Freigeben über


Verwenden von TFSSecurity zum Verwalten von Gruppen und Berechtigungen für Azure DevOps

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Sie können das TFSSecurity-Befehlszeilentool verwenden, um Gruppen und Benutzer in Azure DevOps Server zu erstellen, zu ändern und zu löschen und zusätzlich Berechtigungen für Gruppen und Benutzer zu ändern. Informationen zum Ausführen dieser Aufgaben in der Benutzeroberfläche finden Sie unter Hinzufügen von Benutzern oder Gruppen zu einem Projekt.

Wichtig

Das TFSSecurity-Befehlszeilentool ist für die Verwendung mit Azure DevOps Services veraltet. TFSSecurity funktioniert zwar für einige Azure DevOps Services Szenarien, wird jedoch nicht unterstützt. Die empfohlene Methode zum Ändern von Sicherheitsgruppen und Berechtigungen für Azure DevOps Services ist entweder die Verwendung des Webportals, der Befehlszeilentools az devops security oder az devops permission oder der Rest-API für Sicherheit.

Speicherort des Befehlszeilentools

Azure DevOps-Befehlszeilentools werden im Verzeichnis /Tools eines Azure DevOps-Anwendungsebenenservers installiert.

  • Azure DevOps Server 2020:%programfiles%\Azure DevOps Server 2020\Tools
  • Azure DevOps Server 2019: %programfiles%\Azure DevOps Server 2019\Tools
  • TFS 2018: %programfiles%\Microsoft Team Foundation Server 2018\Tools
  • TFS 2017: %programfiles%\Microsoft Team Foundation Server 15.0\Tools
  • TFS 2015: %programfiles%\Microsoft Team Foundation Server 14.0\Tools
  • TFS 2013: %programfiles%\Microsoft Team Foundation Server 12.0\Tools
  • TFS 2012: %programfiles%\Microsoft Team Foundation Server 11.0\Tools
  • TFS 2010: %programfiles%\Microsoft Team Foundation Server 2010\Tools

Hinweis

Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.

Berechtigungen

/a+: Berechtigungen hinzufügen

Verwenden Sie /a+ , um Berechtigungen für einen Benutzer oder eine Gruppe in einer Gruppe auf Server-, Sammlungs- oder Projektebene hinzuzufügen. Informationen zum Hinzufügen von Benutzern zu Gruppen über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /a+ verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, muss die Berechtigung Informationen auf Projektebene bearbeiten für das Projekt auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.

Parameter

Argument BESCHREIBUNG
Namespace Der Namespace, der die Gruppe enthält, der Sie Berechtigungen für einen Benutzer oder eine Gruppe hinzufügen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen.
Identität Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
  • ERMÖGLICHEN
    Die Gruppe oder der Benutzer kann den vorgang ausführen, den die Aktion angibt.
  • DENY
    Die Gruppe oder der Benutzer kann den vorgang nicht ausführen, den die Aktion angibt.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.

Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer ausführen darf.

Beispiel: Anzeigen verfügbarer Namespaces

Im folgenden Beispiel wird angezeigt, welche Namespaces auf Serverebene für den Anwendungsebenenserver mit dem Namen ADatumCorporation verfügbar sind.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /a /server:ServerURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Beispiel: Anzeigen verfügbarer Aktionen

Im folgenden Beispiel wird angezeigt, welche Aktionen für den Namespace auf Serverebene auf Sammlungsebene verfügbar sind.

tfssecurity /a Server /collection:CollectionURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Beispiel: Zuweisen einer berechtigung auf instance ebene

Im folgenden Beispiel wird der Instance der ADatumCorporation-Bereitstellung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) die Berechtigung View instance-Ebene erteilt.

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
      [+] GenericRead                        DATUM1\jpeoples

    Done.

Beispiel: Zuweisen einer Berechtigung auf Sammlungsebene

Im folgenden Beispiel wird der Auflistungsebene Anzeigen von Informationen auf Sammlungsebene der Collection0-Projektsammlung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) die Berechtigung erteilt.

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts
      [+] GenericRead                        DATUM1\jpeoples

    Done.

/a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe

Verwenden Sie den Befehl /a- , um einen Benutzer oder eine Gruppe aus der Mitgliedschaft in einer Gruppe auf Server-, Sammlungs- oder Projektebene zu entfernen. Informationen zum Entfernen von Benutzern aus Gruppen aus dem Webportal finden Sie unter Entfernen von Benutzerkonten.

tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]

Voraussetzungen

Um den Befehl /a- verwenden zu können, müssen Sie die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt haben, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, muss die Berechtigung Informationen auf Projektebene bearbeiten für das Projekt auf Zulassen festgelegt sein.

Parameter

Argument BESCHREIBUNG
Namespace Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe entfernen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen.
Identität Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
  • ERMÖGLICHEN
    Die Gruppe oder der Benutzer kann den vorgang ausführen, den die Aktion angibt.
  • DENY
    Die Gruppe oder der Benutzer kann den vorgang nicht ausführen, den die Aktion angibt.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.

Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.

Beispiel: Anzeigen von Namespaces auf Serverebene

Das folgende Beispiel zeigt, welche Namespaces auf der Serverebene für den Anwendungsebenenserver "ADatumCorporation" verfügbar sind.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /a /server:ServerURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Beispiel: Anzeigen verfügbarer Aktionen auf Sammlungsebene

Im folgenden Beispiel wird angezeigt, welche Aktionen für den Servernamespace auf Sammlungsebene verfügbar sind.

tfssecurity /a Server /collection:CollectionURL 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Beispiel: Entfernen einer berechtigung auf instance ebene

Im folgenden Beispiel wird die Berechtigung Ansicht instance auf Serverebene für die ADatumCorporation-Bereitstellung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.

tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators

    Done.

Beispiel: Entfernen einer Berechtigung auf Sammlungsebene

Im folgenden Beispiel wird die Berechtigung Ansichtsinformationen auf Sammlungsebene für die Collection0-Projektsammlung für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts

    Done.

/acl: Anzeigen der Zugriffssteuerungsliste

Verwenden Sie /acl , um die Zugriffssteuerungsliste anzuzeigen, die für ein bestimmtes Objekt gilt.

tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /acl verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder Instance-Ebene anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den /collection- oder /server-Parameter verwenden. Weitere Informationen finden Sie unter Berechtigungsreferenz für Azure DevOps Server.

Parameter

Argument BESCHREIBUNG
Namespace Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe anzeigen möchten.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.

Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.

Beispiel: Auflisten von ACL-Zuweisungen zu einem Namespace auf Serverebene

Im folgenden Beispiel wird angezeigt, welche Benutzer und Gruppen zugriff auf das Token FrameworkGlobalSecurity im Servernamespace innerhalb der ADatumCorporation-Bereitstellung haben.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL 

Beispielausgabe:

	TFSSecurity - Team Foundation Server Security Tool
	Copyright (c) Microsoft Corporation.  All rights reserved.
	The target Team Foundation Server is http://ADatumCorporation:8080/.
	Retrieving the access control list for object "Server"...

	Effective ACL on object "FrameworkGlobalSecurity":
	  [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
	  [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
	  [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
	  [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
	  [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
	  [+] GenericRead                        DATUM1\jpeoples

	Done.

Gruppen

/g: Auflisten der Gruppen

Verwenden Sie /g, um die Gruppen in einem Projekt, in einer Projektsammlung oder über Azure DevOps Server hinweg auflisten.

tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /g verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf Instance ebene anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den /collection- oder /server-Parameter verwenden. Um den Befehl /g im Bereich eines einzelnen Projekts verwenden zu können, muss die Berechtigung Informationen auf Projektebene anzeigen auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.

Parameter

Argument BESCHREIBUNG
scope Optional. Gibt den URI des Projekts an, für das Gruppen angezeigt werden sollen. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Eintrag für URL.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.

Der Befehl /g des TFSSecurity-Befehlszeilenprogramms zeigt Informationen zu jeder Gruppe innerhalb des ausgewählten Bereichs an. Dieser Bereich kann die Projektsammlung (/server) oder der Anwendungsebenenserver (/instance) sein. Wenn sie mit dem Bereich eines Projekts verwendet wird, werden nur Informationen zu den Gruppen angezeigt, die diesem Projekt zugeordnet sind.

Beispiel: Anzeigen von Gruppeninformationen auf Sammlungsebene

Im folgenden Beispiel werden Informationen für alle Gruppen innerhalb einer Projektauflistung angezeigt.

tfssecurity /g /collection:CollectionURL

/g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe

Verwenden Sie /g+ , um einer vorhandenen Gruppe einen Benutzer oder eine andere Gruppe hinzuzufügen.

tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /g+ verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen auf instance Ebene anzeigen und Informationen auf instance Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
groupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
memberIdentity Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.

Sie können einer vorhandenen Gruppe auch Mithilfe von Team Explorer Benutzer und Gruppen hinzufügen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

Beispiel: Hinzufügen eines Benutzers zu einer Gruppe auf Serverebene

Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) der Gruppe "Team Foundation-Administratoren" hinzugefügt.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    4 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/g-: Entfernen eines Benutzers oder einer Gruppe

Verwenden Sie /g- , um einen Benutzer oder eine Benutzergruppe aus einer vorhandenen Gruppe zu entfernen.

tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /g- verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen instance anzeigen und Informationen auf instance-Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
groupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
memberIdentity Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.

Sie können einer vorhandenen Gruppe auch Mithilfe von Team Explorer Benutzer und Gruppen hinzufügen. Weitere Informationen finden Sie unter Entfernen von Benutzern aus einer Projektgruppe oder Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

Beispiel: Entfernen eines Benutzers aus einer Gruppe auf Serverebene

Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) aus der Gruppe "Team Foundation-Administratoren" entfernt.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    3 member(s):
      [U] Datum1\hholt (Holly Holt)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/gc: Erstellen einer Gruppe auf Projektebene

Verwenden Sie /gc an einer Eingabeaufforderung, um eine Gruppe auf Projektebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Projektebene über die Benutzeroberfläche finden Sie unter Verwalten von Benutzern oder Gruppen.

tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]

Voraussetzungen

Um den Befehl /gc verwenden zu können, muss die Berechtigung Project-Level Informationen bearbeiten für dieses Projekt auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
`Scope` Der URI des Projekts, dem Sie eine Gruppe auf Projektebene hinzufügen möchten. Um den URI für ein Projekt zu erhalten, stellen Sie eine Verbindung mit dem Projekt her, und öffnen Sie Team Explorer, zeigen Sie auf den Namen des Projekts in der Startseite, und lesen Sie die Adresse. Alternativ können Sie in Web Access eine Verbindung mit dem Projekt herstellen und die URL kopieren.
GroupName Der Name der neuen Gruppe.
Groupdescription Eine Beschreibung der Projektgruppe. Optional.
/collection :CollectionURL Die URL der Projektauflistung. Erforderlich. Die Gruppe wird innerhalb der Projektauflistung erstellt. Das Format für die URL ist http:// ServerName : Port / VirtualDirectoryName / CollectionName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.

Eine Gruppe auf Projektebene ist eine Sicherheitsgruppe für Ihr Projekt. Mithilfe von Projektgruppen können Sie Lese-, Schreib- und Administratorberechtigungen gewähren, die die Sicherheitsanforderungen Ihrer Organisation erfüllen.

Beispiel: Hinzufügen einer Sicherheitsgruppe zu einem Projekt

Im folgenden Beispiel wird eine Gruppe erstellt, die spezifisch für das vom URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000" angegebene Projekt ist. Die Gruppe hat den Namen "Test Group" und die Beschreibung "This group is for testing."

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

Sie müssen die Platzhalter-GUID durch den URI des Projekts ersetzen, für das Sie diese Gruppe erstellen möchten. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Wert der URL-Eigenschaft.

Nachdem Sie den Befehl ausgeführt haben, können Sie die Gruppe in Team Explorer überprüfen. Klicken Sie mit der rechten Maustaste auf das Projekt, das Sie im Befehl verwendet haben, klicken Sie auf Projekteinstellungen, und klicken Sie dann auf Gruppenmitgliedschaften. Im Dialogfeld Projektgruppen in Teamprojektname enthält die Liste Gruppen den Eintrag "Test Group".

Hinweis

Sie können den Befehl /gc verwenden, um Gruppen zu erstellen, aber nicht, um den Gruppen Benutzer hinzuzufügen oder Berechtigungen zuzuweisen. Informationen zum Ändern der Mitgliedschaft der Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.

tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL

/gcg: Erstellen eines Servers oder einer Gruppe auf Sammlungsebene

Verwenden Sie den Befehl /gcg , um eine Gruppe auf Server- oder Sammlungsebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Sammlungsebene über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`

Voraussetzungen

Um den Befehl /gcg verwenden zu können, muss die Berechtigung Informationen auf Projektebene bearbeiten für dieses Projekt auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
GroupName Der Gruppenname.
Groupdescription Eine Beschreibung der Gruppe. Optional.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Anwendungsschichtserver für Azure DevOps aus.

Gruppen auf Serverebene werden direkt auf der Anwendungsebene erstellt und gelten für alle Projektsammlungen. Sammlungsebene wird auf Projektsammlungsebene erstellt. Sie gelten für diese Sammlung und haben Auswirkungen auf alle Projekte innerhalb der Sammlung. Im Gegensatz dazu gelten Projektgruppen für ein bestimmtes Projekt innerhalb einer Auflistung, aber nicht für andere Projekte in dieser Auflistung. Sie können Gruppen auf Serverebene Berechtigungen zuweisen, damit Mitglieder dieser Gruppen Aufgaben in Azure DevOps Server selbst ausführen können, z. B. das Erstellen von Projektsammlungen. Sie können Gruppen auf Sammlungsebene Berechtigungen zuweisen, damit Mitglieder dieser Gruppen Aufgaben in einer Projektsammlung ausführen können, z. B. das Verwalten von Benutzern.

Hinweis

Sie können den Befehl /gcg verwenden, um Gruppen zu erstellen, aber Sie können ihn nicht verwenden, um den Gruppen Benutzer hinzuzufügen oder Berechtigungen zuzuweisen. Informationen zum Ändern der Mitgliedschaft einer Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.

Beispiel: Hinzufügen einer Sicherheitsgruppe auf Sammlungsebene

Im folgenden Beispiel wird eine Gruppe auf Auflistungsebene mit dem Namen "Datum Testers" mit der Beschreibung "A. Datum Corporation Testers."

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL

Im folgenden Beispiel wird eine Gruppe auf Serverebene mit dem Namen "Datum Auditoren" mit der Beschreibung "A" erstellt. Datum Corporation Auditoren."

tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL

/gd: Löschen einer Gruppe auf Server- oder Sammlungsebene

Verwenden Sie /gd , um eine Gruppe auf Server- oder Sammlungsebene zu löschen.

tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /gd verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen auf instance-Ebene anzeigen und Informationen auf instance-Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
groupIdentity Gibt die Gruppenidentität an.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus. Informationen zum Ändern von Berechtigungen über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.

Beispiel: Löschen einer Sicherheitsgruppe auf Sammlungsebene

Im folgenden Beispiel wird eine Gruppe aus der Projektauflistung gelöscht. Die Gruppe wird durch "S-1-5-21-2127521184-1604012920-1887927527-588340", dem Sicherheitsbezeichner (SID) identifiziert. Weitere Informationen zum Suchen der SID einer Gruppe finden Sie unter /im: Anzeigen von Informationen zu Identitäten, die eine direkte Mitgliedschaft bilden. Sie können auch den Anzeigenamen verwenden, um eine Gruppe zu löschen.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL

/gud: Ändern der Beschreibung für einen Server oder eine Gruppe auf Sammlungsebene

Verwenden Sie /gud , um die Beschreibung für eine Gruppe auf Server- oder Sammlungsebene zu ändern.

tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /gud verwenden zu können, muss die Berechtigung Informationen auf Projektebene bearbeiten auf Zulassen festgelegt sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
GroupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
Groupdescription Gibt die neue Beschreibung für die Gruppe an.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.

Beispiel: Hinzufügen einer Beschreibung zu einer Sicherheitsgruppe

Im folgenden Beispiel wird die Beschreibung "Die Mitglieder dieser Gruppe testen den Code für dieses Projekt" der Gruppe "Datum testers" zugeordnet.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL

/gun: Umbenennen einer Gruppe

Verwenden Sie /gun , um eine Gruppe auf Server- oder Sammlungsebene umzubenennen.

tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /gun verwenden zu können, müssen die Berechtigungen Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder Informationen auf instance-Ebene anzeigen und Informationen auf instance-Ebene bearbeiten auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
GroupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
GroupName Gibt den neuen Namen der Gruppe an.
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.

Beispiel: Umbenennen einer Sicherheitsgruppe

Im folgenden Beispiel wird die Gruppe auf Sammlungsebene in "A" umbenannt. Datum Corporation Testers" auf "A. Datum Corporation Test Engineers."

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL

Identitäten und Mitgliedschaft

/i: Anzeigen von Identitätsinformationen für eine angegebene Gruppe

Verwenden Sie /i, um Identitätsinformationen für eine angegebene Gruppe in einer Bereitstellung von Azure DevOps Server anzuzeigen.

tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /i verwenden zu können, muss die Berechtigung Informationen auf Sammlungsebene anzeigen oder die Berechtigung Informationen auf Instance anzeigen auf Zulassen festgelegt sein, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
Identität Die Identität des Benutzers oder der Anwendungsgruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.

Der Befehl /i des TFSSecurity-Befehlszeilenprogramms zeigt Informationen zu jeder Gruppe innerhalb der Projektsammlung (/server) oder des Anwendungsebenenservers (/instance) an. Es werden keine Mitgliedschaftsinformationen angezeigt.

Beispiel: Auflisten von Identitätsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Team Foundation-Administratoren" angezeigt.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /i "Team Foundation Administrators" /server:ServerURL 

Beispielausgabe:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: Team Foundation Administrators
      Description: Members of this application group can perform all privileged operations on the server.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektsammlungsadministratoren mithilfe des identitätsbezeichners adm: angezeigt.

tfssecurity /i adm: /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [DatumOne]\Project Collection Administrators
      Description: Members of this application group can perform all privileged operations on the project collection.

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektadministratoren für das Projekt "Datum" mithilfe des identitätsbezeichners adm: angezeigt.

tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Datum
     Display name: [Datum]\Project Administrators
      Description: Members of this application group can perform all operations in the project.

/im: Anzeigen von Informationen zu Identitäten, die eine direkte Mitgliedschaft bilden

Verwenden Sie /im , um Informationen zu den Identitäten anzuzeigen, aus denen die direkte Mitgliedschaft einer gruppe besteht, die Sie angeben.

tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /im verwenden zu können, müssen Sie die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt haben, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
Identität Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.

Der / im-Befehl von TFSSecurity zeigt nur die direkten Mitglieder der angegebenen Gruppe an. Diese Liste umfasst weitere Gruppen, die Mitglieder der angegebenen Gruppe sind. Die tatsächlichen Mitglieder der Mitgliedsgruppen werden jedoch nicht aufgelistet.

Beispiel: Anzeigen von Mitgliedschaftsidentitäten für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen zu direkten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /im "Team Foundation Administrators" /server:ServerURL

Beispielausgabe:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    3 member(s):
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektsammlungsadministratoren in der Projektauflistung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /im adm: /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    5 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)

    Done.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektadministratoren für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

/imx: Anzeigen von Informationen zu den Identitäten der erweiterten Mitgliedschaft

Verwenden Sie /imx , um Informationen zu den Identitäten anzuzeigen, aus denen die erweiterte Mitgliedschaft einer angegebenen Gruppe besteht.

tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /imx verwenden zu können, müssen Sie die Berechtigung Informationen auf Sammlungsebene anzeigen oder Informationen auf instance-Ebene anzeigen auf Zulassen festgelegt haben, je nachdem, ob Sie den Parameter /collection bzw. /server verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Parameter

Argument BESCHREIBUNG
Identität Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf einem Server auf Anwendungsebene für Azure DevOps aus.

Der Befehl /imx von TFSSecurity zeigt nur die erweiterten Mitglieder der angegebenen Gruppe an. Diese Liste enthält nicht nur andere Gruppen, die Elemente der angegebenen Gruppe sind, sondern auch Elemente der Elementgruppen.

Beispiel: Anzeigen erweiterter Mitgliedschaftsinformationen für eine Sicherheitsgruppe

Im folgenden Beispiel werden Identitätsinformationen zu erweiterten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /imx "Team Foundation Administrators" /server:ServerURL

Beispielausgabe:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    10 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [U] Datum1\tommyh (Tommy Hartono)
      [U] Datum1\henriea (Henriette Andersen)
      [U] Datum1\djayne (Darcy Jayne)
      [U] Datum1\aprilr (April Reagan)
      [G] Datum1\InfoSec Secure Environment
      [U] Datum1\nbento (Nuno Bento)
      [U] Datum1\cristp (Cristian Petculescu)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 3 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektsammlungsadministratoren in der Projektauflistung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /imx adm: /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    6 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [InstanceName]\Team Foundation Service Accounts
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners

Im folgenden Beispiel werden Identitätsinformationen für die Gruppe Projektadministratoren für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" des fiktiven Unternehmens "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.

tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Beispielausgabe:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 2 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Weitere Informationen zu den Ausgabespezifizierern, z. B. [G] und [U], finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .

/m: Überprüfen der expliziten und impliziten Gruppenmitgliedschaft

Verwenden Sie /m , um explizite und implizite Gruppenmitgliedschaftsinformationen für eine angegebene Gruppe oder einen angegebenen Benutzer zu überprüfen.

tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]

Voraussetzungen

Um den Befehl /m verwenden zu können, müssen Sie Mitglied der Sicherheitsgruppe Team Foundation-Administratoren sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.

Hinweis

Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.

Parameter

Argument BESCHREIBUNG
GroupIdentity Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
MemberIdentity Gibt die Mitgliedsidentität an. Standardmäßig ist der Wert dieses Arguments die Identität des Benutzers, der den Befehl ausführt. Weitere Informationen zu gültigen Identitätsspezifizierern finden Sie weiter unten in diesem Artikel unter Identitätsspezifizierer .
/collection :CollectionURL Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName

Hinweise

Führen Sie diesen Befehl auf dem lokalen Computer der Anwendungsebene aus.

Der Befehl /m des TFSSecurity-Befehlszeilenprogramms überprüft sowohl direkte als auch erweiterte Mitgliedschaften.

Beispiel: Überprüfen der Mitgliedschaft eines Benutzers in einer Sicherheitsgruppe

Im folgenden Beispiel wird überprüft, ob der Benutzer "Datum1\jpeoples" zur Gruppe Team Foundation-Administratoren auf Serverebene gehört.

Hinweis

Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.

tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Beispielausgabe:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Checking group membership...

    John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.

    Done.

Sicherheitsnamespaces

Hinweis

Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Namespaces können sich im Laufe der Zeit ändern. Um die neueste Liste der Namespaces abzurufen, verwenden Sie eines der Befehlszeilentools oder die REST-API. Einige Namespaces sind veraltet. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz.

Identitätsspezifizierer

Sie können auf eine Identität verweisen, indem Sie eine der Notationen in der folgenden Tabelle verwenden.

Identitätsbezeichner BESCHREIBUNG Beispiel
Sid: Sid. Verweist auf die Identität, die über die angegebene Sicherheits-ID (SID) verfügt. sid:S-1-5-21-2127521184-1604012920-1887927527-588340
n:[D omain]Name Verweist auf die Identität mit dem angegebenen Namen. Für Windows ist Name der Kontoname. Wenn sich die Identität, auf die verwiesen wird, in einer Domäne befindet, ist der Domänenname erforderlich. Für Anwendungsgruppen ist Name der Anzeigename der Gruppe, und Domäne ist der URI oder die GUID des enthaltenden Projekts. Wenn Domäne in diesem Kontext ausgelassen wird, wird davon ausgegangen, dass sich der Bereich auf der Sammlungsebene befindet. Auf die Identität des Benutzers "John Peoples" in der Domäne "Datum1" bei der fiktiven Firma "A. Datum Corporation:"

n:DATUM1\jpeoples

So verweisen Sie auf Anwendungsgruppen:

n:"Vollzeitbeschäftigte"

n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors
adm:[Bereich] Verweist auf die administrative Anwendungsgruppe für den Bereich, z. B. "Team Foundation-Administratoren" für die Serverebene oder "Projektsammlungsadministratoren" auf Sammlungsebene. Der optionale Parameter Scope ist ein Projekt-URI oder eine URL, einschließlich seiner GUID und Verbindungszeichenfolge. Wenn der Bereich ausgelassen wird, wird der Server- oder Sammlungsbereich basierend darauf angenommen, ob der /instance- oder /server-Parameter verwendet wird. In beiden Fällen ist der Doppelpunkt weiterhin erforderlich. adm:vstfs:///Classification/TeamProject/ GUID
Srv: Verweist auf die Anwendungsgruppe für Dienstkonten. Nicht zutreffend
Alle: Verweist auf alle Gruppen und Identitäten. Nicht zutreffend
String Verweist auf eine nicht qualifizierte Zeichenfolge. Wenn String mit S-1- beginnt, wird es als SID identifiziert. Wenn String mit CN= oder LDAP:// beginnt, wird es als distinguished Name identifiziert. Andernfalls wird String als Name identifiziert. "Teamtester"

Typmarker

Die folgenden Marker werden verwendet, um Typen von Identitäten und ACEs in Ausgabemeldungen zu identifizieren.

Identitätstypmarker

Identitätstypmarker Beschreibung
U Windows-Benutzer.
G Windows-Gruppe.
A Azure DevOps Server Anwendungsgruppe.
a [ A ] Administrative Anwendungsgruppe.
s [ A ] Dienstkontoanwendungsgruppe.
X Die Identität ist ungültig.
? Die Identität ist unbekannt.

Zugriffssteuerungsmarker

Zugriffssteuerungsmarker BESCHREIBUNG
+ ALLOW-Zugriffssteuerungseintrag.
- DENY-Zugriffssteuerungseintrag.
* [] Geerbter Zugriffssteuerungseintrag.