Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Server |Azure DevOps Server |Azure DevOps Server 2022 | Azure DevOps Server 2020
Sie können das Befehlszeilentool TFSSecurity verwenden, um Gruppen und Benutzer in Azure DevOps Server zu erstellen, zu ändern und zu löschen und zusätzlich Berechtigungen für Gruppen und Benutzer zu ändern. Informationen zum Ausführen dieser Aufgaben auf der Benutzeroberfläche finden Sie unter Hinzufügen von Benutzern oder Gruppen zu einem Projekt.
Wichtig
Das Befehlszeilentool TFSSecurity ist für die Verwendung mit Azure DevOps Services veraltet. TfSSecurity kann zwar für einige Azure DevOps Services-Szenarien funktionieren, wird aber nicht unterstützt. Die empfohlene Methode zur Änderung von Sicherheitsgruppen und Berechtigungen für Azure DevOps Services ist entweder die Verwendung des Webportals, der az devops security oder az devops permissions Befehlszeilentools oder der Security REST API.
Speicherort des Befehlszeilentools
Azure DevOps-Befehlszeilentools werden im Verzeichnis "/Tools" eines Azure DevOps-Anwendungsebenenservers installiert.
- Azure DevOps Server 2020:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Hinweis
Selbst wenn Sie mit Administratoranmeldeinformationen angemeldet sind, müssen Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen, um diese Funktion auszuführen.
Erlaubnisse
/a+: Berechtigungen hinzufügen
Verwenden Sie /a+ zum Hinzufügen von Berechtigungen für einen Benutzer oder eine Gruppe in einer Gruppe auf Serverebene, Sammlungsebene oder Projektebene. Informationen zum Hinzufügen von Benutzern zu Gruppen aus dem Webportal finden Sie unter "Berechtigungen auf Projekt- oder Sammlungsebene festlegen".
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den /a+-Befehl zu verwenden, müssen Sie die Berechtigung "Informationen auf Sammlungsebene anzeigen" oder "Informationen auf Instanzebene anzeigen" auf "Zulassen" gesetzt haben, je nachdem, ob Sie den /collection-Parameter oder den /server-Parameter verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, müssen Sie auch über die Berechtigung zum Bearbeiten von Projektebene-Informationen verfügen, und diese muss auf "Zulassen" festgelegt sein. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, der Sie Berechtigungen für einen Benutzer oder eine Gruppe hinzufügen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Sammlungs- und Projektebene anzuzeigen. |
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
|
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Zugriffssteuerungseinträge sind Sicherheitsmechanismen, die bestimmen, welche Vorgänge ein Benutzer, eine Gruppe, einen Dienst oder einen Computer ausführen darf.
Beispiel: Anzeigen verfügbarer Namespaces
Im folgenden Beispiel wird angezeigt, welche Namespaces auf Serverebene für den Anwendungsebenenserver mit dem Namen ADatumCorporation verfügbar sind.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /a /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Beispiel: Anzeigen verfügbarer Aktionen
Im folgenden Beispiel wird angezeigt, welche Aktionen auf Sammlungsebene für den Namespace auf Serverebene verfügbar sind.
tfssecurity /a Server /collection:CollectionURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Beispiel: Zuweisen einer Berechtigung auf Instanzebene
Im folgenden Beispiel wird der ADatumCorporation-Bereitstellung für den Domänenbenutzer John Peoples (Datum1\jpeoples) die Informationsberechtigung auf Instanzebene auf Serverebene erteilt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Beispiel: Zuweisen einer Berechtigung auf Sammlungsebene
Im folgenden Beispiel wird dem Domänenbenutzer John Peoples (Datum1\jpeoples) die Berechtigung zur Ansicht von sammlungsebenen Informationen für die Projektsammlung Sammlung0 erteilt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe
Verwenden Sie den Befehl "/a" , um einen Benutzer oder eine Gruppe aus der Mitgliedschaft in einer Gruppe auf Serverebene, Sammlungsebene oder Projektebene zu entfernen. Informationen zum Entfernen von Benutzern aus Gruppen aus dem Webportal finden Sie unter "Entfernen von Benutzerkonten".
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Voraussetzungen
Um den /a--Befehl zu verwenden, müssen Sie die Berechtigung zum Anzeigen von Informationen auf Sammlungsebene oder Instanzebene auf „Zulassen“ gesetzt haben, abhängig davon, ob Sie den /collection- oder /server-Parameter verwenden. Wenn Sie Berechtigungen für ein Projekt ändern, müssen Sie auch über die Berechtigung zum Bearbeiten von Projektebene-Informationen verfügen, und diese muss auf "Zulassen" festgelegt sein.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe entfernen möchten. Sie können auch den Befehl tfssecurity /a verwenden, um eine Liste von Namespaces auf Server-, Sammlungs- und Projektebene anzuzeigen. |
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
|
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Zugriffssteuerungseinträge sind Sicherheitsmechanismen, die bestimmen, welche Aktionen ein Benutzer, eine Gruppe, ein Dienst oder ein Computer auf einem Computer oder Server ausführen darf.
Beispiel: Anzeigen von Namespaces auf Serverebene
Im folgenden Beispiel wird angezeigt, welche Namespaces auf Serverebene für den Anwendungsebenenserver mit dem Namen ADatumCorporation verfügbar sind.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /a /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Beispiel: Verfügbare Aktionen auf Sammlungsebene anzeigen
Im folgenden Beispiel wird angezeigt, welche Aktionen für den Servernamespace auf Sammlungsebene verfügbar sind.
tfssecurity /a Server /collection:CollectionURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Beispiel: Entfernen einer Berechtigung auf Instanzebene
Im folgenden Beispiel wird die Berechtigung Informationsbetrachtung auf Instanzebene für die ADatumCorporation-Bereitstellung des Domänenbenutzers John Peoples (Datum1\jpeoples) auf Serverebene entfernt.
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Beispiel: Entfernen einer Berechtigung auf Sammlungsebene
Im folgenden Beispiel wird die Berechtigung zum Anzeigen von Informationen auf Sammlungs-Ebene für den Datum1-Domänenbenutzer John Peoples (Datum1\jpeoples) aus der Sammlung0-Projekt entfernt.
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Anzeigen der Zugriffssteuerungsliste
Verwenden Sie /acl , um die Zugriffssteuerungsliste anzuzeigen, die für ein bestimmtes Objekt gilt.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /acl zu verwenden, müssen Sie entweder die Berechtigung zum Anzeigen von Sammlungsinformationen oder Instanzinformationen auf Zulassen gestellt haben, je nachdem, ob Sie den Parameter /collection oder /server verwenden. Weitere Informationen finden Sie unter Berechtigungsreferenz für Azure DevOps Server.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Namespace | Der Namespace, der die Gruppe enthält, für die Sie Berechtigungen für einen Benutzer oder eine Gruppe anzeigen möchten. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Zugriffssteuerungseinträge sind Sicherheitsmechanismen, die bestimmen, welche Aktionen ein Benutzer, eine Gruppe, ein Dienst oder ein Computer auf einem Computer oder Server ausführen darf.
Beispiel: Auflisten von ACL-Zuordnungen zu einem Namespace auf Serverebene
Im folgenden Beispiel wird angezeigt, welche Benutzer und Gruppen Zugriff auf das FrameworkGlobalSecurity-Token im Servernamespace innerhalb der ADatumCorporation-Bereitstellung haben.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Gruppen
/g: Liste die Gruppen auf
Verwenden Sie /g , um die Gruppen in einem Projekt, in einer Projektsammlung oder in Azure DevOps Server auflisten.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/g" zu verwenden, müssen Sie entweder die Berechtigung "Informationen auf Sammlungsebene anzeigen" oder "Informationen auf Instanzebene anzeigen" auf "Zulassen" gesetzt haben, abhängig davon, ob Sie den Parameter "/collection" oder "/server" verwenden. Um den Befehl "/g" im Bereich eines einzelnen Projekts zu verwenden, müssen Sie die Berechtigung "Informationen auf Projektebene anzeigen" auf "Zulassen" festlegen. Weitere Informationen finden Sie unter Berechtigungs- und Gruppenreferenz.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Umfang | Wahlfrei. Gibt den URI des Projekts an, für das Gruppen angezeigt werden sollen. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf "Eigenschaften", und kopieren Sie den gesamten Eintrag für die URL. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl /g des Befehlszeilenprogramms TFSSecurity zeigt Informationen zu jeder Gruppe innerhalb des ausgewählten Bereichs an. Dieser Bereich kann die Projektsammlung (/server) oder der Anwendungsebenenserver (/Instanz) sein. Wenn sie mit dem Umfang eines Projekts verwendet wird, werden nur Informationen zu den Gruppen angezeigt, die diesem Projekt zugeordnet sind.
Beispiel: Anzeigen von Gruppeninformationen auf Sammlungsebene
Im folgenden Beispiel werden Informationen für alle Gruppen in einer Projektsammlung angezeigt.
tfssecurity /g /collection:CollectionURL
/g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe
Verwenden Sie "/g+" , um einer vorhandenen Gruppe einen Benutzer oder eine andere Gruppe hinzuzufügen.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/g+ " zu verwenden, müssen Sie die Berechtigungen zum Anzeigen und Bearbeiten auf Sammlungsebene oder die Berechtigungen zum Anzeigen und Bearbeiten auf Instanzebene auf "Zulassen" festgelegt haben, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Gruppenidentität | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| memberIdentity | Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Sie können einer vorhandenen Gruppe auch Benutzer und Gruppen mithilfe von Team Explorer hinzufügen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Beispiel: Hinzufügen eines Benutzers zu einer Gruppe auf Serverebene
Im folgenden Beispiel wird der Domänenbenutzer "Datum1" (Datum1\jpeoples) zur Gruppe "Team Foundation-Administratoren" hinzugefügt.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Entfernen eines Benutzers oder einer Gruppe
Verwenden Sie /g- , um einen Benutzer oder eine Benutzergruppe aus einer vorhandenen Gruppe zu entfernen.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl /g- zu verwenden, müssen Sie über die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder die Informationen auf Instanzebene anzeigen und berechtigungen auf Instanzebene bearbeiten auf "Zulassen" festgelegt sein, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Gruppenidentität | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| memberIdentity | Gibt die Mitgliedsidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Sie können einer vorhandenen Gruppe auch Benutzer und Gruppen mithilfe von Team Explorer hinzufügen. Weitere Informationen finden Sie unter "Entfernen von Benutzern aus einer Projektgruppe " oder " Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene".
Beispiel: Entfernen eines Benutzers aus einer Gruppe auf Serverebene
Im folgenden Beispiel wird der Domänenbenutzer "Datum1" (Datum1\jpeoples) aus der Gruppe "Team Foundation-Administratoren" entfernt.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Erstellen einer Gruppe auf Projektebene
Verwenden Sie "/gc " an einer Eingabeaufforderung, um eine Gruppe auf Projektebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Projektebene über die Benutzeroberfläche finden Sie unter "Verwalten von Benutzern oder Gruppen".
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Voraussetzungen
Um den Befehl "/gc " zu verwenden, müssen Sie über die Berechtigung "Project-Level Informationen bearbeiten" für dieses Projekt auf "Zulassen" festgelegt haben. Weitere Informationen finden Sie unter Berechtigungsreferenz.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Umfang | Der URI des Projekts, dem Sie eine Gruppe auf Projektebene hinzufügen möchten. Um die URI für ein Projekt zu erhalten, stellen Sie eine Verbindung zum Projekt her, öffnen Sie den Team-Explorer, zeigen Sie mit der Maus auf den Projektnamen in der Startansicht, und lesen Sie die Adresse ab. Stellen Sie alternativ eine Verbindung mit dem Projekt in Web Access her, und kopieren Sie die URL. |
| GroupName | Der Name der neuen Gruppe. |
| Gruppenbeschreibung | Eine Beschreibung der Projektgruppe. Wahlfrei. |
| /collection :CollectionURL | Die URL der Projektsammlung. Erforderlich. Die Gruppe wird innerhalb der Projektsammlung erstellt. Das Format für die URL ist http:// ServerName : Port / VirtualDirectoryName CollectionName / |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Eine Gruppe auf Projektebene ist eine Sicherheitsgruppe für Ihr Projekt. Sie können Projektgruppen verwenden, um Lese-, Schreib- und Administratorberechtigungen zu erteilen, die den Sicherheitsanforderungen Ihrer Organisation entsprechen.
Beispiel: Hinzufügen einer Sicherheitsgruppe zu einem Projekt
Im folgenden Beispiel wird eine Gruppe erstellt, die für das Projekt spezifisch ist, den der URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000" angibt. Die Gruppe heißt "Testgruppe" und hat die Beschreibung "Diese Gruppe ist zum Testen".
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
Sie müssen die Platzhalter-GUID durch den URI des Projekts ersetzen, für das Sie diese Gruppe erstellen möchten. Um den URI für ein Projekt abzurufen, öffnen Sie Team Explorer, klicken Sie mit der rechten Maustaste auf das Projekt, klicken Sie auf Eigenschaften, und kopieren Sie den gesamten Wert der URL-Eigenschaft.
Nachdem Sie den Befehl ausgeführt haben, können Sie die Gruppe im Team-Explorer überprüfen. Klicken Sie mit der rechten Maustaste auf das Projekt, das Sie im Befehl verwendet haben, klicken Sie auf "Projekteinstellungen", und klicken Sie dann auf "Gruppenmitgliedschaften". Im Dialogfeld "Projektgruppen auf TeamProjectName" enthält die Liste "Gruppen" die Gruppe "Testgruppe".
Hinweis
Sie können den Befehl "/gc " verwenden, um Gruppen zu erstellen, aber keine Benutzer zu den Gruppen hinzuzufügen oder Berechtigungen zuzuweisen. Informationen zum Ändern der Mitgliedschaft der Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Erstellen einer Server- oder Sammlungsebenengruppe
Verwenden Sie den Befehl "/gcg ", um eine Gruppe auf Serverebene oder Sammlungsebene zu erstellen. Informationen zum Erstellen einer Gruppe auf Sammlungsebene aus dem Webportal finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Voraussetzungen
Um den Befehl "/gcg " zu verwenden, müssen Sie über die Berechtigung "Informationen auf Projektebene bearbeiten " für dieses Projekt auf "Zulassen" festgelegt haben. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| GroupName | Der Gruppenname. |
| Gruppenbeschreibung | Eine Beschreibung der Gruppe. Wahlfrei. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Gruppen auf Serverebene werden direkt auf der Anwendungsebene erstellt und gelten für alle Projektsammlungen. Sammlungen werden auf Projektsammlungsebene erstellt. Sie gelten für diese Sammlung und haben Auswirkungen auf alle Projekte innerhalb der Sammlung. Im Gegensatz dazu gelten Projektgruppen für ein bestimmtes Projekt innerhalb einer Auflistung, jedoch nicht für andere Projekte in dieser Auflistung. Sie können Gruppen auf Serverebene Berechtigungen zuweisen, damit Mitglieder dieser Gruppen Aufgaben in Azure DevOps Server selbst ausführen können, z. B. das Erstellen von Projektsammlungen. Sie können Gruppen auf Sammlungsebene Berechtigungen zuweisen, sodass Mitglieder dieser Gruppen Aufgaben in einer Projektsammlung ausführen können, z. B. das Verwalten von Benutzern.
Hinweis
Sie können den Befehl "/gcg " verwenden, um Gruppen zu erstellen, sie können jedoch nicht zum Hinzufügen von Benutzern zu den Gruppen oder zum Zuweisen von Berechtigungen verwenden. Informationen zum Ändern der Mitgliedschaft einer Gruppe finden Sie unter /g+: Hinzufügen eines Benutzers oder einer anderen Gruppe zu einer vorhandenen Gruppe und /g-: Entfernen eines Benutzers oder einer Gruppe. Informationen zum Ändern der Berechtigungen für die Gruppe finden Sie unter /a+: Hinzufügen von Berechtigungen und /a-: Entfernen eines Benutzers oder einer Gruppe aus der Mitgliedschaft in einer Gruppe.
Beispiel: Hinzufügen einer Sicherheitsgruppe auf Sammlungsebene
Im folgenden Beispiel wird eine Gruppe auf Sammlungsebene mit dem Namen "Datum Testers" mit der Beschreibung "A" erstellt. Datum Corporation Tester.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
Im folgenden Beispiel wird eine Gruppe auf Serverebene mit dem Namen "Datum Auditoren" mit der Beschreibung "A" erstellt. Datum Corporation Auditoren."
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Löschen einer Server- oder Sammlungsebenengruppe
Verwenden Sie /gd , um eine Gruppe auf Serverebene oder Sammlungsebene zu löschen.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/gd " zu verwenden, müssen Sie die Informationen auf Sammlungsebene anzeigen und Informationen auf Sammlungsebene bearbeiten oder die Informationen auf Instanzebene anzeigen und berechtigungen auf Instanzebene bearbeiten auf "Zulassen" festlegen, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Gruppenidentität | Gibt die Gruppenidentität an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus. Informationen zum Ändern von Berechtigungen über das Webportal finden Sie unter "Berechtigungen auf Projekt- oder Sammlungsebene festlegen".
Beispiel: Löschen einer Sicherheitsgruppe auf Sammlungsebene
Im folgenden Beispiel wird eine Gruppe aus der Projektauflistung gelöscht. Die Gruppe wird durch "S-1-5-21-2127521184-1604012920-1887927527-588340" identifiziert, der Sicherheitsbezeichner (SID). Weitere Informationen zum Ermitteln der SID einer Gruppe finden Sie unter /im: Anzeigen von Informationen zu Identitäten, die eine direkte Mitgliedschaft bilden. Sie können auch den Anzeigenamen verwenden, um eine Gruppe zu löschen.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Ändern der Beschreibung für eine Gruppe auf Server- oder Sammlungsebene
Verwenden Sie "/gud ", um die Beschreibung für eine Gruppe auf Serverebene oder Sammlungsebene zu ändern.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/gud" zu verwenden, müssen Sie die Berechtigung "Informationen auf Projektebene bearbeiten" auf "Zulassen" festgelegt haben. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Gruppenidentität | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| Gruppenbeschreibung | Gibt die neue Beschreibung für die Gruppe an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Beispiel: Hinzufügen einer Beschreibung zu einer Sicherheitsgruppe
Im folgenden Beispiel wird die Beschreibung "Die Mitglieder dieser Gruppe testen den Code für dieses Projekt" mit der Gruppe "Datum Testers" verknüpft.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Umbenennen einer Gruppe
Verwenden Sie "/gun ", um eine Gruppe auf Serverebene oder Sammlungsebene umzubenennen.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den /gun-Befehl zu verwenden, müssen Sie über die Berechtigungen verfügen, Informationen auf Sammlungsebene anzeigen und bearbeiten oder Informationen auf Instanzebene anzeigen und bearbeiten zu dürfen. Diese Berechtigungen müssen auf "Zulassen" gesetzt sein, abhängig davon, ob Sie den /collection-Parameter oder den /server-Parameter verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Gruppenidentität | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| GroupName | Gibt den neuen Namen der Gruppe an. |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Beispiel: Umbenennen einer Sicherheitsgruppe
Im folgenden Beispiel wird die Gruppe auf Sammlungsebene "A" umbenannt. Datum Corporation Tester" zu "A. Datum Corporation Testingenieure.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Identitäten und Mitgliedschaft
/i: Anzeigen von Identitätsinformationen für eine angegebene Gruppe
Verwenden Sie /i , um Identitätsinformationen für eine bestimmte Gruppe in einer Bereitstellung von Azure DevOps Server anzuzeigen.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den /i-Befehl zu verwenden, müssen Sie die Berechtigung zum Anzeigen von Informationen auf Sammlungsebene oder zum Anzeigen von Instanzinformationen -level auf "Zulassen" setzen, abhängig davon, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Identität | Die Identität des Benutzers oder der Anwendungsgruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl "/i " des Befehlszeilenprogramms TFSSecurity zeigt Informationen zu jeder Gruppe innerhalb der Projektsammlung (/server) oder des Anwendungsebenenservers (/instanz) an. Es werden keine Mitgliedschaftsinformationen angezeigt.
Beispiel: Auflisten von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Team Foundation-Administratoren" angezeigt.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Projektsammlungsadministratoren" mithilfe des "adm: Identitätsbezeichners" angezeigt.
tfssecurity /i adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Projektadministratoren" für das Projekt "Datum" mithilfe des Adm: Identitätsbezeichners angezeigt.
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Anzeigen von Informationen über Identitäten, die die direkte Mitgliedschaft bilden
Verwenden Sie "/im ", um Informationen zu den Identitäten anzuzeigen, die die direkte Mitgliedschaft einer von Ihnen angegebenen Gruppe erstellen.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/im " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene anzeigen oder über die Berechtigung "Informationen auf Instanzebene anzeigen" auf "Zulassen" festgelegt sein, je nachdem, ob Sie den Parameter "/collection" oder "/server" verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl "/im" von TFSSecurity zeigt nur die direkten Mitglieder der angegebenen Gruppe an. Diese Liste enthält andere Gruppen, die Mitglieder der angegebenen Gruppe sind. Die tatsächlichen Mitglieder der Mitgliedergruppen werden jedoch nicht aufgeführt.
Beispiel: Anzeigen von Mitgliedschaftsidentitäten für eine Sicherheitsgruppe
Im folgenden Beispiel werden direkte Mitgliedschaftsidentitätsinformationen für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation".
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Projektsammlungsadministratoren" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. "Datum Corporation" durch Verwendung des adm: Identitätsbezeichners.
tfssecurity /im adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Projektadministratoren" für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. „Datum Corporation“ mit dem adm: Identitätsspezifikator.
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Anzeigen von Informationen zu den Identitäten, die die erweiterte Mitgliedschaft enthält
Verwenden Sie "/imx ", um Informationen zu den Identitäten anzuzeigen, die die erweiterte Mitgliedschaft einer angegebenen Gruppe bilden.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/imx " zu verwenden, müssen Sie über die Informationen auf Sammlungsebene anzeigen oder über die Berechtigung "Information auf Instanzebene anzeigen" auf "Zulassen" verfügen, je nachdem, ob Sie den Parameter "/collection " oder "/server " verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Identität | Die Identität des Benutzers oder der Gruppe. Weitere Informationen zu Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf einem Anwendungsebenenserver für Azure DevOps aus.
Der Befehl "/imx " von TFSSecurity zeigt nur die erweiterten Mitglieder der angegebenen Gruppe an. Diese Liste enthält nicht nur andere Gruppen, die Mitglieder der angegebenen Gruppe sind, sondern auch die Mitglieder der Mitgliedergruppen.
Beispiel: Anzeigen erweiterter Mitgliedschaftsinformationen für eine Sicherheitsgruppe
Im folgenden Beispiel werden erweiterte Mitgliedschaftsidentitätsinformationen für die Gruppe "Team Foundation-Administratoren" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. Datum Corporation".
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Beispielausgabe:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Projektsammlungsadministratoren" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. „Datum Corporation“ mit dem adm: Identitätsspezifikator.
tfssecurity /imx adm: /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Beispiel: Anzeigen von Identitätsinformationen für eine Sicherheitsgruppe mithilfe eines Identitätsbezeichners
Im folgenden Beispiel werden Identitätsinformationen für die Gruppe "Projektadministratoren" für das Projekt "Datum" in der Projektsammlung "DatumOne" in der Domäne "Datum1" im fiktiven Unternehmen "A" angezeigt. „Datum Corporation“ mit dem adm: Identitätsspezifikator.
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Beispielausgabe:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Weitere Informationen zu den Ausgabebezeichnern, z. B. [G] und [U], finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner .
/m: Explizite und implizite Gruppenmitgliedschaft überprüfen
Verwenden Sie /m , um explizite und implizite Gruppenmitgliedschaftsinformationen für eine bestimmte Gruppe oder einen bestimmten Benutzer zu überprüfen.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Voraussetzungen
Um den Befehl "/m " zu verwenden, müssen Sie Mitglied der Sicherheitsgruppe "Team Foundation-Administratoren" sein. Weitere Informationen finden Sie unter Sicherheitsgruppen und Berechtigungsreferenzen.
Hinweis
Selbst wenn Sie mit Administratoranmeldeinformationen angemeldet sind, müssen Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen, um diese Funktion auszuführen.
Die Parameter
| Streitpunkt | BESCHREIBUNG |
|---|---|
| Gruppenidentität | Gibt die Gruppenidentität an. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| MemberIdentity | Gibt die Mitgliedsidentität an. Der Wert dieses Arguments ist standardmäßig die Identität des Benutzers, der den Befehl ausführt. Weitere Informationen zu gültigen Identitätsbezeichnern finden Sie weiter unten in diesem Artikel unter Identitätsbezeichner . |
| /collection :CollectionURL | Erforderlich, wenn /server nicht verwendet wird. Gibt die URL einer Projektauflistung im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName CollectionName / |
| /server :ServerURL | Erforderlich, wenn /collection nicht verwendet wird. Gibt die URL eines Anwendungsebenenservers im folgenden Format an: http:// ServerName : Port / VirtualDirectoryName |
Bemerkungen
Führen Sie diesen Befehl auf dem lokalen Anwendungsebenencomputer aus.
Der Befehl "/m " des Befehlszeilenprogramms TFSSecurity überprüft sowohl direkte als auch erweiterte Mitgliedschaften.
Beispiel: Überprüfen der Mitgliedschaft eines Benutzers in einer Sicherheitsgruppe
Im folgenden Beispiel wird überprüft, ob der Benutzer "Datum1\jpeoples" zur Gruppe "Team Foundation-Administratoren" gehört.
Hinweis
Die Beispiele dienen nur zur Veranschaulichung und sind fiktitös. Eine echte Vereinigung ist weder beabsichtigt noch wird daraus geschlossen.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Beispielausgabe:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Sicherheits-Namensräume
Hinweis
Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Namespaces können sich im Laufe der Zeit ändern. Um die neueste Liste der Namespaces abzurufen, üben Sie eines der Befehlszeilentools oder der REST-API aus. Einige Namespaces sind veraltet. Weitere Informationen finden Sie unter Sicherheitsnamespace und Berechtigungsreferenz.
Identitätsbezeichner
Sie können auf eine Identität verweisen, indem Sie eine der Notationen in der folgenden Tabelle verwenden.
| Identitätsbezeichner | BESCHREIBUNG | Beispiel |
|---|---|---|
| sid: Sid. | Verweist auf die Identität, die die angegebene Sicherheits-ID (SID) aufweist. | sid:S-1-5-21-2127521184-1604012920-1887927527-588340 |
| n:[Domäne]Name | Verweist auf die Identität, die den angegebenen Namen hat. Für Windows ist Name der Kontoname. Wenn sich die referenzierte Identität in einer Domäne befindet, ist der Domänenname erforderlich. Bei Anwendungsgruppen ist Name der Anzeigename der Gruppe, und Domäne ist der URI oder die GUID des enthaltenden Projekts. Wenn die Domain ausgelassen wird, wird davon ausgegangen, dass der Bereich in diesem Kontext auf Sammlungsebene liegt. | Um auf die Identität des Benutzers "John Peoples" in der Domäne "Datum1" im fiktiven Unternehmen "A" zu verweisen. Datum Corporation:" n:DATUM1\jpeoples So verweisen Sie auf Anwendungsgruppen: n:"Vollzeitmitarbeiter" n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors |
| adm:[Bereich] | Verweist auf die administrative Anwendungsgruppe für den Bereich, z. B. "Team Foundation-Administratoren" für die Serverebene oder "Projektsammlungsadministratoren" auf Sammlungsebene. Der optionale Parameter Scope ist ein Projekt-URI oder eine URL, einschließlich seiner GUID und Verbindungszeichenfolge. Wenn der Bereich nicht angegeben wird, wird der Server- oder Sammlungsbereich basierend darauf verwendet, ob der Parameter "/instance" oder "/server" verwendet wird. In beiden Fällen ist der Doppelpunkt weiterhin erforderlich. | adm:vstfs:///Classification/TeamProject/ GUID |
| srv: | Verweist auf die Anwendungsgruppe für Dienstkonten. | Nicht zutreffend |
| alle: | Verweist auf alle Gruppen und Identitäten. | Nicht zutreffend |
| Schnur | Verweist auf eine nicht qualifizierte Zeichenfolge. Wenn Zeichenfolge mit S-1 beginnt, wird sie als SID identifiziert. Wenn Zeichenfolge mit CN= oder LDAP:// beginnt, wird sie als distinguished name identifiziert. Andernfalls wird string als Name identifiziert. | "Teamtester" |
Typmarkierungen
Die folgenden Markierungen werden verwendet, um Identitätstypen und ACEs in Ausgabemeldungen zu identifizieren.
Identitätstypmarkierungen
| Identitätstypmarkierung | BESCHREIBUNG |
|---|---|
| U | Windows-Benutzer. |
| G | Windows-Gruppe. |
| A | Azure DevOps Server-Anwendungsgruppe. |
| a [ A ] | Administrative Anwendungsgruppe. |
| s [ A ] | Dienstkonto-Anwendungsgruppe |
| X | Die Identität ist ungültig. |
| ? | Die Identität ist unbekannt. |
Zugriffssteuerungseintragsmarkierungen
| Zugriffskontrolleintrag-Markierung | BESCHREIBUNG |
|---|---|
| + | Zulassung des Zugriffskontrolleintrags. |
| - | Verweigern Sie den Zugriffskontrolleintrag. |
| * [] | Geerbter Zugriffssteuerungseintrag. |