Verwenden von TFSSecurity zum Verwalten von Gruppen und Berechtigungen für Azure DevOps
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018
Sie können das Befehlszeilentool TFSSecurity verwenden, um Gruppen und Benutzer in Azure DevOps Server zu erstellen, zu ändern und darüber hinaus Berechtigungen für Gruppen und Benutzer zu ändern. Informationen zum Ausführen dieser Aufgaben auf der Benutzeroberfläche finden Sie unter Hinzufügen von Benutzern oder Gruppen zu einem Projekt.
Wichtig
Das Befehlszeilentool TFSSecurity wurde für die Verwendung mit Azure DevOps Services veraltet. Während TFSSecurity für einige Azure DevOps Services Szenarien funktioniert, wird sie nicht unterstützt. Die empfohlene Methode zum Vornehmen von Änderungen an Sicherheitsgruppen und Berechtigungen für Azure DevOps Services verwendet entweder das Webportal, die az devops-Sicherheit oder az devops-Berechtigungs-Befehlszeilentools oder die Security REST-API.
Befehlszeilentoolspeicherort
Azure DevOps-Befehlszeilentools werden im Verzeichnis "/Tools" eines Azure DevOps-Anwendungsservers installiert.
- Azure DevOps Server 2020:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Hinweis
Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.
Berechtigungen
/a+: Berechtigungen hinzufügen
Verwenden Sie /a+ zum Hinzufügen von Berechtigungen für einen Benutzer oder eine Gruppe in einer Gruppe auf Serverebene, Auflistungsebene oder Projektebene. Informationen zum Hinzufügen von Benutzern zu Gruppen aus dem Webportal finden Sie unter "Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene".
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/a+ " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, müssen Sie auch über die Berechtigung "Projektebene bearbeiten" verfügen, damit das Projekt auf "Zulassen" festgelegt ist. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, der Sie Berechtigungen für einen Benutzer oder eine Gruppe hinzufügen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen. |
| Identity | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
|
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer ausführen darf.
Beispiel: Anzeigen verfügbarer Namespaces
Im folgenden Beispiel wird angezeigt, welche Namespaces auf Serverebene für den Anwendungsebenenserver verfügbar sind, der mit dem Namen ADatumCorporation bezeichnet wird.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /a /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Beispiel: Anzeigen verfügbarer Aktionen
Im folgenden Beispiel wird angezeigt, welche Aktionen für den Namespace auf Serverebene auf Sammlungsebene verfügbar sind.
tfssecurity /a Server /collection:CollectionURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Beispiel: Zuweisen einer Berechtigung auf Instanzebene
Im folgenden Beispiel wird die Informationsberechtigung auf Serverebene für die ADatumCorporation-Bereitstellung für den Domänenbenutzer John Peoples (Datum1\jpeoples) gewährt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Beispiel: Zuweisen einer Berechtigung auf Sammlungsebene
Im folgenden Beispiel wird die Informationsberechtigung auf Sammlungsebene für die Sammlung0-Projektsammlung für Domänenbenutzer John Peoples (Datum1\jpeoples) erteilt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe
Verwenden Sie den Befehl "/a" , um einen Benutzer oder eine Gruppe aus der Mitgliedschaft in einer Gruppe auf Serverebene, Auflistungsebene oder Projektebene zu entfernen. Informationen zum Entfernen von Benutzern aus Gruppen aus dem Webportal finden Sie unter "Entfernen von Benutzerkonten".
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Voraussetzungen
Um den Befehl "/a- " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, müssen Sie auch über die Berechtigung "Projektebene bearbeiten" verfügen, damit das Projekt auf "Zulassen" festgelegt ist.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe entfernen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Auflistungs- und Projektebene anzuzeigen. |
| Identity | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
|
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.
Beispiel: Anzeigen von Namespaces auf Serverebene
Das folgende Beispiel zeigt, welche Namespaces auf der Serverebene für den Anwendungsebenenserver "ADatumCorporation" verfügbar sind.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /a /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Beispiel: Anzeigen verfügbarer Aktionen auf Sammlungsebene
Im folgenden Beispiel wird angezeigt, welche Aktionen für den Servernamespace auf Auflistungsebene verfügbar sind.
tfssecurity /a Server /collection:CollectionURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Beispiel: Entfernen einer Instanzebenenberechtigung
Im folgenden Beispiel wird die Berechtigung der Serverebeneninformationen auf Instanzebene für die ADatumCorporation-Bereitstellung für den Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Beispiel: Entfernen einer Berechtigung auf Auflistungsebene
Im folgenden Beispiel wird die Berechtigung "Auflistungsebene "-Ansichtsinformationen für die Auflistung0-Projektsammlung für den Domänenbenutzer John Peoples (Datum1\jpeoples) entfernt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Anzeigen der Zugriffssteuerungsliste
Verwenden Sie /acl , um die Zugriffssteuerungsliste anzuzeigen, die für ein bestimmtes Objekt gilt.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/acl " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder die Berechtigung " Informationen auf Instanzebene anzeigen " verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Berechtigungsreferenz für Azure DevOps Server.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe anzeigen möchten. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Bei Zugriffssteuerungseinträgen handelt es sich um Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, ein Dienst oder Computer auf einem bestimmten Computer oder Server ausführen darf.
Beispiel: Auflisten von ACL-Zuordnungen zu einem Sever-Level-Namespace
Im folgenden Beispiel wird angezeigt, welche Benutzer und Gruppen Zugriff auf das FrameworkGlobalSecurity-Token im Servernamespace innerhalb der ADatumCorporation-Bereitstellung haben.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Gruppen
/g: Auflisten der Gruppen
Verwenden Sie /g, um die Gruppen in einem Projekt, in einer Projektsammlung oder in Azure DevOps Server auflisten.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl " /g " zu verwenden, müssen Sie über die Informationen auf Auflistungsebene oder die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Um den Befehl "/g" im Bereich eines einzelnen Projekts zu verwenden, müssen Sie die Berechtigung " Projektebene anzeigen" auf "Zulassen" festlegen. Weitere Informationen finden Sie unter "Berechtigungs- und Gruppenreferenz".
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| scope | Optional. Gibt den URI des Projekts an, für den Gruppen angezeigt werden sollen. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Eintrag für DIE URL. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl "/g " des Befehlszeilenprogramms TFSSecurity zeigt Informationen zu jeder Gruppe innerhalb des ausgewählten Bereichs an. Dieser Bereich kann die Projektsammlung (/server) oder der Anwendungsebenenserver (/instanz) sein. Wenn sie mit dem Umfang eines Projekts verwendet wird, werden nur Informationen zu den Gruppen angezeigt, die diesem Projekt zugeordnet sind.
Beispiel: Anzeigen von Gruppeninformationen auf Sammlungsebene
Im folgenden Beispiel werden Informationen für alle Gruppen in einer Projektsammlung angezeigt.
tfssecurity /g /collection:CollectionURL
/g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe
Verwenden Sie /g+ , um einem Benutzer oder einer anderen Gruppe eine vorhandene Gruppe hinzuzufügen.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /g+ zu verwenden, müssen Sie die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder die Berechtigungen auf Instanzebene auf Instanzebene bearbeiten, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.
Parameter
| Argument | Beschreibung |
|---|---|
| groupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen. |
| memberIdentity | Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Sie können auch Benutzer und Gruppen zu einer vorhandenen Gruppe mithilfe des Team-Explorers hinzufügen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Beispiel: Hinzufügen eines Benutzers zu einer Serverebenengruppe
Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) der Gruppe "Team Foundation-Administratoren" hinzugefügt.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Entfernen eines Benutzers oder einer Gruppe
Verwenden Sie /g- zum Entfernen eines Benutzers oder einer Benutzergruppe aus einer vorhandenen Gruppe.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /g- zu verwenden, müssen Sie die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder die Informationen auf Instanzebene auf Instanzebene und die Berechtigungen auf Instanzebene bearbeiten, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.
Parameter
| Argument | Beschreibung |
|---|---|
| groupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen. |
| memberIdentity | Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Sie können auch Benutzer und Gruppen zu einer vorhandenen Gruppe mithilfe des Team-Explorers hinzufügen. Weitere Informationen finden Sie unter Entfernen von Benutzern aus einer Projektgruppeoder festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Beispiel: Entfernen eines Benutzers aus einer Serverebenengruppe
Im folgenden Beispiel wird der Benutzer John Peoples der Domäne Datum1 (Datum1\jpeoples) aus der Gruppe "Team Foundation-Administratoren" entfernt.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Erstellen einer Projektebenengruppe
Verwenden Sie "/gc " in einer Eingabeaufforderung, um eine Gruppe auf Projektebene zu erstellen. Informationen zum Erstellen einer Projektebenengruppe über die Benutzeroberfläche finden Sie unter Verwalten von Benutzern oder Gruppen.
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Voraussetzungen
Um den Befehl "/gc " zu verwenden, müssen Sie über die Berechtigung "Informationen bearbeiten Project-Level" für dieses Projekt verfügen, das auf "Zulassen" festgelegt ist. Weitere Informationen finden Sie unter Berechtigungsreferenz.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| `Scope` | Der URI des Projekts, zu dem Sie eine Projektebenengruppe hinzufügen möchten. Um den URI für ein Projekt abzurufen, stellen Sie eine Verbindung mit dem Projekt her, und öffnen Sie den Team-Explorer, zeigen Sie auf den Namen des Projekts in Home, und lesen Sie die Adresse. Alternativ können Sie in Web Access eine Verbindung mit dem Projekt herstellen und die URL kopieren. |
| GroupName | Der Name der neuen Gruppe. |
| Groupdescription | Eine Beschreibung der Projektgruppe. Optional. |
| /collection :CollectionURL | Die URL der Projektsammlung. Erforderlich. Die Gruppe wird innerhalb der Projektsammlung erstellt. Das Format für die URL ist http:// ServerName : Port / VirtualDirectoryName-AuflistungName / |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Eine Projektebenengruppe ist eine Sicherheitsgruppe für Ihr Projekt. Mithilfe von Projektgruppen können Sie Lese-, Schreib- und Administratorberechtigungen gewähren, die die Sicherheitsanforderungen Ihrer Organisation erfüllen.
Beispiel: Hinzufügen einer Sicherheitsgruppe zu einem Projekt
Im folgenden Beispiel wird eine Gruppe erstellt, die spezifisch für das vom URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000" angegebene Projekt ist. Die Gruppe hat den Namen "Test Group" und die Beschreibung "This group is for testing."
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
Sie müssen die Platzhalter-GUID durch den URI des Projekts ersetzen, für das Sie diese Gruppe erstellen möchten. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Wert der URL-Eigenschaft.
Nachdem Sie den Befehl ausgeführt haben, können Sie die Gruppe im Team-Explorer überprüfen. Klicken Sie mit der rechten Maustaste auf das Projekt, das Sie im Befehl verwendet haben, auf "Projekteinstellungen", und klicken Sie dann auf "Gruppenmitgliedschaften". Im Dialogfeld Projektgruppen in Teamprojektname enthält die Liste Gruppen den Eintrag "Test Group".
Hinweis
Sie können den Befehl /gc verwenden, um Gruppen zu erstellen, aber keine Benutzer zu den Gruppen hinzuzufügen oder Berechtigungen zuzuweisen. Informationen zum Ändern der Mitgliedschaft der Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Erstellen einer Server- oder Sammlungsebenengruppe
Verwenden Sie den Befehl "/gcg ", um eine Gruppe auf Serverebene oder Auflistungsebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Sammlungsebene im Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Voraussetzungen
Um den Befehl "/gcg " zu verwenden, müssen Sie über die Berechtigung "Projektebene bearbeiten " für dieses Projekt verfügen, das auf "Zulassen" festgelegt ist. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsverweis.
Parameter
| Argument | BESCHREIBUNG |
|---|---|
| GroupName | Der Gruppenname. |
| Groupdescription | Eine Beschreibung der Gruppe. Optional. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Serverebenengruppen werden direkt auf der Anwendungsebene erstellt und gelten für alle Projektsammlungen. Sammlungsebene wird auf Projektsammlungsebene erstellt. Sie gelten für diese Sammlung und haben Auswirkungen auf alle Projekte in der Sammlung. Im Gegensatz dazu gelten Projektgruppen für ein bestimmtes Projekt in einer Auflistung, aber nicht für andere Projekte in dieser Auflistung. Sie können Berechtigungen für Gruppen auf Serverebene zuweisen, damit Mitglieder dieser Gruppen Aufgaben in Azure DevOps Server selbst ausführen können, z. B. das Erstellen von Projektsammlungen. Sie können Gruppen auf Sammlungsebene Berechtigungen zuweisen, damit Mitglieder dieser Gruppen Aufgaben in einer Projektsammlung ausführen können, z. B. die Verwaltung von Benutzern.
Hinweis
Sie können den Befehl "/gcg " verwenden, um Gruppen zu erstellen, sie können jedoch keine Benutzer zu den Gruppen hinzufügen oder Berechtigungen zuweisen. Informationen zum Ändern der Mitgliedschaft einer Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.
Beispiel: Hinzufügen einer Sicherheitsgruppe auf Auflistungsebene
Im folgenden Beispiel wird eine Auflistungsebenengruppe erstellt, die "Datum Tester" mit der Beschreibung "A" genannt wird. Datum Corporation Tester."
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
Im folgenden Beispiel wird eine Serverebenengruppe erstellt, die "Datum Auditoren" mit der Beschreibung "A" heißt. Datum Corporation Auditor."
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Löschen einer Server- oder Sammlungsebenengruppe
Verwenden Sie "/gd ", um eine Gruppe auf Serverebene oder auf Sammlungsebene zu löschen.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/gd" zu verwenden, müssen Sie die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder informationen auf Instanzebene anzeigen und Berechtigungen auf Instanzebene bearbeiten, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | Beschreibung |
|---|---|
| groupIdentity | Gibt die Gruppenidentität an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus. Informationen zum Ändern von Berechtigungen über das Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Beispiel: Löschen einer Sicherheitsgruppe auf Auflistungsebene
Im folgenden Beispiel wird eine Gruppe aus der Projektsammlung gelöscht. Die Gruppe wird durch "S-1-5-21-2127521184-1604012920-1887927527-588340" identifiziert, der Sicherheitsbezeichner (SID). Weitere Informationen zum Suchen der SID einer Gruppe finden Sie unter /im: Anzeigen von Informationen zu Identitäten, die direkte Mitgliedschaft verfassen. Sie können auch den Anzeigenamen verwenden, um eine Gruppe zu löschen.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Ändern der Beschreibung für eine Server- oder Sammlungsebenengruppe
Verwenden Sie "/gud ", um die Beschreibung für eine Gruppe auf Serverebene oder auf Sammlungsebene zu ändern.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/gud " zu verwenden, müssen Sie über die Berechtigung "Informationen auf Projektebene bearbeiten" auf "Zulassen" festgelegt haben. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | Beschreibung |
|---|---|
| GroupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| Groupdescription | Gibt die neue Beschreibung für die Gruppe an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Beispiel: Hinzufügen einer Beschreibung zu einer Sicherheitsgruppe
Im folgenden Beispiel wird die Beschreibung "Die Mitglieder dieser Gruppe testen den Code für dieses Projekt" mit der Gruppe "Datum Testers" verknüpft.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Umbenennen einer Gruppe
Verwenden Sie "/gun ", um eine Gruppe auf Serverebene oder Sammlungsebene umzubenennen.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/gun " zu verwenden, müssen Sie die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder informationen auf Instanzebene anzeigen und Berechtigungen auf Instanzebene bearbeiten, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | Beschreibung |
|---|---|
| GroupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| GroupName | Gibt den neuen Namen der Gruppe an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Beispiel: Umbenennen einer Sicherheitsgruppe
Im folgenden Beispiel wird die Gruppe auf Sammlungsebene "A" umbenannt. Datum Corporation Testers" auf "A. Datum Corporation Test Engineers."
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Identitäten und Mitgliedschaft
/i: Anzeigen von Identitätsinformationen für eine angegebene Gruppe
Verwenden Sie /i, um Identitätsinformationen für eine angegebene Gruppe in einer Bereitstellung von Azure DevOps Server anzuzeigen.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/i " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Information auf Ebene der Ansicht"-Instanz verfügen, die auf "Zulassen" festgelegt ist, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | Beschreibung |
|---|---|
| Identity | Die Identität des Benutzers oder der Anwendungsgruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl "/i " des Befehlszeilenprogramms TFSSecurity zeigt Informationen zu jeder Gruppe in der Projektsammlung (/server) oder dem Anwendungsebenenserver (/instanz) an. Es werden keine Mitgliedschaftsinformationen angezeigt.
Beispiel: Auflisten von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Team Foundation-Administratoren" angezeigt.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project-Sammlungsadministratoren" mithilfe der "adm: Identity Specifier" angezeigt.
tfssecurity /i adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
Im folgenden Beispiel werden Identitätsinformationen für die Projektadministratorgruppe für das Projekt "Datum" mithilfe des Adm: Identitätsbezeichners angezeigt.
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Anzeigen von Informationen zu Identitäten, die direkte Mitgliedschaft verfassen
Verwenden Sie "/im ", um Informationen zu den Identitäten anzuzeigen, die die direkte Mitgliedschaft einer von Ihnen angegebenen Gruppe verfassen.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/im " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt sind, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | Beschreibung |
|---|---|
| Identity | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl "/im " von TFSSecurity zeigt nur die direkten Mitglieder der angegebenen Gruppe an. Diese Liste umfasst weitere Gruppen, die Mitglieder der angegebenen Gruppe sind. Die tatsächlichen Mitglieder der Mitgliedsgruppen werden jedoch nicht aufgelistet.
Beispiel: Anzeigen von Mitgliedschaftsidentitäten für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen zu direkten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Collection Administrators" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /im adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners
Im folgenden Beispiel werden Identitätsinformationen für die Projektadministratorgruppe für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Anzeigen von Informationen zu den Identitäten, die die erweiterte Mitgliedschaft haben
Verwenden Sie "/imx ", um Informationen zu den Identitäten anzuzeigen, die die erweiterte Mitgliedschaft einer angegebenen Gruppe verfassen.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/imx " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene oder über die Berechtigung "Informationen auf Instanzebene anzeigen" verfügen, die auf "Zulassen" festgelegt ist, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Parameter
| Argument | Beschreibung |
|---|---|
| Identity | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl "/imx" von TFSSecurity zeigt nur die erweiterten Mitglieder der angegebenen Gruppe an. Diese Liste enthält nicht nur andere Gruppen, die Elemente der angegebenen Gruppe sind, sondern auch Elemente der Elementgruppen.
Beispiel: Anzeigen erweiterter Mitgliedschaftsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen zu erweiterten Mitgliedschaften angezeigt, für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" des fiktiven Unternehmens "A. Datum Corporation".
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Project Collection Administrators" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /imx adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners
Im folgenden Beispiel werden Identitätsinformationen für die Projektadministratorgruppe für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation" unter Verwendung des adm:-Identitätsspezifizierers.
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Weitere Informationen zu den Ausgabebezeichnern, z. B. [G] und [U], finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
/m: Überprüfen der expliziten und impliziten Gruppenmitgliedschaft
Verwenden Sie "/m ", um explizite und implizite Gruppenmitgliedschaftsinformationen für eine angegebene Gruppe oder einen bestimmten Benutzer zu überprüfen.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/m " zu verwenden, müssen Sie Mitglied der Sicherheitsgruppe "Team Foundation-Administratoren" sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenz.
Hinweis
Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auszuführen.
Parameter
| Argument | Beschreibung |
|---|---|
| GroupIdentity | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen. |
| MemberIdentity | Gibt die Mitgliedsidentität an. Standardmäßig ist der Wert dieses Arguments die Identität des Benutzers, der den Befehl ausführt. Weitere Informationen zu gültigen Identitätsspezifikationen finden Sie weiter unten in diesem Artikel unter Identitätsspezifikationen. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektsammlung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf dem lokalen Anwendungsebenencomputer aus.
Der Befehl "/m " des Befehlszeilen-Dienstprogramms TFSSecurity überprüft sowohl direkte als auch erweiterte Mitgliedschaften.
Beispiel: Überprüfen der Mitgliedschaft eines Benutzers in einer Sicherheitsgruppe
Im folgenden Beispiel wird überprüft, ob der Benutzer "Datum1\jpeoples" zur Gruppe "Team Foundation-Administratoren" gehört.
Hinweis
Die Beispiele dienen nur zu Illustrationszwecken und sind frei erfunden. Reale Bezüge sind weder beabsichtigt noch erwünscht.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Sicherheitsnamespaces
Hinweis
Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Namespaces unterliegen der Änderung im Laufe der Zeit. Um die neueste Liste der Namespaces abzurufen, führen Sie eine der Befehlszeilentools oder REST-API aus. Einige Namespaces wurden veraltet. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz.
Identitätsspezifikationen
Sie können auf eine Identität verweisen, indem Sie eine der Notationen in der folgenden Tabelle verwenden.
| Identitätsbezeichner | Beschreibung | Beispiel |
|---|---|---|
| Sid: Sid. | Verweist auf die Identität, die den angegebenen Sicherheitsbezeichner (SID) aufweist. | sid:S-1-5-21-2127521184-1604012920-188792752727-588340 |
| n:[D omain]Name | Verweist auf die Identität, die den angegebenen Namen hat. Für Windows ist Der Name der Kontoname. Wenn sich die referenzierte Identität in einer Domäne befindet, ist der Domänenname erforderlich. Für Anwendungsgruppen ist Name der Gruppenanzeigename und Domäne der URI oder GUID des enthaltenden Projekts. Wenn die Domäne nicht angegeben wird, wird der Bereich auf Sammlungsebene angenommen. | Um auf die Identität des Benutzers "John Peoples" in der Domäne "Datum1" im fiktiven Unternehmen "A" zu verweisen. Datum Corporation:" n:DATUM1\jpeoples So verweisen Sie auf Anwendungsgruppen: n:"Vollzeitmitarbeiter" n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors |
| adm:[Bereich] | Verweist auf die Administrative Anwendungsgruppe für den Bereich, z. B. "Team Foundation-Administratoren" für die Serverebene oder "Projektsammlungsadministratoren" auf Sammlungsebene. Der optionale ParameterBereich ist ein Projekt-URI oder eine URL, einschließlich seiner GUID- und Verbindungszeichenfolge. Wenn der Bereich nicht angegeben wird, wird der Server- oder Auflistungsbereich basierend auf der Verwendung des /instance- oder /server-Parameters angenommen. In beiden Fällen ist der Doppelpunkt noch erforderlich. | adm:vstfs:///Classification/TeamProject/ GUID |
| Srv: | Verweist auf die Anwendungsgruppe für Dienstkonten. | Nicht verfügbar |
| Alle: | Verweist auf alle Gruppen und Identitäten. | Nicht verfügbar |
| String | Verweist auf eine nicht qualifizierte Zeichenfolge. Wenn String mit S-1 beginnt, wird er als SID identifiziert. Wenn String mit CN= oder LDAP:// beginnt, wird er als unterschiedener Name identifiziert. Andernfalls wird Zeichenfolge als Name identifiziert. | "Team-Tester" |
Typmarkierungen
Die folgenden Markierungen werden verwendet, um Typen von Identitäten und ACEs in Ausgabenachrichten zu identifizieren.
Identitätstypmarkierungen
| Identitätstypmarkierung | Beschreibung |
|---|---|
| U | Windows-Benutzer. |
| G | Windows-Gruppe. |
| A | Azure DevOps Server Anwendungsgruppe. |
| a [ A ] | Administrative Anwendungsgruppe. |
| s [ A ] | Dienstkontoanwendungsgruppe. |
| X | Die Identität ist ungültig. |
| ? | Identität ist unbekannt. |
Zugriffssteuerungseintragsmarkierungen
| Zugriffssteuerungseintragsmarkierung | Beschreibung |
|---|---|
| + | Zugriffssteuerungseintrag ZULASSEN. |
| - | Zugriffssteuerungseintrag verweigern. |
| * [] | Geerbter Zugriffssteuerungseintrag. |