Sicherheitsgruppen, Dienstkonten und Berechtigungen in Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019 | TFS 2018

Dieser Artikel bietet eine umfassende Referenz für jeden integrierten Benutzer, jede Gruppe und jede Berechtigung. Es sind viele Informationen, die jeden integrierten Sicherheitsbenutzer und jede Gruppe sowie jede Berechtigung beschreiben.

Eine kurze Referenz zu Standardzuweisungen finden Sie unter Standardberechtigungen und Zugriff. Eine Übersicht über die Verwaltung von Berechtigungen und Sicherheit finden Sie unter Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen. Zusätzlich zu Sicherheitsgruppen gibt es auch Sicherheitsrollen, die Berechtigungen für ausgewählte Bereiche bereitstellen.

Informationen zum Hinzufügen von Benutzern zu einer Gruppe oder zum Festlegen einer bestimmten Berechtigung, die Sie über das Webportal verwalten können, finden Sie in den folgenden Ressourcen:


Hinweis

Die Bilder, die Sie in Ihrem Webportal sehen, unterscheiden sich möglicherweise von den Bildern, die Sie in diesem Thema sehen. Diese Unterschiede ergeben sich aus Updates, die an Azure DevOps vorgenommen wurden. Die ihnen zur Verfügung stehenden grundlegenden Funktionen bleiben jedoch unverändert, sofern nicht explizit erwähnt.

Dienstkonten

Es gibt einige Dienstkonten, die vom System generiert werden, um bestimmte Vorgänge zu unterstützen. Dazu gehören die in der folgenden Tabelle beschriebenen. Diese Benutzerkonten werden auf Organisations- oder Sammlungsebene hinzugefügt.

Benutzername Beschreibung
Agent-Pooldienst Verfügt über die Berechtigung zum Lauschen der Nachrichtenwarteschlange für den bestimmten Pool, um Arbeit zu empfangen. In den meisten Fällen sollten Sie keine Mitglieder dieser Gruppe verwalten müssen. Der Agent-Registrierungsprozess übernimmt dies für Sie. Das Dienstkonto, das Sie für den Agent angeben (in der Regel Netzwerkdienst), wird automatisch hinzugefügt, wenn Sie den Agent registrieren. Verantwortlich für die Ausführung Azure Boards Lese-/Schreibvorgänge und das Aktualisieren von Arbeitselementen, wenn GitHub-Objekte aktualisiert werden.
Azure Boards Wird hinzugefügt, wenn Azure Boards mit GitHub verbunden ist. Sie sollten keine Mitglieder dieser Gruppe verwalten müssen. Verantwortlich für die Verwaltung der Linkerstellung zwischen GitHub und Azure Boards.
PipelinesSDK Bei Bedarf hinzugefügt, um die Token des Pipelines-Richtliniendienstbereichs zu unterstützen. Dieses Benutzerkonto ähnelt den Builddienstidentitäten, unterstützt aber das separate Sperren von Berechtigungen. In der Praxis erhalten die Token, die diese Identität umfassen, schreibgeschützte Berechtigungen für Pipelineressourcen und die einmalige Möglichkeit, Richtlinienanforderungen zu genehmigen. Dieses Konto sollte auf die gleiche Weise behandelt werden wie die Builddienstidentitäten.
Projectname Builddienst Verfügt über Berechtigungen zum Ausführen von Builddiensten für das Projekt. Dies ist ein Legacybenutzer, der für XAML-Builds verwendet wird. Sie wird der Sicherheitsdienstgruppe hinzugefügt, die zum Speichern von Benutzern verwendet wird, denen Berechtigungen erteilt wurden, aber keiner anderen Sicherheitsgruppe hinzugefügt werden.
Builddienst für die Projektauflistung Verfügt über Berechtigungen zum Ausführen von Builddiensten für die Sammlung. Sie wird der Sicherheitsdienstgruppe hinzugefügt, die zum Speichern von Benutzern verwendet wird, denen Berechtigungen erteilt wurden, aber keiner anderen Sicherheitsgruppe hinzugefügt werden.

Gruppen

Berechtigungen können direkt einer Einzelperson oder einer Gruppe erteilt werden. Die Verwendung von Gruppen vereinfacht die Dinge erheblich. Das System stellt für diesen Zweck mehrere integrierte Gruppen bereit. Diese Gruppen und die ihnen zugewiesenen Standardberechtigungen werden auf verschiedenen Ebenen definiert: Server (nur lokale Bereitstellung), Projektsammlung, Projekt und bestimmte Objekte. Sie können auch eigene Gruppen erstellen und ihnen den spezifischen Satz von Berechtigungen erteilen, die für bestimmte Rollen in Ihrer Organisation geeignet sind.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Organisationsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des Azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des Azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch die Gruppen, die nur über Berechtigungen für ein bestimmtes Projekt verfügen. Über das Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe der REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Gruppen auf Serverebene

Wenn Sie Azure DevOps Server installieren, erstellt das System Standardgruppen, die über bereitstellungsweite Berechtigungen auf Serverebene verfügen. Sie können die integrierten Gruppen auf Serverebene nicht entfernen oder löschen.

Screenshot des Dialogfelds

Screenshot des Dialogfelds

Sie können die Standardgruppen auf Serverebene nicht entfernen oder löschen.

Hinweis

Der vollständige Name jeder dieser Gruppen lautet [Team Foundation]\{Gruppenname}. Der vollständige Name der Administratorgruppe auf Serverebene lautet also [Team Foundation]\Team Foundation-Administratoren.

Gruppenname

Berechtigungen

Mitgliedschaft

Azure DevOps-Dienstkonten

Verfügt über Berechtigungen auf Dienstebene für die Serverinstanz.

Enthält das Dienstkonto, das während der Installation bereitgestellt wurde.

Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten. Standardmäßig ist diese Gruppe Mitglied von Team Foundation-Administratoren.

Wenn Sie dieser Gruppe nach der Installation Azure DevOps Server ein Konto hinzufügen müssen, können Sie dies mithilfe des Hilfsprogramms TFSSecurity.exe im Unterordner Extras Ihres lokalen Installationsverzeichnisses tun. Der Hierfür folgende Befehl ist: TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Azure DevOps-Proxydienstkonten

Verfügt über Berechtigungen auf Dienstebene für den Team Foundation Server-Proxy und einige Berechtigungen auf Dienstebene.

Hinweis

Dieses Konto wird erstellt, wenn Sie den Azure DevOps-Proxydienst installieren.

Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten.

Gültige Azure DevOps-Benutzer

Verfügt über die Berechtigung zum Anzeigen von Informationen auf Serverinstanzebene.

Enthält alle Benutzer, die bekanntermaßen in der Serverinstanz vorhanden sind. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.

Team Foundation-Administratoren

Verfügt über Berechtigungen zum Ausführen aller Vorgänge auf Serverebene.

Lokale Administratorgruppe (BUILTIN\Administrators) für jeden Server, der Azure DevOPs/Team Foundation-Anwendungsdienste hostet.

Die Gruppe Server\Team Foundation Service-Konten und die Mitglieder der Gruppe \Project Server Integration Service-Konten.

Diese Gruppe sollte auf die kleinstmögliche Anzahl von Benutzern beschränkt sein, die eine vollständige administrative Kontrolle über Vorgänge auf Serverebene benötigen.

Hinweis

Wenn Ihre Bereitstellung Berichterstellung verwendet, sollten Sie erwägen, die Mitglieder dieser Gruppe den Inhalts-Manager-Gruppen in Reporting Services hinzuzufügen.

Gruppenname

Berechtigungen

Mitgliedschaft

Team Foundation-Administratoren

Verfügt über Berechtigungen zum Ausführen aller Vorgänge auf Serverebene.

Lokale Administratorgruppe (BUILTIN\Administrators) für jeden Server, der Azure DevOPs/Team Foundation-Anwendungsdienste hostet.

Die Gruppe Server\Team Foundation Service-Konten und die Mitglieder der Gruppe \Project Server Integration Service-Konten.

Diese Gruppe sollte auf die kleinstmögliche Anzahl von Benutzern beschränkt sein, die eine vollständige administrative Kontrolle über Vorgänge auf Serverebene benötigen.

Hinweis

Wenn Ihre Bereitstellung Berichterstellung verwendet, sollten Sie erwägen, die Mitglieder dieser Gruppe den Inhalts-Manager-Gruppen in Reporting Services hinzuzufügen.

Team Foundation-Proxydienstkonten

Verfügt über Berechtigungen auf Dienstebene für den Team Foundation Server-Proxy und einige Berechtigungen auf Dienstebene.

Hinweis

Dieses Konto wird erstellt, wenn Sie den TFS-Proxydienst installieren.

Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten.

Team Foundation Service-Konten

Verfügt über Berechtigungen auf Dienstebene für die Serverinstanz.

Enthält das Dienstkonto, das während der Installation bereitgestellt wurde.

Diese Gruppe darf nur Dienstkonten enthalten und keine Benutzerkonten oder Gruppen, die Benutzerkonten enthalten. Standardmäßig ist diese Gruppe Mitglied von Team Foundation-Administratoren.

Wenn Sie dieser Gruppe nach der Installation Azure DevOps Server ein Konto hinzufügen müssen, können Sie dazu das Hilfsprogramm TFSSecurity.exe im Unterordner Tools Ihres TFS-Installationsverzeichnisses verwenden. Der Hierfür folgende Befehl ist: TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Gültige Team Foundation-Benutzer

Verfügt über die Berechtigung zum Anzeigen von Informationen auf Serverinstanzebene.

Hinweis

Wenn Sie die Berechtigung Informationen auf Instanzebene anzeigen für diese Gruppe auf Verweigern oder Nicht festlegen , können keine Benutzer auf die Bereitstellung zugreifen.

Enthält alle Benutzer, die bekanntermaßen in der Serverinstanz vorhanden sind. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.

Gruppen auf der Auflistungsebene

Wenn Sie eine Organisation oder Projektsammlung in Azure DevOps erstellen, erstellt das System Gruppen auf Sammlungsebene, die über Berechtigungen in dieser Sammlung verfügen. Sie können die integrierten Gruppen auf Sammlungsebene nicht entfernen oder löschen.

Hinweis

Informationen zum Aktivieren der Seite Organisationsberechtigungseinstellungen v2 (Vorschauversion) finden Sie unter Aktivieren von Vorschaufeatures. Die Vorschauseite stellt eine Gruppeneinstellungsseite bereit, die von der aktuellen Seite nicht unterstützt wird.

Screenshot: Projektsammlungsgruppen, neue Benutzeroberfläche.

Screenshot: Project-Sammlungsgruppen, lokale Versionen.

Der vollständige Name jeder dieser Gruppen lautet [{Sammlungsname}]\{Gruppenname}. Daher lautet der vollständige Name der Administratorgruppe für die Standardsammlung [Standardsammlung]\Project Collection Administrators.

Gruppenname

Berechtigungen

Mitgliedschaft

Projektauflistungsadministratoren

Verfügt über Berechtigungen zum Ausführen aller Vorgänge für die Sammlung.

Enthält die Gruppe Lokale Administratoren (BUILTIN\Administrators) für den Server, auf dem die Dienste der Anwendungsebene installiert wurden. Enthält außerdem die Mitglieder der Gruppe CollectionName-Dienstkonten/. Diese Gruppe sollte so wenige Benutzer wie möglich enthalten und nur solche, die eine umfassende Verwaltungskontrolle über die Auflistung benötigen.

Hinweis

Wenn Ihre Bereitstellung Reporting Services verwendet, sollten Sie die Mitglieder dieser Gruppe den Team Foundation-Inhalts-Manager-Gruppen in Reporting Services hinzufügen.

Projektauflistungsbuild-Administratoren

Verfügt über Berechtigungen zum Verwalten von Buildressourcen und Berechtigungen für die Sammlung.

Begrenzen Sie diese Gruppe möglichst wenige Benutzer, die vollständige Kontrolle zur Verwaltung von Buildservern und Diensten für diese Auflistung benötigen.

Builddienstkonten für Projektauflistung

Verfügt über Berechtigungen zum Ausführen von Builddiensten für die Sammlung.

Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten. Dies ist eine Legacygruppe, die für XAML-Builds verwendet wird. Verwenden Sie den Benutzer Project Collection Build Service ({your organization}) zum Verwalten von Berechtigungen für aktuelle Builds.

Proxydienstkonten für Projektauflistung

Verfügt über Berechtigungen zum Ausführen des Proxydiensts für die Sammlung.

Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten.

Dienstkonten für Projektauflistung

Verfügt über Berechtigungen auf Dienstebene für die Sammlung und für Azure DevOps Server.

Enthält das während der Installation angegebene Dienstkonto. In dieser Gruppe dürfen sich nur Dienstkonten und Gruppen befinden, die ausschließlich Dienstkonten enthalten. Standardmäßig ist diese Gruppe Mitglied der Gruppe Administratoren.

Testdienstkonten für Projektauflistung

Verfügt über Testdienstberechtigungen für die Sammlung.

Begrenzen Sie diese Gruppe auf Dienstkonten und Gruppen, die ausschließlich Dienstkonten enthalten.

Gültige Benutzer für Projektauflistung

Verfügt über Berechtigungen für den Zugriff auf Teamprojekte und das Anzeigen von Informationen in der Sammlung.

Enthält alle Benutzer und Gruppen, die an einer beliebigen Stelle innerhalb der Sammlung hinzugefügt wurden. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.

Project-Scoped-Benutzer

Verfügt über eingeschränkten Zugriff zum Anzeigen von Organisationseinstellungen und anderen Projekten als den Projekten, denen sie speziell hinzugefügt wurden. Außerdem sind die Optionen für die Personenauswahl auf die Benutzer und Gruppen beschränkt, die dem Projekt, mit dem der Benutzer verbunden ist, explizit hinzugefügt wurden.

Fügen Sie dieser Gruppe Benutzer hinzu, wenn Sie ihre Sichtbarkeit und den Zugriff auf die Projekte einschränken möchten, denen Sie sie explizit hinzufügen. Fügen Sie dieser Gruppe keine Benutzer hinzu, wenn sie auch der Gruppe Projektsammlungsadministratoren hinzugefügt werden.

Hinweis

Die Gruppe Project-Scoped Users wird mit eingeschränktem Zugriff verfügbar, wenn das Vorschaufeature auf Organisationsebene , Die Benutzersichtbarkeit einschränken und die Zusammenarbeit auf bestimmte Projekte einschränken aktiviert ist. Weitere Informationen finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzertransparenz für Projekte und mehr.

Sicherheitsdienstgruppe

Dient zum Speichern von Benutzern, denen Berechtigungen erteilt, aber keiner anderen Sicherheitsgruppe hinzugefügt wurden.

Weisen Sie dieser Gruppe keine Benutzer zu. Wenn Sie Benutzer aus allen Sicherheitsgruppen entfernen, überprüfen Sie, ob Sie sie aus dieser Gruppe entfernen müssen.

Gruppen auf Projektebene

Für jedes Projekt, das Sie erstellen, erstellt das System die folgenden Gruppen auf Projektebene. Diesen Gruppen sind Berechtigungen auf Projektebene zugewiesen.

Hinweis

Informationen zum Aktivieren der Vorschauseite für die Seite Projektberechtigungeneinstellungen finden Sie unter Aktivieren von Vorschaufeatures.

Gruppen und Berechtigungen auf Projektebene, Azure DevOps aktuell.

Gruppen und Berechtigungen auf Projektebene, TFS-2018 und frühere Versionen.

Tipp

Der vollständige Name jeder dieser Gruppen lautet [{Projektname}]\{Gruppenname}. Beispielsweise ist die Mitwirkendegruppe für ein Projekt namens "Mein Projekt" [Mein Projekt]\Mitwirkende.

Gruppenname

Berechtigungen

Mitgliedschaft

Buildadministratoren

Verfügt über Berechtigungen zum Verwalten von Buildressourcen und Buildberechtigungen für das Projekt. Die Mitglieder können Testumgebungen verwalten, Testläufe erstellen und Builds verwalten.

Weisen Sie Benutzern zu, die Buildpipelines definieren und verwalten.

Beitragende

Verfügt über Berechtigungen, um vollständig zur Projektcodebasis und Arbeitselementnachverfolgung beizutragen. Die Hauptberechtigungen, über die sie nicht verfügen, sind diejenigen, die Ressourcen verwalten oder verwalten.

Standardmäßig wird die beim Erstellen eines Projekts erstellte Teamgruppe dieser Gruppe hinzugefügt, und jeder Benutzer, den Sie dem Team oder Projekt hinzufügen, ist Mitglied dieser Gruppe. Darüber hinaus wird jedes Team, das Sie für ein Projekt erstellen, dieser Gruppe hinzugefügt.

Leser

Verfügt über Berechtigungen zum Anzeigen von Projektinformationen, der Codebasis, Arbeitselementen und anderen Artefakten, aber nicht zum Ändern.

Weisen Sie Mitgliedern Ihrer Organisation oder Sammlung zu, die Sie einem Projekt schreibgeschützte Berechtigungen bereitstellen möchten. Diese Benutzer können Backlogs, Boards, Dashboards und mehr anzeigen, aber nichts hinzufügen oder bearbeiten.

Projektadministratoren

Verfügt über Berechtigungen zum Verwalten aller Aspekte von Teams und Projekten, obwohl sie keine Teamprojekte erstellen können.

Weisen Sie Benutzern zu, die Benutzerberechtigungen verwalten, Teams erstellen oder bearbeiten, Teameinstellungen ändern, einen Iterationspfad definieren oder die Nachverfolgung von Arbeitselementen anpassen. Mitgliedern der Gruppe "Projektadministratoren" werden Berechtigungen zum Ausführen der folgenden Aufgaben erteilt:

  • Hinzufügen und Entfernen von Benutzern aus der Projektmitgliedschaft
  • Hinzufügen und Entfernen benutzerdefinierter Sicherheitsgruppen aus einem Projekt
  • Hinzufügen und Verwalten aller Projektteams und teambezogener Features
  • Bearbeiten von Berechtigungs-ACLs auf Projektebene
  • Bearbeiten Sie Ereignisabonnements (E-Mail oder SOAP) für Teams oder Ereignisse auf Projektebene.

Gültige Projektbenutzer

Verfügt über Berechtigungen zum Zugreifen auf und Anzeigen von Projektinformationen.

Enthält alle Benutzer und Gruppen, die dem Projekt an einer beliebigen Stelle hinzugefügt wurden. Sie können die Mitgliedschaft dieser Gruppe nicht ändern.

Hinweis

Es wird empfohlen, die Standardberechtigungen für diese Gruppe nicht zu ändern.

Releaseadministratoren

Verfügt über Berechtigungen zum Verwalten aller Releasevorgänge.

Weisen Sie Benutzern, die Releasepipelines definieren und verwalten, zu.

Hinweis

Die Gruppe "Releaseadministrator" wird gleichzeitig erstellt, wenn die erste Releasepipeline definiert wird. Es wird nicht standardmäßig erstellt, wenn das Projekt erstellt wird.

TeamName

Verfügt über Berechtigungen, um vollständig zur Projektcodebasis und Arbeitselementnachverfolgung beizutragen.

Die Standardmäßige Teamgruppe wird erstellt, wenn Sie ein Projekt erstellen, und standardmäßig der Gruppe Mitwirkende für das Projekt hinzugefügt. Alle neuen Teams, die Sie erstellen, haben ebenfalls eine für sie erstellte Gruppe und werden zur Gruppe der Contributors hinzugefügt.

Fügen Sie dieser Gruppe Mitglieder des Teams hinzu. Um den Zugriff zum Konfigurieren von Teameinstellungen zu gewähren, fügen Sie der Rolle "Teamadministrator" ein Teammitglied hinzu.

Rolle des Teamadministrators

Für jedes Team, das Sie hinzufügen, können Sie ein oder mehrere Teammitglieder als Administratoren zuweisen. Die Teamadministratorrolle ist keine Gruppe mit definierten Berechtigungen. Stattdessen wird die Rolle des Teamadministrators mit der Verwaltung von Teamressourcen beauftragt. Weitere Informationen finden Sie unter Verwalten von Teams und Konfigurieren von Teamtools. Informationen zum Hinzufügen eines Benutzers als Teamadministrator finden Sie unter Hinzufügen eines Teamadministrators.

Hinweis

Projektadministratoren können alle Teamverwaltungsbereiche für alle Teams verwalten.

Berechtigungen

Das System verwaltet Berechtigungen auf verschiedenen Ebenen – Organisation, Projekt, Objekt sowie rollenbasierte Berechtigungen – und weist sie standardmäßig einer oder mehreren integrierten Gruppen zu. Sie können die meisten Berechtigungen über das Webportal verwalten. Zusätzliche Berechtigungen können mithilfe eines oder mehrerer Sicherheitsverwaltungstools verwaltet werden, indem Sie eine Namespaceberechtigung angeben.

Das System verwaltet Berechtigungen auf verschiedenen Ebenen – Server-, Sammlungs-, Projekt- und Objektberechtigungen sowie rollenbasierte Berechtigungen – und weist sie standardmäßig einer oder mehreren integrierten Gruppen zu. Sie verwalten die meisten Berechtigungen über das Webportal. Zusätzliche Berechtigungen können mithilfe eines oder mehrerer Sicherheitsverwaltungstools verwaltet werden, indem Sie eine Namespaceberechtigung angeben.

In den folgenden Abschnitten wird die Namespaceberechtigung nach der Berechtigungsbezeichnung bereitgestellt, die auf der Benutzeroberfläche angezeigt wird. Zum Beispiel:
Tagdefinition erstellen
Tagging, Create

Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz.

Berechtigungen auf Serverebene

Sie verwalten Berechtigungen auf Serverebene über die Team Foundation-Verwaltungskonsole oder das Befehlszeilentool TFSSecurity. Team Foundation-Administratoren erhalten alle Berechtigungen auf Serverebene. Andere Gruppen auf Serverebene verfügen über Berechtigungszuweisungen.

Screenshot: Berechtigungen auf Serverebene.

Berechtigung (UI)
Namespace permission

Beschreibung


Verwalten des Lagers
Warehouse, Administer

Diese Berechtigung ist nur für Azure DevOps Server 2020 und frühere Versionen gültig, die für die Unterstützung SQL Server Berichte konfiguriert sind. Kann Einstellungen für das Data Warehouse oder SQL Server Analysis-Cube mithilfe des Warehouse Control-Webdiensts verarbeiten oder ändern.

Möglicherweise sind zusätzliche Berechtigungen erforderlich, um das Data Warehouse und den Analysis-Cube vollständig zu verarbeiten oder neu zu erstellen.

Erstellen einer Projektsammlung
CollectionManagement, CreateCollection

Kann Sammlungen erstellen und verwalten.

Projektsammlung löschen
CollectionManagement, DeleteCollection

Kann eine Sammlung aus der Bereitstellung löschen.

Hinweis

Durch das Löschen einer Sammlung wird die Sammlungsdatenbank nicht aus SQL Server gelöscht.

Bearbeiten von Informationen auf Instanzebene
Server, GenericWrite

Kann Berechtigungen auf Serverebene für Benutzer und Gruppen bearbeiten und Gruppen auf Serverebene hinzufügen oder daraus entfernen.

Hinweis

Informationen auf Instanzebene bearbeiten umfasst die Möglichkeit, diese Aufgaben auszuführen, die in allen für die Instanz definierten Sammlungen definiert sind:

  • Ändern von Erweiterungen und Analyseeinstellungen
  • Implizit ermöglicht es dem Benutzer, Berechtigungen für die Versionsverwaltung und Repositoryeinstellungen zu ändern.
  • Bearbeiten von Ereignisabonnements oder Warnungen für globale Benachrichtigungen, Ereignisse auf Projekt- und Teamebene
  • Bearbeiten aller Einstellungen auf Projekt- und Teamebene für Projekte, die in den Sammlungen definiert sind
  • Globale Listen erstellen und bearbeiten

Um alle diese Berechtigungen an einer Eingabeaufforderung zu erteilen, müssen Sie den tf.exe Permission -Befehl verwenden, um die AdminConfiguration Berechtigungen und AdminConnections zusätzlich zu zu erteilen GENERIC_WRITE.

Stellen von Anforderungen im Namen anderer Personen
Server, Impersonate

Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Nur an Dienstkonten zuweisen.

Auslösen von Ereignissen
Server, TriggerEvent

Kann Warnungsereignisse auf Serverebene auslösen. Weisen Sie nur Dienstkonten und Mitgliedern der Gruppe Azure DevOps- oder Team Foundation-Administratoren zu.

Verwenden der vollständigen Webzugriffsfeatures

Kann alle lokalen Webportalfeatures verwenden. Diese Berechtigung ist mit Azure DevOps Server 2019 und höheren Versionen veraltet.

Hinweis

Wenn die Berechtigung Vollständige Webzugriffsfeatures verwenden auf Verweigern festgelegt ist, werden dem Benutzer nur diese Features angezeigt, die für die Stakeholdergruppe zulässig sind (siehe Ändern von Zugriffsebenen). Eine Deny-Instanz überschreibt alle impliziten Genehmigungen, auch für Konten, die Mitglieder administrativer Gruppen sind, z. B. Team Foundation-Administratoren.

Anzeigen von Informationen auf Instanzebene
Server, GenericRead

Kann die Gruppenmitgliedschaft auf Serverebene und die Berechtigungen dieser Benutzer anzeigen.

Hinweis

Die Berechtigung Informationen auf Instanzebene anzeigen wird auch der Gruppe Gültige Benutzer von Azure DevOps zugewiesen.

Berechtigungen auf Organisationsebene

Sie verwalten Berechtigungen auf Organisationsebene über den Administratorkontext des Webportals oder mit den Befehlen az devops security group . Projektsammlungsadministratoren erhalten alle Berechtigungen auf Organisationsebene. Andere Gruppen auf Organisationsebene verfügen über Berechtigungszuweisungen.

Hinweis

Informationen zum Aktivieren der Vorschauseite für die Seite Projektberechtigungeneinstellungen finden Sie unter Aktivieren von Vorschaufeatures.

Screenshot: Berechtigungen und Gruppen auf Organisationsebene, Azure DevOps Services.

Wichtig

Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Organisations- oder Sammlungsebene, zum Hinzufügen und Verwalten der Mitgliedschaft in Organisationen oder Gruppen auf Sammlungsebene sowie zum Bearbeiten von Berechtigungs-ACLs auf Sammlungs- und Projektebene ist allen Mitgliedern der Gruppe des Projektsammlungsadministratorszugewiesen. Es wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.

Sie können die Berechtigungen für die Gruppe Projektsammlungsadministratoren nicht ändern. Auch wenn Sie die Berechtigungszuweisungen für ein Mitglied dieser Gruppe ändern können, entsprechen die effektiven Berechtigungen weiterhin den Berechtigungen, die der Administratorgruppe zugewiesen sind, für die es Mitglied ist.

Berechtigung (UI)

Namespace permission

BESCHREIBUNG

Allgemein

Ändern der Ablaufverfolgungseinstellungen
Collection, DIAGNOSTIC_TRACE

Kann die Ablaufverfolgungseinstellungen ändern, um ausführlichere Diagnoseinformationen zu Azure DevOps-Webdiensten zu sammeln.

Erstellen neuer Projekte
(früher Neue Teamprojekte erstellen)
Collection, CREATE_PROJECTS

Kann ein Projekt zu einer Organisation oder Projektsammlung hinzufügen. Abhängig von Ihrer lokalen Bereitstellung sind möglicherweise zusätzliche Berechtigungen erforderlich.

Teamprojekt löschen
Project, DELETE

Kann ein Projekt löschen. Beim Löschen eines Projekts werden alle Daten gelöscht, die dem Projekt zugeordnet sind. Sie können das Löschen eines Projekts nicht rückgängig machen, außer indem Sie die Auflistung bis zu einem Punkt wiederherstellen, an dem das Projekt gelöscht wurde.

Bearbeiten von Informationen auf Instanzebene
Collection, GENERIC_WRITE

Kann Organisations- und Projektebeneneinstellungen festlegen.

Hinweis

Informationen auf Instanzebene bearbeiten umfasst die Möglichkeit, diese Aufgaben für alle in einer Organisation oder Sammlung definierten Projekte auszuführen:

  • Ändern der Organisationsübersichtseinstellungen, Erweiterungen und Azure Active Directory-Einstellungen
  • Ändern von Versionssteuerungsberechtigungen und Repositoryeinstellungen
  • Bearbeiten von Ereignisabonnements oder Warnungen für globale Benachrichtigungen, Ereignisse auf Projekt- und Teamebene
  • Bearbeiten Sie alle Einstellungen auf Projekt- und Teamebene für Projekte, die in den Sammlungen definiert sind.

Anzeigen von Informationen auf Instanzebene
Collection, GENERIC_READ

Kann Berechtigungen auf Organisationsebene für einen Benutzer oder eine Gruppe anzeigen.

Dienstkonto

Stellen von Anforderungen im Namen anderer Personen
Server, Impersonate

Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Weisen Sie diese Berechtigung nur Dienstkonten zu.

Auslösen von Ereignissen
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Können Projektwarnungsereignisse innerhalb der Auflistung auslösen. Nur an Dienstkonten zuweisen.

Anzeigen von Systemsynchronisierungsinformationen Collection, SYNCHRONIZE_READ

Können die Synchronisierungs-Anwendungsprogrammierschnittstellen aufrufen. Nur an Dienstkonten zuweisen.

Boards

Verwalten von Prozessberechtigungen
Process, AdministerProcessPermissions

Kann Berechtigungen zum Anpassen der Arbeitsnachverfolgung ändern, indem geerbte Prozesse erstellt und angepasst werden.

Prozess erstellen
Process, Create

Kann einen geerbten Prozess erstellen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird. Benutzern, denen Der Zugriff "Basic" und "Stakeholder" gewährt wurde, wird diese Berechtigung standardmäßig gewährt.

Feld aus Organisation löschen
Collection, DELETE_FIELD

Löschvorgang
Process, Delete

Kann einen geerbten Prozess löschen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird.

Bearbeitungsprozess
Process, Edit

Kann einen benutzerdefinierten geerbten Prozess bearbeiten.

Repos

Gilt nur für die Team Foundation-Versionskontrolle (TFVC)

Abgelegte Änderungen verwalten
VersionControlPrivileges, AdminWorkspaces

Verwalten von Arbeitsbereichen
Workspaces, Administer

Erstellen eines Arbeitsbereichs
VersionControlPrivileges, CreateWorkspace

Können einen Arbeitsbereich der Versionskontrolle erstellen. Die Berechtigung Arbeitsbereich erstellen wird allen Benutzern im Rahmen ihrer Mitgliedschaft in der Gruppe Gültige Benutzer der Projektsammlung erteilt.

Pipelines

Verwalten von Buildressourcenberechtigungen
BuildAdministration, AdministerBuildResourcePermissions

Kann Berechtigungen für Buildressourcen auf Organisations- oder Projektsammlungsebene ändern. Dies umfasst u. a.:

Hinweis

Zusätzlich zu dieser Berechtigung bietet Azure DevOps rollenbasierte Berechtigungen für die Sicherheit von Agentpools. Andere Einstellungen auf Objektebene überschreiben diejenigen, die auf Organisations- oder Projektebene festgelegt sind.

Verwalten von Buildressourcen
BuildAdministration, ManageBuildResources

Können Buildcomputer, Build-Agents und Buildcontroller verwalten.

Verwalten von Pipelinerichtlinien
BuildAdministration, ManagePipelinePolicies

Kann Pipelineeinstellungen verwalten, die über Organisationseinstellungen, Pipelines, Einstellungen festgelegt sind.

Verwenden von Buildressourcen
BuildAdministration, UseBuildResources

Können Build-Agents reservieren und zuordnen. Nur an Dienstkonten für Builddienste zuweisen.

Anzeigen von Buildressourcen
BuildAdministration, ViewBuildResources

Buildcontroller und Build-Agents, die für eine Organisation oder Projektsammlung konfiguriert sind, können diese anzeigen, aber nicht verwenden.

Test Plans

Verwalten von Testcontrollern
Collection, MANAGE_TEST_CONTROLLERS

Können Testcontroller registrieren und deren Registrierung aufheben.

Überwachung

Löschen von Überwachungsdatenströmen
AuditLog, Delete_Streams

Kann einen Überwachungsstream löschen. Überwachungsstreams befinden sich in der Vorschauphase. Ausführliche Informationen finden Sie unter Erstellen von Überwachungsstreaming.

Verwalten von Überwachungsdatenströmen
AuditLog, Manage_Streams

Kann einen Überwachungsstream hinzufügen. Überwachungsstreams befinden sich in der Vorschauphase. Ausführliche Informationen finden Sie unter Erstellen von Überwachungsstreaming.

Anzeigen des Überwachungsprotokolls
AuditLog, Read

Kann Überwachungsprotokolle anzeigen und exportieren. Überwachungsprotokolle befinden sich in der Vorschau. Ausführliche Informationen finden Sie unter Zugriff, Exportieren und Filtern von Überwachungsprotokollen.

Richtlinien

Verwalten von Unternehmensrichtlinien
Collection, MANAGE_ENTERPRISE_POLICIES

Kann Anwendungsverbindungsrichtlinien aktivieren und deaktivieren, wie unter Ändern von Anwendungsverbindungsrichtlinien beschrieben.

Berechtigungen auf Auflistungsebene

Sie verwalten Berechtigungen auf Sammlungsebene über den Verwaltungskontext des Webportals oder das Befehlszeilentool TFSSecurity. Projektsammlungsadministratoren werden alle Berechtigungen auf Sammlungsebene erteilt. Andere Gruppen auf Sammlungsebene verfügen über Auswahlberechtigungszuweisungen.

Die für Azure DevOps Server 2019 und höheren Versionen verfügbaren Berechtigungen variieren je nach dem für die Sammlung konfigurierten Prozessmodell. Eine Übersicht über Prozessmodelle finden Sie unter Anpassen der Arbeitsnachverfolgung.

Geerbtes Prozessmodell

Lokales XML-Prozessmodell

Screenshot: Berechtigungen auf Sammlungsebene, lokales, geerbtes Prozessmodell.

Screenshot: Berechtigungen auf Sammlungsebene, lokales XML-Prozessmodell

Berechtigungen und Gruppen auf Sammlungsebene

Wichtig

Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Organisations- oder Sammlungsebene, zum Hinzufügen und Verwalten der Organisations- oder Gruppenmitgliedschaft auf Sammlungsebene sowie zum Bearbeiten von Berechtigungs-ACLs auf Sammlungs- und Projektebene wird allen Mitgliedern der Gruppe des Projektsammlungsadministratorszugewiesen. Sie wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.

Sie können die Berechtigungen für die Gruppe "Projektsammlungsadministratoren " nicht ändern. Auch wenn Sie die Berechtigungszuweisungen für ein Mitglied dieser Gruppe ändern können, entsprechen die effektiven Berechtigungen weiterhin den Berechtigungen, die der Administratorgruppe zugewiesen sind, für die es Mitglied ist.

Berechtigung (UI)

Namespace permission

Beschreibung


Berechtigungen für Buildressourcen verwalten
BuildAdministration, AdministerBuildResourcePermissions

Verwalten von Prozessberechtigungen
Process, AdministerProcessPermissions

Kann Berechtigungen zum Anpassen der Arbeitsnachverfolgung ändern, indem geerbte Prozesse erstellt und angepasst werden. Erfordert, dass die Auflistung so konfiguriert wird, dass sie das geerbte Prozessmodell unterstützt. Weitere Informationen:

Abgelegte Änderungen verwalten
VersionControlPrivileges, AdminWorkspaces

Kann von anderen Benutzern erstellte Shelvesets löschen. Gilt, wenn TFVC als Quellcodeverwaltung verwendet wird.

Arbeitsbereiche verwalten
Workspaces, Administer

Kann Arbeitsbereiche für andere Benutzer erstellen und löschen. Gilt, wenn TFVC als Quellcodeverwaltung verwendet wird.

Ändern von Ablaufverfolgungseinstellungen
Collection, DIAGNOSTIC_TRACE

Kann die Ablaufverfolgungseinstellungen ändern , um ausführlichere Diagnoseinformationen zu Azure DevOps-Webdiensten zu sammeln.

Erstellen eines Arbeitsbereichs
VersionControlPrivileges, CreateWorkspace

Können einen Arbeitsbereich der Versionskontrolle erstellen. Gilt, wenn TFVC als Quellcodeverwaltung verwendet wird. Diese Berechtigung wird allen Benutzern im Rahmen ihrer Mitgliedschaft in der Gruppe Gültige Benutzer der Projektsammlung erteilt.

Neue Projekte erstellen
(früher Neue Teamprojekte erstellen)
Collection, CREATE_PROJECTS

Kann Einer Projektauflistung Projekte hinzufügen. Abhängig von Ihrer lokalen Bereitstellung sind möglicherweise zusätzliche Berechtigungen erforderlich.

Erstellen eines Prozesses
Process, Create

Kann einen geerbten Prozess erstellen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird. Erfordert, dass die Auflistung so konfiguriert wird, dass sie das geerbte Prozessmodell unterstützt.

Löschen eines Felds aus der Organisation
(früher Feld aus Konto löschen)
Collection, DELETE_FIELD

Kann ein benutzerdefiniertes Feld löschen, das einem Prozess hinzugefügt wurde. Für lokale Bereitstellungen muss die Sammlung so konfiguriert werden, dass das Modell des geerbten Prozesses unterstützt wird.

Kann einen geerbten Prozess löschen, der zum Anpassen der Arbeitsnachverfolgung und Azure Boards verwendet wird. Erfordert, dass die Auflistung so konfiguriert wird, dass das geerbte Prozessmodell unterstützt wird.

Teamprojekt löschen
Project, DELETE

Kann ein Projekt löschen.

Hinweis

Beim Löschen eines Projekts werden alle Daten gelöscht, die dem Projekt zugeordnet sind. Sie können das Löschen eines Projekts nur rückgängig machen, wenn Sie die Auflistung bis zu einem Punkt wiederherstellen, bevor das Projekt gelöscht wurde.

Kann Einstellungen auf Organisation und Projektebene festlegen.

Hinweis

Informationen auf Sammlungsebene bearbeiten umfasst die Möglichkeit, diese Aufgaben für alle in einer Organisation oder Sammlung definierten Projekte auszuführen:

  • Ändern von Erweiterungen und Analyseeinstellungen
  • Ändern von Versionssteuerungsberechtigungen und Repositoryeinstellungen
  • Bearbeiten von Ereignisabonnements oder Warnungen für globale Benachrichtigungen, Ereignisse auf Projekt- und Teamebene
  • Bearbeiten Sie alle Einstellungen auf Projekt- und Teamebene für Projekte, die in den Sammlungen definiert sind.

Bearbeitungsprozess
Process, Edit

Kann einen benutzerdefinierten geerbten Prozess bearbeiten. Erfordert, dass die Auflistung so konfiguriert wird, dass sie das geerbte Prozessmodell unterstützt.

Anforderungen im Auftrag von anderen Benutzern einreichen
Server, Impersonate

Können Vorgänge im Namen anderer Benutzer oder Dienste ausführen. Weisen Sie diese Berechtigung nur lokalen Dienstkonten zu.

Buildressourcen verwalten
BuildAdministration, ManageBuildResources

Können Buildcomputer, Build-Agents und Buildcontroller verwalten.

Verwalten von Unternehmensrichtlinien
Collection, MANAGE_ENTERPRISE_POLICIES

Kann Anwendungsverbindungsrichtlinien aktivieren und deaktivieren, wie unter Ändern von Anwendungsverbindungsrichtlinien beschrieben.

Hinweis

Diese Berechtigung ist nur für Azure DevOps Services gültig. Es kann zwar für Azure DevOps Server lokal angezeigt werden, gilt aber nicht für lokale Server.

Prozessvorlage verwalten
Collection, MANAGE_TEMPLATE

Kann Prozessvorlagen herunterladen, erstellen, bearbeiten und hochladen. Eine Prozessvorlage definiert die Bausteine des Arbeitselementnachverfolgungssystems sowie anderer Subsysteme, auf die Sie über Azure Boards zugreifen. Erfordert, dass die Auflistung für die Unterstützung des lokalen XML-Prozessmodells konfiguriert wird.

Verwalten von Testcontrollern
Collection, MANAGE_TEST_CONTROLLERS

Können Testcontroller registrieren und deren Registrierung aufheben.

Auslösende Ereignisse
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Können Projektwarnungsereignisse innerhalb der Auflistung auslösen. Nur an Dienstkonten zuweisen. Benutzer mit dieser Berechtigung können integrierte Gruppen auf Sammlungsebene wie Project Collection Administrators nicht entfernen.

Buildressourcen verwenden
BuildAdministration, UseBuildResources

Können Build-Agents reservieren und zuordnen. Nur an Dienstkonten für Builddienste zuweisen.

Buildressourcen anzeigen
BuildAdministration, ViewBuildResources

Buildcontroller und Build-Agents, die für eine Organisation oder Projektsammlung konfiguriert sind, können diese anzeigen, aber nicht verwenden.

Instanzebeneninformationen anzeigen
oder Anzeigen von Informationen auf Sammlungsebene
Collection, GENERIC_READ

Kann Berechtigungen auf Sammlungsebene für einen Benutzer oder eine Gruppe anzeigen.

Systemsynchronisierungsinformationen anzeigen
Collection, SYNCHRONIZE_READ

Können die Synchronisierungs-Anwendungsprogrammierschnittstellen aufrufen. Nur an Dienstkonten zuweisen.

Berechtigungen auf Projektebene

Sie verwalten Berechtigungen auf Projektebene über den Administratorkontext des Webportals oder mit den Befehlen az devops security group . Projektadministratoren werden alle Berechtigungen auf Projektebene erteilt. Andere Gruppen auf Projektebene verfügen über Berechtigungszuweisungen.

Hinweis

Informationen zum Aktivieren der Vorschauseite der Seite "Projektberechtigungseinstellungen" finden Sie unter Aktivieren von Vorschaufeatures.

Screenshot: Dialogfeld

Wichtig

Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Projektebene sowie zum Hinzufügen und Verwalten der Gruppenmitgliedschaft auf Projektebene ist allen Mitgliedern der Gruppe Projektadministratoren zugewiesen. Es wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.

Sie können die Berechtigungen für die Gruppe Projektadministratoren nicht ändern. Auch wenn Sie die Berechtigungszuweisungen für ein Mitglied dieser Gruppe ändern können, entsprechen die effektiven Berechtigungen weiterhin den Berechtigungen, die der Administratorgruppe zugewiesen sind, für die es Mitglied ist.

Berechtigung (UI)

Namespace permission

BESCHREIBUNG

Allgemein

Teamprojekt löschen
Project, DELETE

Kann ein Projekt aus einer Organisation oder Projektsammlung löschen.

Hinweis

Selbst wenn Sie diese Berechtigung auf Verweigern festlegen, können Benutzer, die die Berechtigung auf Projektebene erteilt haben, möglicherweise das Projekt löschen, für das sie berechtigt sind. Um sicherzustellen, dass ein Benutzer ein Projekt nicht löschen kann, stellen Sie sicher, dass Sie auch das Teamprojekt Löschen auf Projektebene auf Verweigern festlegen.

Bearbeiten von Informationen auf Projektebene
Project, MANAGE_PROPERTIES

Kann die folgenden Aufgaben für das ausgewählte Projekt ausführen, das in einer Organisation oder Sammlung definiert ist.

Hinweis

Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Projektebene sowie zum Hinzufügen und Verwalten der Gruppenmitgliedschaft auf Projektebene ist allen Mitgliedern der Gruppe Projektadministratoren zugewiesen. Es wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.


Verwalten von Projekteigenschaften
Project, MANAGE_SYSTEM_PROPERTIES

Kann Metadaten für ein Projekt bereitstellen oder bearbeiten. Beispielsweise kann ein Benutzer allgemeine Informationen zum Inhalt eines Projekts bereitstellen. Das Ändern von Metadaten wird über die REST-API Zum Festlegen von Projekteigenschaften unterstützt.

Projekt umbenennen
Project, RENAME

Unterdrücken von Benachrichtigungen für Arbeitselementupdates
Project, SUPPRESS_NOTIFICATIONS

Benutzer mit dieser Berechtigung können Arbeitselemente aktualisieren, ohne Benachrichtigungen zu generieren. Dies ist nützlich, wenn Sie Migrationen von Massenupdates durch Tools durchführen und das Generieren von Benachrichtigungen überspringen möchten.

Erwägen Sie, diese Berechtigung Dienstkonten oder Benutzern zu erteilen, denen die Berechtigung Umgehungsregeln für Arbeitselementupdates erteilt wurde. Sie können den suppressNotifications Parameter auf true festlegen, wenn die Aktualisierung über Arbeitselemente – REST-API aktualisiert wird.

Aktualisieren der Projektsichtbarkeit
Project, UPDATE_VISIBILITY

Kann die Projektsichtbarkeit von "privat" in "öffentlich" oder "öffentlich" in "privat" ändern. Gilt nur für Azure DevOps Services.

Anzeigen von Informationen auf Projektebene
Project, GENERIC_READ

Kann Informationen auf Projektebene anzeigen, einschließlich Der Mitgliedschaft in Sicherheitsinformationsgruppen und Berechtigungen. Wenn Sie diese Berechtigung für einen Benutzer auf Verweigern festlegen, kann er das Projekt nicht anzeigen oder sich beim Projekt anmelden.

Boards

Umgehen von Regeln für Arbeitselementupdates
Project, BYPASS_RULES

Benutzer mit dieser Berechtigung können ein Arbeitselement speichern, das Regeln ignoriert, z. B . Kopier-, Einschränkungs- oder bedingte Regeln, die für den Arbeitselementtyp definiert sind. Szenarien, in denen dies nützlich ist, sind Migrationen, bei denen Sie die Nach-/Datumsfelder beim Import nicht aktualisieren möchten oder wenn Sie die Überprüfung eines Arbeitselements überspringen möchten.

Regeln können auf zwei Arten umgangen werden. Die erste besteht über die Arbeitselemente – Aktualisieren der REST-API und Festlegen des bypassRules Parameters auf true. Die zweite erfolgt über das Clientobjektmodell, indem im Bypassrules-Modus initialisiert wird (initialisieren WorkItemStore mit WorkItemStoreFlags.BypassRules).

Projektänderungsprozess
Project, CHANGE_PROCESS

In Kombination mit der Berechtigung "Informationen auf Projektebene bearbeiten" können Benutzer den Vererbungsprozess für ein Projekt ändern. Weitere Informationen finden Sie unter Erstellen und Verwalten geerbter Prozesse.

Erstellen einer Tagdefinition
Tagging, Create

Kann einem Arbeitselement Tags hinzufügen. Standardmäßig verfügen alle Mitglieder der Gruppe Mitwirkende über diese Berechtigung. Darüber hinaus können Sie zusätzliche Taggingberechtigungen über Sicherheitsverwaltungstools festlegen. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz, Tagging.

Hinweis

Alle Benutzer, die Den Stakeholder-Zugriff für ein privates Projekt erhalten, können nur vorhandene Tags hinzufügen. Auch wenn die Berechtigung Tagdefinition erstellen auf Zulassen festgelegt ist, können Projektbeteiligte keine Tags hinzufügen. Dies ist Teil der Zugriffseinstellungen für Beteiligte. Azure DevOps Services Benutzern, denen Der Stakeholder-Zugriff für ein öffentliches Projekt gewährt wurde, wird diese Berechtigung standardmäßig gewährt. Weitere Informationen finden Sie unter Schnellreferenz für den Zugriff auf Beteiligte.
Obwohl die Berechtigung Tagdefinition erstellen in den Sicherheitseinstellungen auf Projektebene angezeigt wird, handelt es sich bei Taggingberechtigungen tatsächlich um Berechtigungen auf Sammlungsebene, die auf Projektebene festgelegt sind, wenn sie in der Benutzeroberfläche angezeigt werden. Sie müssen die GUID für das Projekt als Teil der Befehlssyntax angeben, um den Bereich für tagging-Berechtigungen für ein einzelnes Projekt bei Verwendung des TFSSecurity-Befehls einzugrenzen. Andernfalls gilt Ihre Änderung für die gesamte Sammlung. Denken Sie daran, wenn Sie diese Berechtigungen ändern oder festlegen.

Löschen und Wiederherstellen von Arbeitselementen

oder Löschen von Arbeitselementen in diesem Projekt
Project, WORK_ITEM_DELETE

Kann Arbeitselemente im Projekt als gelöscht markieren. Azure DevOps Services Benutzern, denen Der Stakeholder-Zugriff für ein öffentliches Projekt gewährt wurde, wird diese Berechtigung standardmäßig gewährt.

Verschieben von Arbeitselementen aus diesem Projekt
Project, WORK_ITEM_MOVE

Kann ein Arbeitselement aus einem Projekt in ein anderes Projekt innerhalb der Auflistung verschieben.

Dauerhaftes Löschen von Arbeitselementen in diesem Projekt
Project, WORK_ITEM_PERMANENTLY_DELETE

Analytics

Zusätzlich zu den AnalyticsView in diesem Abschnitt aufgeführten Namespaceberechtigungen können Sie Berechtigungen auf Objektebene für jede Ansicht festlegen.

Löschen der freigegebenen Analyseansicht
AnalyticsViews, Delete

Kann Analytics-Ansichten löschen, die im Bereich Freigegeben gespeichert wurden.

Bearbeiten der freigegebenen Analyseansicht
AnalyticsViews, Edit

Kann freigegebene Analytics-Ansichten erstellen und ändern.

Anzeigen von Analysen
AnalyticsViews, Read

Kann auf daten zugreifen, die über den Analytics-Dienst verfügbar sind. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf den Analytics-Dienst.

Test Plans

Erstellen von Testläufen
Project, PUBLISH_TEST_RESULTS

Können Testergebnisse hinzufügen und entfernen und Testläufe hinzufügen oder ändern. Weitere Informationen finden Sie unter Steuern der Aufbewahrungsdauer von Testergebnissen und Ausführen manueller Tests.

Löschen von Testläufen
Project, DELETE_TEST_RESULTS

Verwalten von Testkonfigurationen
Project, MANAGE_TEST_CONFIGURATIONS

Kann Testkonfigurationen erstellen und löschen.

Verwalten von Testumgebungen
Project, MANAGE_TEST_ENVIRONMENTS

Kann Testumgebungen erstellen und löschen.

Anzeigen von Testläufen
Project, VIEW_TEST_RESULTS

Kann Testpläne unter dem Projektbereichspfad anzeigen.

Sie verwalten Berechtigungen auf Projektebene über den Verwaltungskontext des Webportals oder das Befehlszeilentool TFSSecurity. Projektadministratoren werden alle Berechtigungen auf Projektebene erteilt. Andere Gruppen auf Projektebene verfügen über Auswahlberechtigungszuweisungen.

Hinweis

Mitgliedern der Gruppe "Projektadministratoren " werden mehrere Berechtigungen erteilt und nicht auf der Benutzeroberfläche angezeigt.

Berechtigungen auf Projektebene, lokales, geerbtes Prozessmodell

Screenshot des Dialogfelds

Berechtigung (UI)

Namespace permission

Beschreibung


Umgehungsregeln für Arbeitselementupdates
Project, BYPASS_RULES

Benutzer mit dieser Berechtigung können ein Arbeitselement speichern, das Regeln ignoriert, z. B . Kopier-, Einschränkungs- oder bedingte Regeln, die für den Arbeitselementtyp definiert sind. Szenarien, in denen dies nützlich ist, sind Migrationen, bei denen Sie die Felder nach oder datum beim Import nicht aktualisieren möchten oder wenn Sie die Überprüfung eines Arbeitselements überspringen möchten.
Regeln können auf zwei Arten umgangen werden. Die erste erfolgt über die Rest-API Work Items – Update und das Festlegen des bypassRules Parameters auf true. Der zweite erfolgt über das Clientobjektmodell, indem im Umgehungsregelmodus initialisiert wird (initialisieren WorkItemStore mit WorkItemStoreFlags.BypassRules).


Änderungsprozess des Projekts
Project, CHANGE_PROCESS

In Kombination mit der Berechtigung "Informationen auf Projektebene bearbeiten" können Benutzer den Vererbungsprozess für ein Projekt ändern. Weitere Informationen finden Sie unter Erstellen und Verwalten von geerbten Prozessen.


Tagdefinition erstellen
Tagging, Create

Kann einem Arbeitselement Tags hinzufügen. Standardmäßig verfügen alle Mitglieder der Gruppe Mitwirkende über diese Berechtigung. Darüber hinaus können Sie zusätzliche Taggingberechtigungen über Sicherheitsverwaltungstools festlegen. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz, Tagging.

Hinweis

Alle Benutzer, die Zugriff auf Stakeholder erhalten, können nur vorhandene Tags hinzufügen. Auch wenn die Berechtigung Tagdefinition erstellen auf Zulassen festgelegt ist, können Projektbeteiligte keine Tags hinzufügen. Dies ist Teil der Zugriffseinstellungen für Beteiligte. Weitere Informationen finden Sie unter Schnellreferenz für den Zugriff auf Beteiligte. Obwohl die Berechtigung Tagdefinition erstellen in den Sicherheitseinstellungen auf Projektebene angezeigt wird, handelt es sich bei Taggingberechtigungen tatsächlich um Berechtigungen auf Sammlungsebene, die auf Projektebene festgelegt sind, wenn sie in der Benutzeroberfläche angezeigt werden. Sie müssen die GUID für das Projekt als Teil der Befehlssyntax angeben, um den Bereich für tagging-Berechtigungen für ein einzelnes Projekt bei Verwendung des TFSSecurity-Befehls einzugrenzen. Andernfalls gilt Ihre Änderung für die gesamte Sammlung. Denken Sie daran, wenn Sie diese Berechtigungen ändern oder festlegen.


Testläufe erstellen
Project, PUBLISH_TEST_RESULTS

Können Testergebnisse hinzufügen und entfernen und Testläufe hinzufügen oder ändern. Weitere Informationen finden Sie unter Steuern der Aufbewahrungsdauer von Testergebnissen und Ausführen manueller Tests.

Löschen und Wiederherstellen von Arbeitselementen

oder Löschen von Arbeitselementen in diesem Projekt
Project, WORK_ITEM_DELETE

Kann Arbeitselemente im Projekt als gelöscht markieren. Für die Gruppe Mitwirkende ist "Löschen und Wiederherstellen" von Arbeitselementen auf Projektebene standardmäßig auf Zulassen festgelegt.


Löschen der freigegebenen Analyseansicht
AnalyticsViews, Delete

Kann Analytics-Ansichten löschen, die im Bereich Freigegeben gespeichert wurden.


Löschen eines Projekts
Project, DELETE

Kann ein Projekt aus einer Organisation oder Projektsammlung löschen.


Testläufe löschen
Project, DELETE_TEST_RESULTS

Kann einen Testlauf löschen.


Bearbeiten von Informationen auf Projektebene Project, MANAGE_PROPERTIES

Kann die folgenden Aufgaben für das ausgewählte Projekt ausführen, das in einer Organisation oder Sammlung definiert ist.

Hinweis

Die Berechtigung zum Hinzufügen oder Entfernen von Sicherheitsgruppen auf Projektebene sowie zum Hinzufügen und Verwalten der Gruppenmitgliedschaft auf Projektebene wird allen Mitgliedern der Gruppe Projektadministratoren zugewiesen. Sie wird nicht durch berechtigungen gesteuert, die auf der Benutzeroberfläche angezeigt werden.


Bearbeiten der freigegebenen Analyseansicht
AnalyticsViews, Edit

Kann freigegebene Analytics-Ansichten erstellen und ändern.


Verwalten von Projekteigenschaften
Project, MANAGE_SYSTEM_PROPERTIES

Kann Metadaten für ein Projekt bereitstellen oder bearbeiten. Beispielsweise kann ein Benutzer allgemeine Informationen zum Inhalt eines Projekts bereitstellen. Das Ändern von Metadaten wird über die REST-API zum Festlegen von Projekteigenschaften unterstützt.


Testkonfigurationen verwalten
Project, MANAGE_TEST_CONFIGURATIONS

Kann Testkonfigurationen erstellen und löschen.


Testumgebungen verwalten
Project, MANAGE_TEST_ENVIRONMENTS

Kann Testumgebungen erstellen und löschen.


Verschieben von Arbeitselementen aus diesem Projekt
Project, WORK_ITEM_MOVE

Kann ein Arbeitselement aus einem Projekt in ein anderes Projekt innerhalb der Auflistung verschieben.


Dauerhaftes Löschen von Arbeitselementen in diesem Projekt Project, WORK_ITEM_PERMANENTLY_DELETE

Umbenennen des Projekts "Project, RENAME"


Unterdrücken von Benachrichtigungen für Arbeitselementupdates Project, SUPPRESS_NOTIFICATIONS

Benutzer mit dieser Berechtigung können Arbeitselemente aktualisieren, ohne Benachrichtigungen zu generieren. Dies ist nützlich, wenn Sie Massenupdates mit Tools migrieren und das Generieren von Benachrichtigungen überspringen möchten.

Erwägen Sie, diese Berechtigung für Dienstkonten oder Benutzer zu gewähren, denen die Berechtigung Umgehungsregeln für Arbeitselementupdates erteilt wurde. Sie können den Parameter beim Aktualisieren der suppressNotifications Arbeit über die Rest-API "Arbeitselemente – Aktualisieren" auf true festlegen.

Aktualisieren der Projektsichtbarkeit "Projekt, UPDATE_VISIBILITY"

Kann die Sichtbarkeit des Projekts von privat in öffentlich oder öffentlich in privat ändern. Gilt nur für Azure DevOps Services.

Analyse "AnalyticsViews, Read" anzeigen

Kann auf daten zugreifen, die über den Analytics-Dienst verfügbar sind. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf den Analytics-Dienst.


Projektebeneninformationen anzeigen
Project, GENERIC_READ

Kann Gruppenmitgliedschaften auf Projektebene und Berechtigungen anzeigen.


Testläufe anzeigen
Project, VIEW_TEST_RESULTS

Kann Testpläne unter dem Projektbereichspfad anzeigen.

Analysesichten (Objektebene)

Mit freigegebenen Analytics-Ansichten können Sie bestimmte Berechtigungen zum Anzeigen, Bearbeiten oder Löschen einer von Ihnen erstellten Ansicht erteilen. Sie verwalten die Sicherheit von Analytics-Ansichten über das Webportal.

Sicherheitsdialogfeld

Sicherheitsdialogfeld

Die folgenden Berechtigungen werden für jede freigegebene Analytics-Ansicht definiert. Allen gültigen Benutzern werden automatisch alle Berechtigungen zum Verwalten von Analytics-Ansichten erteilt. Erwägen Sie, anderen Teammitgliedern oder sicherheitsgruppen, die Sie erstellen, Auswahlberechtigungen für bestimmte freigegebene Ansichten zu erteilen. Weitere Informationen finden Sie unter Was sind Analyseansichten? Zusätzliche Namespaceberechtigungen werden unterstützt, wie unter Sicherheitsnamespace und Berechtigungsreferenz definiert.

Berechtigung (UI)

Namespace permission

Beschreibung

Löschen freigegebener Analytics-Ansichten
AnalyticsViews, Delete

Kann die freigegebene Analytics-Ansicht löschen.

Bearbeiten von freigegebenen Analytics-Ansichten AnalyticsViews, Edit

Kann die Parameter der freigegebenen Analyseansicht ändern.

Anzeigen freigegebener Analytics-Ansichten AnalyticsViews, Read

Kann die freigegebene Analyseansicht aus Power BI Desktop anzeigen und verwenden.

Dashboards (Objektebene)

Berechtigungen für Team- und Projektdashboards können einzeln festgelegt werden. Die Standardberechtigungen für ein Team können für ein Projekt festgelegt werden. Sie verwalten die Sicherheit von Dashboards über das Webportal. Zusätzliche Namespaceberechtigungen werden unterstützt, wie unter Sicherheitsnamespace und Berechtigungsreferenz definiert.

Berechtigungen des Projektdashboards

Screenshot des Dialogfelds

Standardmäßig ist der Ersteller des Projektdashboards der Dashboardbesitzer und hat alle Berechtigungen für dieses Dashboard erteilt.

Berechtigung
Namespace permission
Beschreibung
Dashboard löschen
DashboardsPrivileges, Delete
Kann das Projektdashboard löschen.
Bearbeiten des Dashboards
DashboardsPrivileges, Edit
Kann Widgets hinzufügen und das Layout des Projektdashboards ändern.
Berechtigungen verwalten
DashboardsPrivileges, ManagePermissions
Kann Berechtigungen für das Projektdashboard verwalten.

Berechtigungen für Teamdashboards können einzeln festgelegt werden. Die Standardberechtigungen für ein Team können für ein Projekt festgelegt werden. Sie verwalten die Sicherheit von Dashboards über das Webportal.

Standardberechtigungen des Teamdashboards

Screenshot des Dialogfelds

Standardmäßig erhalten Teamadministratoren alle Berechtigungen für ihre Teamdashboards, einschließlich der Verwaltung von Standard- und individuellen Dashboardberechtigungen.

Berechtigung
Namespace permission
Beschreibung
Erstellen von Dashboards
DashboardsPrivileges, MaterializeDashboards
Kann ein Teamdashboard erstellen.
Löschen von Dashboards
DashboardsPrivileges, Delete
Kann ein Teamdashboard löschen.
Bearbeiten von Dashboards
DashboardsPrivileges, Edit
Kann Widgets hinzufügen und das Layout eines Teamdashboards ändern.

Berechtigungen für einzelne Teamdashboards

Screenshot des Dialogfelds

Teamadministratoren können die Berechtigungen für einzelne Teamdashboards ändern, indem sie die folgenden beiden Berechtigungen ändern.

Berechtigung
Namespace permission
Beschreibung
Dashboard löschen
DashboardsPrivileges, Delete
Kann das spezifische Teamdashboard löschen.
Bearbeiten des Dashboards
DashboardsPrivileges, Edit
Kann Widgets hinzufügen und das Layout des jeweiligen Teamdashboards ändern.

Pipeline oder Build (Objektebene)

Sie verwalten Pipelineberechtigungen für jede pipeline, die im Webportal oder mit dem Befehlszeilentool TFSSecurity definiert ist. Projektadministratoren werden alle Pipelineberechtigungen erteilt, und Buildadministratoren werden die meisten dieser Berechtigungen zugewiesen. Sie können Pipelineberechtigungen für alle Pipelines festlegen, die für ein Projekt oder für jede Pipelinedefinition definiert sind.

Screenshot des Dialogfelds

Screenshot des Dialogfelds

Screenshot des Dialogfelds

Berechtigungen in Build folgen einem hierarchischen Modell. Standardwerte für alle Berechtigungen können auf Projektebene festgelegt und für eine einzelne Builddefinition überschrieben werden.

Um die Berechtigungen auf Projektebene für alle Builddefinitionen in einem Projekt festzulegen, wählen Sie auf der Aktionsleiste auf der Hauptseite des Buildhubs die Option Sicherheit aus.

Um die Berechtigungen für eine bestimmte Builddefinition festzulegen oder außer Kraft zu setzen, wählen Sie im Kontextmenü der Builddefinition die Option Sicherheit aus.

Die folgenden Berechtigungen sind in Build definiert. All dies kann auf beiden Ebenen festgelegt werden.

Berechtigung (UI)

Namespace permission

Beschreibung

Verwalten von Buildberechtigungen
Build, AdministerBuildPermissions

Können die Buildberechtigungen für andere Benutzer verwalten.

Löschen der Builddefinition
Build, DeleteBuildDefinition

Können Builddefinitionen für dieses Projekt löschen.

Löschen von Builds
Build, DeleteBuilds

Ein fertig gestellter Build gelöscht werden. Builds, die gelöscht werden, werden auf der Registerkarte Gelöscht für einen bestimmten Zeitraum aufbewahrt, bevor sie zerstört werden.

Zerstören von Builds
Build, DestroyBuilds

Können einen abgeschlossenen Build permanent löschen.

Buildpipeline
bearbeiten Builddefinition bearbeiten
Build, EditBuildDefinition

Bearbeiten der Buildpipeline Kann alle Änderungen an einer Buildpipeline speichern, einschließlich Konfigurationsvariablen, Triggern, Repositorys und Aufbewahrungsrichtlinien. Verfügbar mit Azure DevOps Services, Azure DevOps Server 2019 1.1 und höheren Versionen. Ersetzt Builddefinition bearbeiten.
Bearbeiten der Builddefinition Kann Builddefinitionen für dieses Projekt erstellen und ändern.

Hinweis

Sie deaktivieren vererbung für eine Builddefinition, wenn Sie Berechtigungen für bestimmte Builddefinitionen steuern möchten.

Wenn die Vererbung auf Ein festgelegt ist, berücksichtigt die Builddefinition die Buildberechtigungen, die auf Projektebene oder einer Gruppe oder einem Benutzer definiert sind. Eine benutzerdefinierte Build Managers-Gruppe hat z. B. die Berechtigung, einen Build für das Projekt Fabrikam manuell in die Warteschlange zu versetzen. In einer Builddefinition mit aktivierter Vererbung für das Projekt Fabrikam erlaubt allen Mitgliedern der Build Managers-Gruppe, einen Build manuell zur Warteschlange hinzuzufügen.

Durch Deaktivieren der Vererbung für Das Projekt Fabrikam können Sie jedoch Berechtigungen festlegen, mit denen Nur Projektadministratoren einen Build für eine bestimmte Builddefinition manuell in die Warteschlange stellen können. Auf diese Weise können Sie spezifische Berechtigungen für diese Builddefinition vergeben.

Bearbeiten der Buildqualität
Build, EditBuildQuality

Kann Informationen zur Qualität des Builds über Team Explorer oder das Webportal hinzufügen.

Verwalten von Buildqualitäten
Build, ManageBuildQualities

Können Buildqualitäten hinzufügen oder entfernen. Gilt nur für XAML-Builds.

Verwalten der Buildwarteschlange
Build, ManageBuildQueue

Builds in der Warteschlange können abgebrochen oder verschoben werden, oder ihre Priorität kann geändert werden. Gilt nur für XAML-Builds.

Überschreiben der Überprüfung des Eincheckens nach Build
Build, OverrideBuildCheckInValidation

Kann einen TFVC-Änderungssatz committen, der sich auf eine gated Builddefinition auswirkt, ohne dass das System ausgelöst wird, dass zuerst die Änderungen verschoben und erstellt werden.

Hinweis

Weisen Sie die Berechtigung** Check-In-Validierung überschreiben nach Build** nur Dienstkonten für Builddienste und Buildadministratoren zu, die für die Qualität des Codes verantwortlich sind. Gilt für TFVC-Gated Check-In-Builds. Dies gilt nicht für PR-Builds. Weitere Informationen finden Sie unter Einchecken in einen Ordner, der durch einen gated Check-In-Buildprozess gesteuert wird.

Warteschlangenbuilds
Build, QueueBuilds

Kann einen Build über die Schnittstelle für Team Foundation Build oder an einer Eingabeaufforderung in die Warteschlange einfügen. Sie können auch die Builds beenden, die sie in die Warteschlange gestellt haben.

Unbegrenzt aufbewahren
Build, RetainIndefinitely

Kann das Aufbewahrungsflag für einen Build auf unbestimmte Zeit umschalten. Dieses Feature markiert einen Build, sodass das System ihn nicht basierend auf einer anwendbaren Aufbewahrungsrichtlinie automatisch löscht.

Beenden von Builds
Build, StopBuilds

Können jeden ausgeführten Build beenden, darunter auch die Builds, die von anderen Benutzern in die Warteschlange gestellt und gestartet werden.

Aktualisieren von Buildinformationen
Build, UpdateBuildInformation

Können Buildinformationsknoten und Informationen zur Qualität eines Builds zum System hinzufügen. Nur an Dienstkonten zuweisen.

Anzeigen der Builddefinition
Build, ViewBuildDefinition

Kann die Builddefinitionen anzeigen, die für das Projekt erstellt wurden.

Anzeigen von Builds
Build, ViewBuilds

Kann die in die Warteschlange eingereihten und abgeschlossenen Builds für dieses Projekt anzeigen.

Git-Repository (Objektebene)

Sie verwalten die Sicherheit jedes Git-Repositorys oder -Branchs über das Webportal, das TF-Befehlszeilentool oder das Befehlszeilentool TFSSecurity. Projektadministratoren werden die meisten dieser Berechtigungen erteilt (die nur für ein Projekt angezeigt werden, das mit einem Git-Repository konfiguriert wurde). Sie können diese Berechtigungen für alle Git-Repositorys oder für ein bestimmtes Git-Repository verwalten.

Dialogfeld

Dialogfeld

Hinweis

Legen Sie Berechtigungen für alle Git-Repositorys fest, indem Sie Änderungen am Git-Repositoryeintrag der obersten Ebene vornehmen. Einzelne Repositorys erben Berechtigungen vom Git-Repositoryeintrag der obersten Ebene. Branches erben Berechtigungen von Zuweisungen, die auf Repositoryebene vorgenommen werden. Standardmäßig verfügen die Lesergruppen auf Projektebene nur über Leseberechtigungen.

Informationen zum Verwalten von Git-Repository- und Branchberechtigungen finden Sie unter Festlegen von Branchberechtigungen.

Berechtigung (UI)

Namespace permission

Beschreibung

Umgehen von Richtlinien beim Abschließen von Pull Requests
GitRepositories, PullRequestBypassPolicy

Kann sich für die Außerkraftsetzung von Branchrichtlinien entscheiden, indem Sie Branchrichtlinien außer Kraft setzen und die Zusammenführung aktivieren , wenn Sie einen PR abschließen.

Hinweis

Umgehen Sie Richtlinien beim Abschließen von Pull Requests und Umgehungsrichtlinien beim Pushen , und ersetzen Sie "Von Richtlinienerzwingung ausgenommen". Gilt für Azure DevOps Server 2019 und höhere Versionen.

Umgehen von Richtlinien beim Pushen

Kann an einen Branch pushen, für den Branchrichtlinien aktiviert sind. Wenn ein Benutzer mit dieser Berechtigung einen Pushvorgang vornimmt, der die Branchrichtlinie außer Kraft setzt, umgeht die Pushrichtlinie automatisch ohne Anmeldeschritt oder Warnung.

Hinweis

Umgehen Sie Richtlinien beim Abschließen von Pull Requests und Umgehungsrichtlinien beim Pushen , und ersetzen Sie "Von Richtlinienerzwingung ausgenommen". Gilt für Azure DevOps Server 2019 und höhere Versionen.

Mitwirken
GitRepositories, GenericContribute

Auf Repositoryebene können ihre Änderungen an vorhandene Branches im Repository pushen und Pull Requests abschließen. Benutzer, denen diese Berechtigung fehlt, aber über die Berechtigung Branch erstellen verfügen, können Änderungen per Push an neue Branches übertragen. Setzt keine Einschränkungen von Branchrichtlinien außer Kraft.

Auf Verzweigungsebene können ihre Änderungen an den Branch übertragen und den Branch sperren. Durch das Sperren eines Branchs wird verhindert, dass dem Branch neue Commits von anderen Benutzern hinzugefügt werden, und andere Benutzer können den vorhandenen Commitverlauf nicht ändern.

Mitwirken an Pull Requests
GitRepositories, PullRequestContribute

Kann Pull Requests erstellen, kommentieren und abstimmen.

Erstellen eines Branchs
GitRepositories, CreateBranch

Kann Branches im Repository erstellen und veröffentlichen. Das Fehlen dieser Berechtigung hindert Benutzer nicht daran, Branches in ihrem lokalen Repository zu erstellen. Sie verhindert lediglich, dass sie lokale Verzweigungen auf dem Server veröffentlichen.

Hinweis

Wenn ein Benutzer einen neuen Branch auf dem Server erstellt, verfügt er standardmäßig über die Berechtigungen "Mitwirken", "Richtlinien bearbeiten", "Push erzwingen", "Berechtigungen verwalten" und "Sperren anderer Benutzer entfernen" für diesen Branch. Dies bedeutet, dass Benutzer dem Repository über ihren Branch neue Commits hinzufügen können.

Erstellen eines Repositorys
GitRepositories, CreateRepository

Kann neue Repositorys erstellen. Diese Berechtigung ist nur im Dialogfeld Sicherheit für das Git-Repositoryobjekt der obersten Ebene verfügbar.

Tag erstellen
GitRepositories, CreateTag

Kann Tags per Push in das Repository übertragen.

Löschen des Repositorys GitRepositories, DeleteRepository

Kann das Repository löschen. Auf der ebene der obersten Ebene von Git-Repositorys kann jedes Repository gelöscht werden.

Bearbeiten von Richtlinien
GitRepositories, EditPolicies

Kann Richtlinien für das Repository und seine Verzweigungen bearbeiten.

Von der Richtlinienerzwingung ausgenommen
GitRepositories, PolicyExempt

Gilt für TFS 2018 Update 2. Kann Branchrichtlinien umgehen und die folgenden zwei Aktionen ausführen:

  • Überschreiben von Branchrichtlinien und vollständigen PRs, die die Branchrichtlinie nicht erfüllen
  • Direktes Pushen an Branches, für die Branchrichtlinien festgelegt sind

Hinweis

In Azure DevOps wird sie durch die folgenden beiden Berechtigungen ersetzt: Umgehen von Richtlinien beim Abschließen von Pull Requests und Umgehungsrichtlinien beim Pushen.

Push erzwingen (Verlauf erneut generieren, Verzweigungen und Tags löschen)
GitRepositories, ForcePush

Kann ein Update für einen Branch erzwingen, einen Branch löschen und den Commitverlauf eines Branchs ändern. Kann Tags und Notizen löschen.

Verwalten von Notizen
GitRepositories, ManageNote

Kann Git-Notizen pushen und bearbeiten.

Verwalten von Berechtigungen
GitRepositories, ManagePermissions

Kann Berechtigungen für das Repository festlegen.

Lesen GitRepositories, GenericRead

Kann den Inhalt des Repositorys klonen, abrufen, pullen und untersuchen.

Entfernen der Sperren anderer Personen
GitRepositories, RemoveOthersLocks

Kann Branchsperren entfernen, die von anderen Benutzern festgelegt wurden. Durch das Sperren eines Branchs wird verhindert, dass dem Branch neue Commits von anderen Benutzern hinzugefügt werden, und andere Benutzer können den vorhandenen Commitverlauf nicht ändern.

Repository umbenennen
GitRepositories, RenameRepository

Kann den Namen des Repositorys ändern. Bei Festlegung auf den Eintrag " Git-Repositorys auf oberster Ebene" kann der Name eines beliebigen Repositorys geändert werden.

TFVC (Objektebene)

Sie verwalten die Sicherheit der einzelnen TFVC-Verzweigungen über das Webportal oder mithilfe des TFSSecurity-Befehlszeilentools. Projektadministratoren werden die meisten dieser Berechtigungen erteilt, die nur für ein Projekt angezeigt werden, das für die Verwendung Team Foundation-Versionskontrolle als Quellcodeverwaltungssystem konfiguriert wurde. In Versionskontrollberechtigungen hat eine explizite Verweigerung Vorrang vor Administratorgruppenberechtigungen.

Diese Berechtigungen werden nur für ein Projektsetup angezeigt, um Team Foundation-Versionskontrolle als Quellcodeverwaltungssystem zu verwenden.

TFVC-Berechtigungsdialogfeld

Bei Versionskontrollberechtigungen hat explizite Ablehnung Vorrang vor Administratorgruppenberechtigungen.

Berechtigung (UI)

Namespace permission

Beschreibung

Bezeichnungen verwalten
VersionControlItems, LabelOther

Können die von anderen Benutzern erstellten Beschriftungen bearbeiten oder löschen.

Einchecken
VersionControlItems, Checkin

Kann Elemente einchecken und alle committeten Änderungssatzkommentare überarbeiten. Ausstehende Änderungen werden beim Einchecken übernommen.

Hinweis

Erwägen Sie, diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die zur Entwicklung des Projekts beitragen; Alle Benutzer, die in der Lage sein sollten, Änderungen einzuchecken und auszuchecken, eine ausstehende Änderung an Elementen in einem Ordner vorzunehmen oder alle committeten Änderungssatzkommentare zu überarbeiten.

Änderungen anderer Benutzer einchecken
VersionControlItems, CheckinOther

Können von anderen Benutzern vorgenommene Änderungen einchecken. Ausstehende Änderungen werden beim Einchecken übernommen.

Änderung in einem Serverarbeitsbereich
VersionControlItems, PendChange

Können Elemente in einem Ordner auschecken und ausstehende Änderungen an den Elementen in einem Ordner vornehmen. Beispiele für ausstehende Änderungen sind u. a. das Hinzufügen, Bearbeiten, Umbenennen, Löschen, Wiederherstellen, Branchen und Zusammenführen einer Datei. Ausstehende Änderungen müssen eingecheckt werden, sodass Benutzer auch die Eincheckberechtigung benötigen, um ihre Änderungen für das Team freizugeben.

Hinweis

Erwägen Sie, diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die zur Entwicklung des Projekts beitragen; Alle Benutzer, die in der Lage sein sollten, Änderungen einzuchecken und auszuchecken, eine ausstehende Änderung an Elementen in einem Ordner vorzunehmen oder alle committeten Änderungssatzkommentare zu überarbeiten.

Bezeichnung
VersionControlItems, Label

Können Elemente beschriften.

Sperren
VersionControlItems, Lock

Können Ordner und Dateien sperren und entsperren. Ein verfolgter Ordner oder eine Datei kann gesperrt oder entsperrt werden, um die Berechtigungen eines Benutzers zu verweigern oder wiederherzustellen. Zu Berechtigungen zählen das Auschecken eines Elements in einen anderen Arbeitsbereich für die Bearbeitung oder das Einchecken von ausstehenden Änderungen eines Elements aus einem anderen Arbeitsbereich. Weitere Informationen finden Sie unter Sperren des Befehls.

Verzweigung verwalten
VersionControlItems, ManageBranch

Kann jeden Ordner unter diesem Pfad in einen Branch konvertieren und auch die folgenden Aktionen für einen Branch ausführen: Bearbeiten der Eigenschaften, erneutes Einfügen und Konvertieren in einen Ordner. Benutzer mit dieser Berechtigung können diese Verzweigung nur verzweigen, wenn sie auch über die Berechtigung Zusammenführen für den Zielpfad verfügen. Benutzer können keine Branches aus einem Branch erstellen, für den sie nicht die Berechtigung Branch verwalten haben.

Verwalten von Berechtigungen
VersionControlItems, AdminProjectRights

Können die Berechtigungen anderer Benutzer für Ordner und Dateien in der Versionskontrolle verwalten.

Hinweis

Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind und private Verzweigungen erstellen müssen, sofern das Projekt nicht restriktiveren Entwicklungsverfahren unterliegt.

Zusammenführen
VersionControlItems, AdminProjectRights

Können Änderungen mit diesem Pfad zusammenführen.

Hinweis

Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die an der Entwicklung dieses Projekts beteiligt sind und Quelldateien zusammenführen müssen, sofern das Projekt nicht restriktiveren Entwicklungsverfahren unterliegt.

Lesen
VersionControlItems, Read

Können den Inhalt einer Datei oder eines Ordners lesen. Benutzer mit der Berechtigung Lesen für einen Ordner können den Inhalt des Ordners und die Eigenschaften der darin enthaltenen Dateien anzeigen. Dies ist auch dann der Fall, wenn der Benutzer nicht über die Berechtigungen zum Öffnen dieser Dateien verfügt.

Änderungen anderer Benutzer überarbeiten
VersionControlItems, ReviseOther

Können die Kommentare zu eingecheckten Dateien bearbeiten, selbst wenn diese von einem anderen Benutzer eingecheckt wurden.

Hinweis

Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die für die Beaufsichtigung oder Überwachung des Projekts zuständig sind und die die Kommentare zu eingecheckten Dateien bearbeiten müssen, auch wenn die betreffende Datei von einem anderen Benutzer eingecheckt wurde.

Änderungen anderer Benutzer rückgängig machen
VersionControlItems, UndoOther

Können von anderen Benutzern vorgenommene ausstehende Änderungen rückgängig machen.

Hinweis

Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die für die Beaufsichtigung oder Überwachung des Projekts zuständig sind und die die Kommentare zu eingecheckten Dateien bearbeiten müssen, auch wenn die betreffende Datei von einem anderen Benutzer eingecheckt wurde.

Änderungen anderer Benutzer entsperren
VersionControlItems, UnlockOther

Können von anderen Benutzern gesperrte Dateien entsperren.

Hinweis

Sie können diese Berechtigungen allen manuell hinzugefügten Benutzern oder Gruppen zuweisen, die für die Beaufsichtigung oder Überwachung des Projekts zuständig sind und die die Kommentare zu eingecheckten Dateien bearbeiten müssen, auch wenn die betreffende Datei von einem anderen Benutzer eingecheckt wurde.

Bereichspfad (Objektebene)

Bereichspfadberechtigungen gewähren oder beschränken den Zugriff auf Verzweigungen der Bereichshierarchie und auf die Arbeitselemente in diesen Bereichen. Sie verwalten die Sicherheit jedes Bereichspfads über das Webportal oder über das Befehlszeilentool TFSSecurity. Bereichsberechtigungen gewähren oder beschränken den Zugriff zum Erstellen und Verwalten von Bereichspfaden sowie zum Erstellen und Ändern von Arbeitselementen, die unter Bereichspfaden definiert sind.

Mitgliedern der Gruppe "Projektadministratoren" werden automatisch Berechtigungen zum Verwalten von Bereichspfaden für ein Projekt erteilt. Erwägen Sie, Teamadministratoren oder Teamleads Berechtigungen zum Erstellen, Bearbeiten oder Löschen von Bereichsknoten zu erteilen.

Hinweis

Mehrere Teams können zu einem Projekt beitragen. In diesem Fall können Sie Teams einrichten, die einem Bereich zugeordnet sind. Berechtigungen für die Arbeitselemente des Teams werden durch Zuweisen von Berechtigungen für den Bereich zugewiesen. Es gibt andere Teameinstellungen , die die agilen Planungstools des Teams konfigurieren.

Dialogfeld

Berechtigung (UI)

Namespace permission

Beschreibung

Erstellen untergeordneter Knoten
CSS, CREATE_CHILDREN

Bereichsknoten können erstellt werden. Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten verfügen, können knoten im untergeordneten Bereich verschieben oder neu anordnen. Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Bereichsknoten löschen, hinzufügen oder umbenennen müssen.

Diesen Knoten löschen
CSS, CREATE_CHILDREN

Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten verfügen, können Bereichsknoten löschen und vorhandene Arbeitselemente aus dem gelöschten Knoten neu klassifizieren. Wenn der gelöschte Knoten über untergeordnete Knoten verfügt, werden diese ebenfalls gelöscht.

Hinweis

Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Bereichsknoten löschen, hinzufügen oder umbenennen müssen.

Diesen Knoten bearbeiten
CSS, CREATE_CHILDREN

Können Berechtigungen für diesen Knoten setzen und Bereichsknoten umbenennen.

Hinweis

Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Bereichsknoten löschen, hinzufügen oder umbenennen müssen.

Bearbeiten von Arbeitselementen in diesem Knoten
CSS, WORK_ITEM_WRITE

Können Arbeitsaufgaben in diesem Bereichsknoten bearbeiten.

Hinweis

Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Arbeitsaufgaben unterhalb des Bereichsknotens bearbeiten müssen.

Verwalten von Testplänen
CSS, MANAGE_TEST_PLANS

Können Testplaneigenschaften wie z. B. Build- und Testeinstellungen ändern.

Hinweis

Erwägen Sie, diese Berechtigung allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die möglicherweise Testpläne oder Testsammlungen unter diesem Bereichsknoten verwalten müssen.

Verwalten von Testsammlungen
CSS, MANAGE_TEST_SUITES

Kann Testsammlungen erstellen und löschen, Testfälle aus Testsammlungen hinzufügen und daraus entfernen, Testkonfigurationen ändern, die Testsammlungen zugeordnet sind, und die Suitehierarchie ändern (Verschieben einer Testsammlung).

Hinweis

Erwägen Sie, diese Berechtigung allen manuell hinzugefügten Benutzern oder Gruppen hinzuzufügen, die möglicherweise Testpläne oder Testsammlungen unter diesem Bereichsknoten verwalten müssen.

Anzeigen von Berechtigungen für diesen Knoten

Kann die Sicherheitseinstellungen für einen Bereichspfadknoten anzeigen.

Anzeigen von Arbeitselementen in diesem Knoten CSS, GENERIC_READ

Können Arbeitsaufgaben in diesem Bereichsknoten zwar anzeigen, aber nicht ändern.

Hinweis

Wenn Sie Arbeitselemente in diesem Knoten anzeigen auf Verweigern festlegen, kann der Benutzer keine Arbeitselemente in diesem Bereichsknoten sehen. Eine Deny-Instanz überschreibt alle impliziten Genehmigungen, auch für Benutzer, die Mitglieder einer administrativen Gruppe sind.

Iterationspfad (Objektebene)

Iterationspfadberechtigungen gewähren oder beschränken den Zugriff zum Erstellen und Verwalten von Iterationspfaden, die auch als Sprints bezeichnet werden.

Sie verwalten die Sicherheit der einzelnen Iterationspfade über das Webportal oder mithilfe des TFSSecurity-Befehlszeilentools.

Mitgliedern der Gruppe Projektadministratoren werden diese Berechtigungen automatisch für jede Iteration erteilt, die für ein Projekt definiert ist. Erwägen Sie, Teamadministratoren, ScrumMaster oder Teamleads Berechtigungen zum Erstellen, Bearbeiten oder Löschen von Iterationsknoten zu erteilen.

Dialogfeld

Berechtigung (UI)

Namespace permission

Beschreibung

Erstellen untergeordneter Knoten
Iteration, CREATE_CHILDREN

Iterationsknoten können erstellt werden. Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten verfügen, können alle untergeordneten Iterationsknoten verschieben oder neu anordnen.

Hinweis

Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Iterationsknoten löschen, hinzufügen oder umbenennen müssen.

Diesen Knoten löschen
Iteration, DELETE

Benutzer, die sowohl über diese Berechtigung als auch über die Berechtigung Diesen Knoten bearbeiten für einen anderen Knoten verfügen, können Iterationsknoten löschen und vorhandene Arbeitselemente aus dem gelöschten Knoten neu klassifizieren. Wenn der gelöschte Knoten über untergeordnete Knoten verfügt, werden diese ebenfalls gelöscht.

Hinweis

Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Iterationsknoten löschen, hinzufügen oder umbenennen müssen.

Diesen Knoten bearbeiten
Iteration, GENERIC_WRITE

Können Berechtigungen für diesen Knoten setzen und Iterationsknoten umbenennen.

Hinweis

Sie können diese Berechtigung an manuell hinzugefügte Benutzer oder Gruppen zuweisen, die Iterationsknoten löschen, hinzufügen oder umbenennen müssen.

Anzeigen von Berechtigungen für diesen Knoten
Iteration, GENERIC_READ

Können die Sicherheitseinstellungen für diesen Knoten anzeigen.

Hinweis

Mitglieder der Project Collection Valid Users, Project Valid Users, or any user or group that has View collection-level information or View project-level information can view permissions of any iteration node.

Arbeitselementabfrage und Abfrageordner (Objektebene)

Sie verwalten Abfrage- und Abfrageordnerberechtigungen über das Webportal. Projektadministratoren werden alle diese Berechtigungen erteilt. Mitwirkende erhalten nur Leseberechtigungen. Vergeben Sie die Mitwirkende-Berechtigungen an Benutzer oder Gruppen, die Arbeitsaufgabenabfragen für das Projekt erstellen und freigeben müssen.

Dialogfeld

Erwägen Sie, benutzern oder Gruppen, die die Möglichkeit zum Erstellen und Freigeben von Arbeitselementabfragen für das Projekt benötigen, die Berechtigung "Mitwirken" zu erteilen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für Abfragen.

Hinweis

Zum Erstellen von Abfragediagrammen benötigen Sie Den Einfachen Zugriff.

Berechtigung (UI)

Namespace permission

Beschreibung

Mitwirken
WorkItemQueryFolders, Contribute

Kann den Abfrageordner anzeigen und ändern oder Abfragen im Ordner speichern.

Delete
WorkItemQueryFolders, Delete

Können eine Abfrage oder einen Abfrageordner und seinen Inhalt löschen.

Berechtigungen verwalten
WorkItemQueryFolders, ManagePermissions

Können die Berechtigungen für diese Abfrage oder den Abfrageordner verwalten.

Lesen
WorkItemQueryFolders, Read

Können die Abfragen in einem Ordner anzeigen und verwenden, jedoch kann der Inhalt der Abfrage oder der Inhalt des Abfrageordners nicht geändert werden.

Übermittlungspläne (Objektebene)

Sie verwalten Planberechtigungen über das Webportal. Sie verwalten die Berechtigungen für jeden Plan über das Dialogfeld "Sicherheit". Projektadministratoren erhalten alle Berechtigungen zum Erstellen, Bearbeiten und Verwalten von Plänen. Gültigen Benutzern wird die Berechtigung Ansicht (schreibgeschützt) gewährt.

Berechtigung (UI)

Namespace permission

Beschreibung

Delete
Plan, Delete

Kann den ausgewählten Plan löschen.

Bearbeiten
Plan, Edit

Kann die konfiguration und einstellungen bearbeiten, die für den ausgewählten Plan definiert sind.

Verwalten
Plan, Manage

Kann die Berechtigungen für den ausgewählten Plan verwalten.

Ansicht
Plan, View

Kann die Listen von Plänen anzeigen, einen Plan öffnen und mit ihm interagieren, aber die Plankonfiguration oder -einstellungen nicht ändern.

Prozess (Objektebene)

Sie können die Berechtigungen für jeden geerbten Prozess verwalten, den Sie über das Webportal erstellen. Sie verwalten Berechtigungen für jeden Prozess über das Dialogfeld Sicherheit. Projektsammlungsadministratoren erhalten alle Berechtigungen zum Erstellen, Bearbeiten und Verwalten von Prozessen. Gültigen Benutzern wird die Berechtigung Ansicht (schreibgeschützt) gewährt.

Berechtigung (UI)

Namespace permission

Beschreibung

Verwalten von Prozessberechtigungen
Process, AdministerProcessPermissions

Kann die Berechtigungen für einen geerbten Prozess festlegen oder ändern.

Löschvorgang
Process, Delete

Kann den geerbten Prozess löschen.

Bearbeitungsprozess
Process, Edit

Kann einen geerbten Prozess aus einem Systemprozess erstellen oder einen geerbten Prozess kopieren oder ändern.

Arbeitsaufgabentags

Sie können Taggingberechtigungen mithilfe von az devops security permission oder den TFSSecurity-Befehlszeilentools verwalten. Mitwirkende können Tags zu Arbeitselementen hinzufügen und diese verwenden, um schnell eine Backlog-, Board- oder Abfrageergebnisansicht zu filtern.

Sie können das Tagging von Berechtigungen mit dem Befehlszeilentool TFSSecurity verwalten. Mitwirkende können Tags zu Arbeitselementen hinzufügen und diese verwenden, um schnell eine Backlog-, Board- oder Abfrageergebnisansicht zu filtern.

Berechtigung (UI)

Namespace permission

Beschreibung


Erstellen einer Tagdefinition
Tagging, Create

Können neue Tags erstellen und zu Arbeitsaufgaben zuweisen. Benutzer ohne diese Berechtigung können nur aus dem vorhandenen Satz von Tags für das Projekt auswählen.

Hinweis

Standardmäßig wird Mitwirkenden die Berechtigung Tagdefinition erstellen zugewiesen. Obwohl die Berechtigung Tagdefinition erstellen in den Sicherheitseinstellungen auf Projektebene angezeigt wird, handelt es sich bei Tagsberechtigungen tatsächlich um Berechtigungen auf Sammlungsebene, die auf Projektebene gelten, wenn sie auf der Benutzeroberfläche angezeigt werden. Wenn Sie bei Verwendung eines Befehlszeilentools Berechtigungen zum Tagging für ein einzelnes Projekt festlegen möchten, müssen Sie die GUID für das Projekt als Teil der Befehlssyntax bereitstellen. Andernfalls gilt Ihre Änderung für die gesamte Sammlung. Denken Sie daran, wenn Sie diese Berechtigungen ändern oder festlegen.

Tagdefinition löschen
Tagging, Delete

Können ein Tag aus der Liste der für dieses Projekt verfügbaren Tags entfernen.

Hinweis

Diese Berechtigung wird auf der Benutzeroberfläche nicht angezeigt. Sie kann nur mithilfe eines Befehlszeilentools festgelegt werden. Es gibt auch keine Benutzeroberfläche zum expliziten Löschen eines Tags. Wenn ein Tag seit 3 Tagen nicht mehr verwendet wird, löscht es das System automatisch.

Tagdefinition aufzählen
Tagging, Enumerate

Kann eine Liste von Tags anzeigen, die für das Arbeitselement innerhalb des Projekts verfügbar sind. Benutzer ohne diese Berechtigung verfügen im Arbeitsaufgabenformular und im Abfrage-Editor über keine Liste verfügbarer Tags.

Hinweis

Diese Berechtigung wird auf der Benutzeroberfläche nicht angezeigt. Sie kann nur mithilfe eines Befehlszeilentools festgelegt werden. Mit Informationen auf Projektebene anzeigen können Benutzer implizit vorhandene Tags anzeigen.

Tagdefinition aktualisieren
Tagging, Update

Können Tags mithilfe der REST-API umbenennen.

Hinweis

Diese Berechtigung wird auf der Benutzeroberfläche nicht angezeigt. Sie kann nur mithilfe eines Befehlszeilentools festgelegt werden.

Release (Objektebene)

Sie verwalten Berechtigungen für jede im Webportal definierte Version. Projekt- und Releaseadministratoren erhalten alle Berechtigungen für die Releaseverwaltung. Diese Berechtigungen können in einem hierarchischen Modell auf Projektebene, für eine bestimmte Releasepipeline oder für eine bestimmte Umgebung in einer Releasepipeline erteilt oder verweigert werden. Innerhalb dieser Hierarchie können Berechtigungen vom übergeordneten Element geerbt oder überschrieben werden.

Gibt Berechtigungen auf Objektebene frei.

Hinweis

Die Gruppe des Releaseadministrators auf Projektebene wird gleichzeitig erstellt, wenn die erste Releasepipeline definiert wird.

Darüber hinaus können Sie genehmigende Personen bestimmten Schritten innerhalb einer Releasepipeline zuweisen, um sicherzustellen, dass die bereitgestellten Anwendungen den Qualitätsstandards entsprechen.

Die folgenden Berechtigungen sind in Release Management definiert. In der Bereichsspalte wird erläutert, ob die Berechtigung auf Projekt-, Releasepipeline- oder Umgebungsebene festgelegt werden kann.

Berechtigung

Beschreibung

Bereiche

Verwalten von Freigabeberechtigungen

Kann eine der anderen hier aufgeführten Berechtigungen ändern.

Projekt, Releasepipeline, Umgebung

Erstellen von Releases

Kann neue Releases erstellen.

Projekt, Releasepipeline

Releasepipeline löschen

Kann Releasepipelines löschen.

Projekt, Releasepipeline

Releaseumgebung löschen

Kann Umgebung(en) in Releasepipelines löschen.

Projekt, Releasepipeline, Umgebung

Releases löschen

Kann Releases für eine Pipeline löschen.

Projekt, Releasepipeline

Releasepipeline bearbeiten

Kann eine Releasepipeline hinzufügen und bearbeiten, einschließlich Konfigurationsvariablen, Triggern, Artefakten und Aufbewahrungsrichtlinien sowie Konfiguration in einer Umgebung der Releasepipeline. Um Änderungen an einer bestimmten Umgebung in einer Releasepipeline vorzunehmen, benötigt der Benutzer auch die Berechtigung Releaseumgebung bearbeiten .

Projekt, Releasepipeline

Bearbeiten der Releaseumgebung

Kann Umgebung(en) in Releasepipelines bearbeiten. Um die Änderungen an der Releasepipeline zu speichern, benötigt der Benutzer auch die Berechtigung Releasepipeline bearbeiten . Diese Berechtigung steuert auch, ob ein Benutzer die Konfiguration in der Umgebung einer bestimmten Releaseinstanz bearbeiten kann. Der Benutzer benötigt auch die Berechtigung Releases verwalten , um die geänderte Version zu speichern.

Projekt, Releasepipeline, Umgebung

Verwalten von Bereitstellungen

Kann eine direkte Bereitstellung eines Releases in einer Umgebung initiieren. Diese Berechtigung gilt nur für direkte Bereitstellungen, die manuell initiiert werden, indem Sie die Aktion Bereitstellen in einem Release auswählen. Wenn die Bedingung für eine Umgebung auf einen beliebigen Typ automatischer Bereitstellung festgelegt ist, initiiert das System die Bereitstellung automatisch, ohne die Berechtigung des Benutzers zu überprüfen, der das Release erstellt hat.

Projekt, Releasepipeline, Umgebung

Verwalten von freigabewilligenden Personen

Kann genehmigende Personen für Umgebungen in Releasepipelines hinzufügen oder bearbeiten. Diese Berechtigung steuert auch, ob ein Benutzer die genehmigenden Personen in der Umgebung einer bestimmten Releaseinstanz bearbeiten kann.

Projekt, Releasepipeline, Umgebung

Verwalten von Releases

Kann eine Releasekonfiguration bearbeiten, z. B. Phasen, genehmigende Personen und Variablen. Um die Konfiguration einer bestimmten Umgebung in einer Releaseinstanz zu bearbeiten, benötigt der Benutzer auch die Berechtigung Releaseumgebung bearbeiten .

Projekt, Releasepipeline

Releasepipeline anzeigen

Kann Releasepipelines anzeigen.

Projekt, Releasepipeline

Versionen anzeigen

Kann Versionen anzeigen, die zu Releasepipelines gehören.

Projekt, Releasepipeline

Standardwerte für alle diese Berechtigungen werden für Teamprojektsammlungen und Projektgruppen festgelegt. Beispielsweise erhalten Projektsammlungsadministratoren, Projektadministratoren und Releaseadministratoren standardmäßig alle oben genannten Berechtigungen. Mitwirkende erhalten alle Berechtigungen mit Ausnahme von Freigabeberechtigungen verwalten. Lesern werden standardmäßig alle Berechtigungen mit Ausnahme von Releasepipeline anzeigen und Versionen anzeigen verweigert.

Aufgabengruppenberechtigungen (Build und Freigabe)

Sie verwalten Berechtigungen für Aufgabengruppen über den Build- und Release-Hub des Webportals. Projekt-, Build- und Releaseadministratoren erhalten alle Berechtigungen. Aufgabengruppenberechtigungen folgen einem hierarchischen Modell. Standardwerte für alle Berechtigungen können auf Projektebene festgelegt und für eine einzelne Aufgabengruppendefinition überschrieben werden.

Sie verwenden Aufgabengruppen, um eine Sequenz von Aufgaben, die bereits in einem Build oder einer Releasedefinition definiert sind, in einer einzelnen wiederverwendbaren Aufgabe zu kapseln. Sie definieren und verwalten Aufgabengruppen auf der Registerkarte Aufgabengruppen des Build- und Release-Hubs .

Berechtigung Beschreibung
Verwalten von Aufgabengruppenberechtigungen Kann Benutzer oder Gruppen zur Aufgabengruppensicherheit hinzufügen und entfernen.
Taskgruppe löschen Kann eine Taskgruppe löschen.
Aufgabengruppe bearbeiten Kann eine Taskgruppe erstellen, ändern oder löschen.

Benachrichtigungen oder Warnungen

Der Verwaltung von E-Mail-Benachrichtigungen oder Warnungen sind keine Benutzeroberflächenberechtigungen zugeordnet. Stattdessen können Sie sie mit az devops security permission oder TFSSecurity-Befehlszeilentools verwalten.

Der Verwaltung von E-Mail-Benachrichtigungen oder Warnungen sind keine Benutzeroberflächenberechtigungen zugeordnet. Stattdessen können Sie sie mit dem Befehlszeilentool TFSSecurity verwalten.

  • Standardmäßig können Mitglieder der Gruppe Mitwirkende auf Projektebene Warnungen für sich selbst abonnieren.
  • Mitglieder der Gruppe Projektsammlungsadministratoren oder Benutzer, die über die Informationen auf Sammlungsebene bearbeiten verfügen, können Warnungen in dieser Sammlung für andere Personen oder für ein Team festlegen.
  • Mitglieder der Gruppe Projektadministratoren oder Benutzer, die über die Informationen auf Projektebene bearbeiten verfügen, können Warnungen in diesem Projekt für andere Personen oder für ein Team festlegen.

Sie können Warnungsberechtigungen mithilfe von TFSSecurity verwalten.

TFSSecurity-Aktion

TFSSecurity-Namespace

Beschreibung

Projektsammlungsadministratoren &
Dienstkonten für Projektauflistung

CREATE_SOAP_SUBSCRIPTION

EventSubscription

Kann ein SOAP-basiertes Webdienst-Abonnement erstellen.

✔️

GENERIC_READ

EventSubscription

Kann Abonnementereignisse anzeigen, die für ein Projekt definiert sind.

✔️

GENERIC_WRITE

EventSubscription

Kann Benachrichtigungen für andere Benutzer oder für ein Team erstellen.

✔️

UNSUBSCRIBE

EventSubscription

Kann ein Eventabonnement stornieren.

✔️