen Benutzern in die Warteschlange gestellt und gestartet werden.
Können Buildinformationsknoten und Informationen zur Qualität eines Builds zum System hinzufügen. Nur an Dienstkonten zuweisen.
Kann die Builddefinitionen anzeigen, die für das Projekt erstellt wurden.
Kann die in die Warteschlange eingereihten und abgeschlossenen Builds für dieses Projekt anzeigen.
Git-Repository (Objektebene)
Sie verwalten die Sicherheit jedes Git-Repositorys oder -Branchs über das Webportal, das TF-Befehlszeilentool oder über das Befehlszeilentool TFSSecurity. Projektadministratoren werden die meisten dieser Berechtigungen erteilt (die nur für ein Projekt angezeigt werden, das mit einem Git-Repository konfiguriert wurde). Sie können diese Berechtigungen für alle Git-Repositorys oder für ein bestimmtes Git-Repository verwalten.
Hinweis
Legen Sie Berechtigungen für alle Git-Repositorys fest, indem Sie Änderungen am Eintrag für Git-Repositorys der obersten Ebene vornehmen. Einzelne Repositorys erben Berechtigungen vom Git-Repositoryeintrag der obersten Ebene. Branches erben Berechtigungen von Zuweisungen, die auf Repositoryebene vorgenommen werden. Standardmäßig verfügen die Lesergruppen auf Projektebene nur über Leseberechtigungen.
Informationen zum Verwalten von Git-Repository- und Branchberechtigungen finden Sie unter Festlegen von Branchberechtigungen.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Kann sich für das Überschreiben von Branchrichtlinien entscheiden, indem Sie Branchrichtlinien außer Kraft setzen und die Zusammenführung beim Abschluss eines PR aktivieren.
Hinweis
Umgehen Sie Richtlinien beim Abschließen von Pull Requests und Umgehen von Richtlinien beim Pushen ersetzen Sie Vom Richtlinienerzwingen ausgenommen. Gilt für Azure DevOps Server 2019 und höhere Versionen.
Kann pushen an einen Branch, für den Branchrichtlinien aktiviert sind. Wenn ein Benutzer mit dieser Berechtigung einen Push vornimmt, der die Branchrichtlinie außer Kraft setzen würde, umgeht der Push automatisch die Branchrichtlinie ohne Anmeldeschritt oder Warnung.
Hinweis
Umgehen Sie Richtlinien beim Abschließen von Pull Requests und Umgehen von Richtlinien beim Pushen ersetzen Sie Vom Richtlinienerzwingen ausgenommen. Gilt für Azure DevOps Server 2019 und höhere Versionen.
Auf Repositoryebene können ihre Änderungen an vorhandene Branches im Repository übertragen und Pull Requests abgeschlossen werden. Benutzer, denen diese Berechtigung fehlt, aber über die Berechtigung Branch erstellen verfügen, können Änderungen an neue Branches pushen. Überschreibt keine Einschränkungen von Branchrichtlinien.
Auf Branchebene können ihre Änderungen an den Branch übertragen und den Branch sperren. Das Sperren eines Branchs verhindert, dass neue Commits von anderen Benutzern dem Branch hinzugefügt werden, und andere Benutzer können den vorhandenen Commitverlauf nicht ändern.
Kann Pull Requests erstellen, kommentieren und abstimmen.
Kann Branches im Repository erstellen und veröffentlichen. Das Fehlen dieser Berechtigung hindert Benutzer nicht daran, Branches in ihrem lokalen Repository zu erstellen. Sie verhindert lediglich, dass sie lokale Branches auf dem Server veröffentlichen.
Hinweis
Wenn ein Benutzer einen neuen Branch auf dem Server erstellt, verfügt er standardmäßig über die Berechtigungen "Mitwirken", "Richtlinien bearbeiten", "Push erzwingen", "Berechtigungen verwalten" und "Sperren anderer Entfernen" für diesen Branch. Dies bedeutet, dass Benutzer dem Repository über ihren Branch neue Commits hinzufügen können.
Kann neue Repositorys erstellen. Diese Berechtigung ist nur im Dialogfeld Sicherheit für das Git-Repositoryobjekt der obersten Ebene verfügbar.
Kann Tags an das Repository pushen.
Kann das Repository löschen. Auf der Ebene der obersten Git-Repositorys kann jedes Repository gelöscht werden.
Kann Richtlinien für das Repository und seine Branches bearbeiten.
Gilt für TFS 2018 Update 2. Kann Branchrichtlinien umgehen und die folgenden beiden Aktionen ausführen:
- Überschreiben von Branchrichtlinien und vollständigen PRs, die die Branchrichtlinie nicht erfüllen
- Direktes Pushen an Branches, für die Branchrichtlinien festgelegt sind
Hinweis
In Azure DevOps wird es durch die folgenden beiden Berechtigungen ersetzt: Umgehen von Richtlinien beim Abschließen von Pull Requests und Umgehungsrichtlinien beim Pushen.
Kann ein Update für einen Branch erzwingen, einen Branch löschen und den Commitverlauf eines Branchs ändern. Kann Tags und Notizen löschen.
Kann Git-Notizen pushen und bearbeiten.
Kann Berechtigungen für das Repository festlegen.
Kann den Inhalt des Repositorys klonen, abrufen, abrufen und untersuchen.
Kann Branchsperren entfernen, die von anderen Benutzern festgelegt wurden. Das Sperren eines Branchs verhindert, dass neue Commits von anderen Benutzern dem Branch hinzugefügt werden, und andere Benutzer können den vorhandenen Commitverlauf nicht ändern.
Kann den Namen des Repositorys ändern. Bei Festlegung auf den Eintrag " Git-Repositorys auf oberster Ebene" kann der Name eines beliebigen Repositorys geändert werden.
TFVC (Objektebene)
Sie verwalten die Sicherheit der einzelnen TFVC-Verzweigungen über das Webportal oder mithilfe des TFSSecurity-Befehlszeilentools. Projektadministratoren werden die meisten dieser Berechtigungen erteilt, die nur für ein Projekt angezeigt werden, das für die Verwendung Team Foundation-Versionskontrolle als Quellcodeverwaltungssystem konfiguriert wurde. In Versionskontrollberechtigungen hat eine explizite Verweigerung Vorrang vor Administratorgruppenberechtigungen.
Diese Berechtigungen werden nur für ein Projektsetup angezeigt, um Team Foundation-Versionskontrolle als Quellcodeverwaltungssystem zu verwenden.
Bei Versionskontrollberechtigungen hat explizite Ablehnung Vorrang vor Administratorgruppenberechtigungen.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Bezeichnungen verwalten
VersionControlItems, LabelOther
Können die von anderen Benutzern erstellten Beschriftungen bearbeiten oder löschen.
Einchecken
VersionControlItems, Checkin
Kann Elemente einchecken und alle committeten Änderungssatzkommentare überarbeiten. Ausstehende Änderungen werden beim Einchecken übernommen.
Hinweis
Erwägen Sie, diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die zur Entwicklung des Projekts beitragen; Alle Benutzer, die in der Lage sein sollten, Änderungen einzuchecken und auszuchecken, eine ausstehende Änderung an Elementen in einem Ordner vorzunehmen oder alle committeten Änderungssatzkommentare zu überarbeiten.
Änderungen anderer Benutzer einchecken
VersionControlItems, CheckinOther
Können von anderen Benutzern vorgenommene Änderungen einchecken. Ausstehende Änderungen werden beim Einchecken übernommen.
Änderung in einem Serverarbeitsbereich
VersionControlItems, PendChange
Können Elemente in einem Ordner auschecken und ausstehende Änderungen an den Elementen in einem Ordner vornehmen. Beispiele für ausstehende Änderungen sind u. a. das Hinzufügen, Bearbeiten, Umbenennen, Löschen, Wiederherstellen, Branchen und Zusammenführen einer Datei. Ausstehende Änderungen müssen eingecheckt werden, sodass Benutzer auch die Eincheckberechtigung benötigen, um ihre Änderungen für das Team freizugeben.
Hinweis
Erwägen Sie, diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die zur Entwicklung des Projekts beitragen; Alle Benutzer, die in der Lage sein sollten, Änderungen einzuchecken und auszuchecken, eine ausstehende Änderung an Elementen in einem Ordner vorzunehmen oder alle committeten Änderungssatzkommentare zu überarbeiten.
Bezeichnung
VersionControlItems, Label
Können Elemente beschriften.
Können Ordner und Dateien sperren und entsperren. Ein verfolgter Ordner oder eine Datei kann gesperrt oder entsperrt werden, um die Berechtigungen eines Benutzers zu verweigern oder wiederherzustellen. Zu Berechtigungen zählen das Auschecken eines Elements in einen anderen Arbeitsbereich für die Bearbeitung oder das Einchecken von ausstehenden Änderungen eines Elements aus einem anderen Arbeitsbereich. Weitere Informationen finden Sie unter Sperren des Befehls.
Verzweigung verwalten
VersionControlItems, ManageBranch
Kann jeden Ordner unter diesem Pfad in einen Branch konvertieren und auch die folgenden Aktionen für einen Branch ausführen: Bearbeiten der Eigenschaften, erneutes Einfügen und Konvertieren in einen Ordner. Benutzer mit dieser Berechtigung können diese Verzweigung nur verzweigen, wenn sie auch über die Berechtigung Zusammenführen für den Zielpfad verfügen. Benutzer können keine Branches aus einem Branch erstellen, für den sie nicht die Berechtigung Branch verwalten haben.
Verwalten von Berechtigungen
VersionControlItems, AdminProjectRights
Können die Berechtigungen anderer Benutzer für Ordner und Dateien in der Versionskontrolle verwalten.
Hinweis
Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind und private Verzweigungen erstellen müssen, sofern das Projekt nicht restriktiveren Entwicklungsverfahren unterliegt.
Können Änderungen mit diesem Pfad zusammenführen.
Hinweis
Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind und Quelldateien zusammenführen müssen, sofern das Projekt nicht restriktiveren Entwicklungsverfahren unterliegt.
Lesen
VersionControlItems, Read
Können den Inhalt einer Datei oder eines Ordners lesen. Benutzer mit der Berechtigung Lesen für einen Ordner können den Inhalt des Ordners und die Eigenschaften der darin enthaltenen Dateien anzeigen. Dies ist auch dann der Fall, wenn der Benutzer nicht über die Berechtigungen zum Öffnen dieser Dateien verfügt.
Änderungen anderer Benutzer überarbeiten
VersionControlItems, ReviseOther
Können die Kommentare zu eingecheckten Dateien bearbeiten, selbst wenn diese von einem anderen Benutzer eingecheckt wurden.
Hinweis
Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die für die Beaufsichtigung oder Überwachung des Projekts zuständig sind und die die Kommentare zu eingecheckten Dateien bearbeiten müssen, auch wenn die betreffende Datei von einem anderen Benutzer eingecheckt wurde.
Änderungen anderer Benutzer rückgängig machen
VersionControlItems, UndoOther
Können von anderen Benutzern vorgenommene ausstehende Änderungen rückgängig machen.
Hinweis
Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die für die Beaufsichtigung oder Überwachung des Projekts zuständig sind und die die Kommentare zu eingecheckten Dateien bearbeiten müssen, auch wenn die betreffende Datei von einem anderen Benutzer eingecheckt wurde.
Änderungen anderer Benutzer entsperren
VersionControlItems, UnlockOther
Können von anderen Benutzern gesperrte Dateien entsperren.
Hinweis
Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die für die Beaufsichtigung oder Überwachung des Projekts zuständig sind und die die Kommentare zu eingecheckten Dateien bearbeiten müssen, auch wenn die betreffende Datei von einem anderen Benutzer eingecheckt wurde.
Bereichspfad (Objektebene)
Bereichspfadberechtigungen gewähren oder beschränken den Zugriff auf Verzweigungen der Bereichshierarchie und auf die Arbeitselemente in diesen Bereichen. Sie verwalten die Sicherheit jedes Bereichspfads über das Webportal oder über das Befehlszeilentool TFSSecurity. Bereichsberechtigungen gewähren oder beschränken den Zugriff zum Erstellen und Verwalten von Bereichspfaden sowie zum Erstellen und Ändern von Arbeitselementen, die unter Bereichspfaden definiert sind.
Mitgliedern der Gruppe "Projektadministratoren" werden automatisch Berechtigungen zum Verwalten von Bereichspfaden für ein Projekt erteilt. Erwägen Sie, Teamadministratoren oder Teamleads Berechtigungen zum Erstellen, Bearbeiten oder Löschen von Bereichsknoten zu erteilen.
Hinweis
Mehrere Teams können zu einem Projekt beitragen. In diesem Fall können Sie Teams einrichten, die einem Bereich zugeordnet sind. Berechtigungen für die Arbeitselemente des Teams werden durch Zuweisen von Berechtigungen für den Bereich zugewiesen. Es gibt andere Teameinstellungen , die die agilen Planungstools des Teams konfigurieren.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Bereichsknoten können erstellt werden. Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten verfügen, können knoten im untergeordneten Bereich verschieben oder neu anordnen. Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Bereichsknoten löschen, hinzufügen oder umbenennen müssen.
Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten verfügen, können Bereichsknoten löschen und vorhandene Arbeitselemente aus dem gelöschten Knoten neu klassifizieren. Wenn der gelöschte Knoten über untergeordnete Knoten verfügt, werden diese ebenfalls gelöscht.
Hinweis
Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Bereichsknoten löschen, hinzufügen oder umbenennen müssen.
Können Berechtigungen für diesen Knoten setzen und Bereichsknoten umbenennen.
Hinweis
Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Bereichsknoten löschen, hinzufügen oder umbenennen müssen.
Können Arbeitsaufgaben in diesem Bereichsknoten bearbeiten.
Hinweis
Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Arbeitsaufgaben unterhalb des Bereichsknotens bearbeiten müssen.
Können Testplaneigenschaften wie z. B. Build- und Testeinstellungen ändern.
Hinweis
Erwägen Sie, diese Berechtigung allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die möglicherweise Testpläne oder Testsammlungen unter diesem Bereichsknoten verwalten müssen.
Kann Testsammlungen erstellen und löschen, Testfälle aus Testsammlungen hinzufügen und daraus entfernen, Testkonfigurationen ändern, die Testsammlungen zugeordnet sind, und die Suitehierarchie ändern (Verschieben einer Testsammlung).
Hinweis
Erwägen Sie, diese Berechtigung allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die möglicherweise Testpläne oder Testsammlungen unter diesem Bereichsknoten verwalten müssen.
Kann die Sicherheitseinstellungen für einen Bereichspfadknoten anzeigen.
Können Arbeitsaufgaben in diesem Bereichsknoten zwar anzeigen, aber nicht ändern.
Hinweis
Wenn Sie Arbeitselemente in diesem Knoten anzeigen auf Verweigern festlegen, kann der Benutzer keine Arbeitselemente in diesem Bereichsknoten sehen. Eine Deny-Instanz überschreibt alle impliziten Genehmigungen, auch für Benutzer, die Mitglieder einer administrativen Gruppe sind.
Iterationspfad (Objektebene)
Iterationspfadberechtigungen gewähren oder beschränken den Zugriff zum Erstellen und Verwalten von Iterationspfaden, die auch als Sprints bezeichnet werden.
Sie verwalten die Sicherheit der einzelnen Iterationspfade über das Webportal oder mithilfe des TFSSecurity-Befehlszeilentools.
Mitgliedern der Gruppe Projektadministratoren werden diese Berechtigungen automatisch für jede Iteration erteilt, die für ein Projekt definiert ist. Erwägen Sie, Teamadministratoren, ScrumMaster oder Teamleads Berechtigungen zum Erstellen, Bearbeiten oder Löschen von Iterationsknoten zu erteilen.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Iterationsknoten können erstellt werden. Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten verfügen, können alle untergeordneten Iterationsknoten verschieben oder neu anordnen.
Hinweis
Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Iterationsknoten löschen, hinzufügen oder umbenennen müssen.
Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten verfügen, können Iterationsknoten löschen und vorhandene Arbeitselemente aus dem gelöschten Knoten neu klassifizieren. Wenn der gelöschte Knoten über untergeordnete Knoten verfügt, werden diese ebenfalls gelöscht.
Hinweis
Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Iterationsknoten löschen, hinzufügen oder umbenennen müssen.
Können Berechtigungen für diesen Knoten setzen und Iterationsknoten umbenennen.
Hinweis
Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Iterationsknoten löschen, hinzufügen oder umbenennen müssen.
Können die Sicherheitseinstellungen für diesen Knoten anzeigen.
Hinweis
Mitglieder der Project Collection Valid Users, Project Valid Users, or any user or group that has View collection-level information or View project-level information can view permissions of any iteration node.
Arbeitselementabfrage und Abfrageordner (Objektebene)
Sie verwalten Abfrage- und Abfrageordnerberechtigungen über das Webportal. Projektadministratoren werden alle diese Berechtigungen erteilt. Mitwirkende erhalten nur Leseberechtigungen. Vergeben Sie die Mitwirkende-Berechtigungen an Benutzer oder Gruppen, die Arbeitsaufgabenabfragen für das Projekt erstellen und freigeben müssen.
Erwägen Sie, benutzern oder Gruppen, die die Möglichkeit zum Erstellen und Freigeben von Arbeitselementabfragen für das Projekt benötigen, die Berechtigung "Mitwirken" zu erteilen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für Abfragen.
Hinweis
Zum Erstellen von Abfragediagrammen benötigen Sie Den Einfachen Zugriff.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Kann den Abfrageordner anzeigen und ändern oder Abfragen im Ordner speichern.
Können eine Abfrage oder einen Abfrageordner und seinen Inhalt löschen.
Können die Berechtigungen für diese Abfrage oder den Abfrageordner verwalten.
Können die Abfragen in einem Ordner anzeigen und verwenden, jedoch kann der Inhalt der Abfrage oder der Inhalt des Abfrageordners nicht geändert werden.
Übermittlungspläne (Objektebene)
Sie verwalten Planberechtigungen über das Webportal. Sie verwalten die Berechtigungen für jeden Plan über das Dialogfeld "Sicherheit". Projektadministratoren erhalten alle Berechtigungen zum Erstellen, Bearbeiten und Verwalten von Plänen. Gültigen Benutzern wird die Berechtigung Ansicht (schreibgeschützt) gewährt.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Kann den ausgewählten Plan löschen.
Kann die konfiguration und einstellungen bearbeiten, die für den ausgewählten Plan definiert sind.
Kann die Berechtigungen für den ausgewählten Plan verwalten.
Kann die Listen von Plänen anzeigen, einen Plan öffnen und mit ihm interagieren, aber die Plankonfiguration oder -einstellungen nicht ändern.
Prozess (Objektebene)
Sie können die Berechtigungen für jeden geerbten Prozess verwalten, den Sie über das Webportal erstellen. Sie verwalten Berechtigungen für jeden Prozess über das Dialogfeld Sicherheit. Projektsammlungsadministratoren erhalten alle Berechtigungen zum Erstellen, Bearbeiten und Verwalten von Prozessen. Gültigen Benutzern wird die Berechtigung Ansicht (schreibgeschützt) gewährt.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Kann die Berechtigungen für einen geerbten Prozess festlegen oder ändern.
Kann den geerbten Prozess löschen.
Kann einen geerbten Prozess aus einem Systemprozess erstellen oder einen geerbten Prozess kopieren oder ändern.
Arbeitsaufgabentags
Sie können Taggingberechtigungen mithilfe von az devops security permission oder den TFSSecurity-Befehlszeilentools verwalten. Mitwirkende können Tags zu Arbeitselementen hinzufügen und diese verwenden, um schnell eine Backlog-, Board- oder Abfrageergebnisansicht zu filtern.
Sie können das Tagging von Berechtigungen mit dem Befehlszeilentool TFSSecurity verwalten. Mitwirkende können Tags zu Arbeitselementen hinzufügen und diese verwenden, um schnell eine Backlog-, Board- oder Abfrageergebnisansicht zu filtern.
Berechtigung (UI)
Namespace permission
BESCHREIBUNG
Können neue Tags erstellen und zu Arbeitsaufgaben zuweisen. Benutzer ohne diese Berechtigung können nur aus dem vorhandenen Satz von Tags für das Projekt auswählen.
Hinweis
Standardmäßig wird Mitwirkenden die Berechtigung Tagdefinition erstellen zugewiesen. Obwohl die Berechtigung Tagdefinition erstellen in den Sicherheitseinstellungen auf Projektebene angezeigt wird, handelt es sich bei Tagsberechtigungen tatsächlich um Berechtigungen auf Sammlungsebene, die auf Projektebene gelten, wenn sie auf der Benutzeroberfläche angezeigt werden. Wenn Sie bei Verwendung eines Befehlszeilentools Berechtigungen zum Tagging für ein einzelnes Projekt festlegen möchten, müssen Sie die GUID für das Projekt als Teil der Befehlssyntax bereitstellen. Andernfalls gilt Ihre Änderung für die gesamte Sammlung. Denken Sie daran, wenn Sie diese Berechtigungen ändern oder festlegen.
Können ein Tag aus der Liste der für dieses Projekt verfügbaren Tags entfernen.
Hinweis
Diese Berechtigung wird auf der Benutzeroberfläche nicht angezeigt. Sie kann nur mithilfe eines Befehlszeilentools festgelegt werden. Es gibt auch keine Benutzeroberfläche zum expliziten Löschen eines Tags. Wenn ein Tag seit 3 Tagen nicht mehr verwendet wird, löscht es das System automatisch.
Kann eine Liste von Tags anzeigen, die für das Arbeitselement innerhalb des Projekts verfügbar sind. Benutzer ohne diese Berechtigung verfügen im Arbeitsaufgabenformular und im Abfrage-Editor über keine Liste verfügbarer Tags.
Hinweis
Diese Berechtigung wird auf der Benutzeroberfläche nicht angezeigt. Sie kann nur mithilfe eines Befehlszeilentools festgelegt werden. Mit Informationen auf Projektebene anzeigen können Benutzer implizit vorhandene Tags anzeigen.
Können Tags mithilfe der REST-API umbenennen.
Hinweis
Diese Berechtigung wird auf der Benutzeroberfläche nicht angezeigt. Sie kann nur mithilfe eines Befehlszeilentools festgelegt werden.
Release (Objektebene)
Sie verwalten Berechtigungen für jede im Webportal definierte Version. Projekt- und Releaseadministratoren erhalten alle Berechtigungen für die Releaseverwaltung. Diese Berechtigungen können in einem hierarchischen Modell auf Projektebene, für eine bestimmte Releasepipeline oder für eine bestimmte Umgebung in einer Releasepipeline erteilt oder verweigert werden. Innerhalb dieser Hierarchie können Berechtigungen vom übergeordneten Element geerbt oder überschrieben werden.
Hinweis
Die Gruppe des Releaseadministrators auf Projektebene wird gleichzeitig erstellt, wenn die erste Releasepipeline definiert wird.
Darüber hinaus können Sie genehmigende Personen bestimmten Schritten innerhalb einer Releasepipeline zuweisen, um sicherzustellen, dass die bereitgestellten Anwendungen den Qualitätsstandards entsprechen.
Die folgenden Berechtigungen sind in Release Management definiert. In der Bereichsspalte wird erläutert, ob die Berechtigung auf Projekt-, Releasepipeline- oder Umgebungsebene festgelegt werden kann.
Berechtigung
Beschreibung
Bereiche
Kann eine der anderen hier aufgeführten Berechtigungen ändern.
Projekt, Releasepipeline, Umgebung
Kann neue Releases erstellen.
Projekt, Releasepipeline
Kann Releasepipelines löschen.
Projekt, Releasepipeline
Kann Umgebung(en) in Releasepipelines löschen.
Projekt, Releasepipeline, Umgebung
Kann Releases für eine Pipeline löschen.
Projekt, Releasepipeline
Kann eine Releasepipeline hinzufügen und bearbeiten, einschließlich Konfigurationsvariablen, Triggern, Artefakten und Aufbewahrungsrichtlinien sowie Konfiguration in einer Umgebung der Releasepipeline. Um Änderungen an einer bestimmten Umgebung in einer Releasepipeline vorzunehmen, benötigt der Benutzer auch die Berechtigung Releaseumgebung bearbeiten .
Projekt, Releasepipeline
Kann Umgebung(en) in Releasepipelines bearbeiten. Um die Änderungen an der Releasepipeline zu speichern, benötigt der Benutzer auch die Berechtigung Releasepipeline bearbeiten . Diese Berechtigung steuert auch, ob ein Benutzer die Konfiguration in der Umgebung einer bestimmten Releaseinstanz bearbeiten kann. Der Benutzer benötigt auch die Berechtigung Releases verwalten , um die geänderte Version zu speichern.
Projekt, Releasepipeline, Umgebung
Kann eine direkte Bereitstellung eines Releases in einer Umgebung initiieren. Diese Berechtigung gilt nur für direkte Bereitstellungen, die manuell initiiert werden, indem Sie die Aktion Bereitstellen in einem Release auswählen. Wenn die Bedingung für eine Umgebung auf einen beliebigen Typ automatischer Bereitstellung festgelegt ist, initiiert das System die Bereitstellung automatisch, ohne die Berechtigung des Benutzers zu überprüfen, der das Release erstellt hat.
Projekt, Releasepipeline, Umgebung
Kann genehmigende Personen für Umgebungen in Releasepipelines hinzufügen oder bearbeiten. Diese Berechtigung steuert auch, ob ein Benutzer die genehmigenden Personen in der Umgebung einer bestimmten Releaseinstanz bearbeiten kann.
Projekt, Releasepipeline, Umgebung
Kann eine Releasekonfiguration bearbeiten, z. B. Phasen, genehmigende Personen und Variablen. Um die Konfiguration einer bestimmten Umgebung in einer Releaseinstanz zu bearbeiten, benötigt der Benutzer auch die Berechtigung Releaseumgebung bearbeiten .
Projekt, Releasepipeline
Kann Releasepipelines anzeigen.
Projekt, Releasepipeline
Kann Versionen anzeigen, die zu Releasepipelines gehören.
Projekt, Releasepipeline
Standardwerte für alle diese Berechtigungen werden für Teamprojektsammlungen und Projektgruppen festgelegt. Beispielsweise erhalten Projektsammlungsadministratoren, Projektadministratoren und Releaseadministratoren standardmäßig alle oben genannten Berechtigungen. Mitwirkende erhalten alle Berechtigungen mit Ausnahme von Freigabeberechtigungen verwalten. Lesern werden standardmäßig alle Berechtigungen mit Ausnahme von Releasepipeline anzeigen und Versionen anzeigen verweigert.
Aufgabengruppenberechtigungen (Build und Freigabe)
Sie verwalten Berechtigungen für Aufgabengruppen über den Build- und Release-Hub des Webportals. Projekt-, Build- und Releaseadministratoren erhalten alle Berechtigungen. Aufgabengruppenberechtigungen folgen einem hierarchischen Modell. Standardwerte für alle Berechtigungen können auf Projektebene festgelegt und für eine einzelne Aufgabengruppendefinition überschrieben werden.
Sie verwenden Aufgabengruppen, um eine Sequenz von Aufgaben, die bereits in einem Build oder einer Releasedefinition definiert sind, in einer einzelnen wiederverwendbaren Aufgabe zu kapseln. Sie definieren und verwalten Aufgabengruppen auf der Registerkarte Aufgabengruppen des Build- und Release-Hubs .
| Berechtigung | BESCHREIBUNG |
|---|---|
| Verwalten von Aufgabengruppenberechtigungen | Kann Benutzer oder Gruppen zur Aufgabengruppensicherheit hinzufügen und entfernen. |
| Taskgruppe löschen | Kann eine Taskgruppe löschen. |
| Aufgabengruppe bearbeiten | Kann eine Taskgruppe erstellen, ändern oder löschen. |
Benachrichtigungen oder Warnungen
Der Verwaltung von E-Mail-Benachrichtigungen oder Warnungen sind keine Benutzeroberflächenberechtigungen zugeordnet. Stattdessen können Sie sie mit az devops security permission oder TFSSecurity-Befehlszeilentools verwalten.
Der Verwaltung von E-Mail-Benachrichtigungen oder Warnungen sind keine Benutzeroberflächenberechtigungen zugeordnet. Stattdessen können Sie sie mit dem Befehlszeilentool TFSSecurity verwalten.
- Standardmäßig können Mitglieder der Gruppe Mitwirkende auf Projektebene Warnungen für sich selbst abonnieren.
- Mitglieder der Gruppe Projektsammlungsadministratoren oder Benutzer, die über die Informationen auf Sammlungsebene bearbeiten verfügen, können Warnungen in dieser Sammlung für andere Personen oder für ein Team festlegen.
- Mitglieder der Gruppe Projektadministratoren oder Benutzer, die über die Informationen auf Projektebene bearbeiten verfügen, können Warnungen in diesem Projekt für andere Personen oder für ein Team festlegen.
Sie können Warnungsberechtigungen mithilfe von TFSSecurity verwalten.
TFSSecurity-Aktion
TFSSecurity-Namespace
Beschreibung
Projektsammlungsadministratoren &
Dienstkonten für Projektauflistung
CREATE_SOAP_SUBSCRIPTION
EventSubscription
Kann ein SOAP-basiertes Webdienst-Abonnement erstellen.
✔️
GENERIC_READ
EventSubscription
Kann Abonnementereignisse anzeigen, die für ein Projekt definiert sind.
✔️
GENERIC_WRITE
EventSubscription
Kann Benachrichtigungen für andere Benutzer oder für ein Team erstellen.
✔️
UNSUBSCRIBE
EventSubscription
Kann ein Eventabonnement stornieren.
✔️
Verwandte Artikel
- Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen
- Sicherheits- und Berechtigungsverwaltungstools
- Sicherheitsnamespace und Berechtigungsreferenz für Azure DevOps
- Dienstkonten und Abhängigkeiten
- Hinzufügen von Benutzern zu einer Organisation (Azure DevOps Services)
- Hinzufügen von Benutzern zu einem Team oder projekt
- Hinzufügen von Benutzern zu einer Administratorrolle
- Festlegen eines Benutzers zum Teamadministrator
- Behandeln von Problemen mit Berechtigungen