Menggunakan TFSSecurity untuk mengelola grup dan izin untuk Azure DevOps
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Anda dapat menggunakan alat baris perintah TFSSecurity untuk membuat, memodifikasi, dan menghapus grup dan pengguna di Azure DevOps Server, serta memodifikasi izin untuk grup dan pengguna. Untuk informasi tentang cara melakukan tugas ini di antarmuka pengguna, lihat Menambahkan pengguna atau grup ke proyek.
Penting
Alat baris perintah TFSSecurity tidak digunakan lagi untuk digunakan dengan layanan Azure DevOps. Meskipun TFSSecurity mungkin berfungsi untuk beberapa skenario Azure DevOps Services, TFSSecurity tidak didukung. Metode yang disarankan untuk membuat perubahan pada grup keamanan dan izin untuk Azure DevOps Services adalah menggunakan alat baris perintah Web portal, az devops security atau az devops permission, atau REST API Keamanan.
Lokasi alat baris perintah
Alat baris perintah Azure DevOps dipasang di direktori /Tools dari server tingkat aplikasi Azure DevOps.
- Azure DevOps Server 2020:
%programfiles%\Azure DevOps Server 2020\Tools - Azure DevOps Server 2019:
%programfiles%\Azure DevOps Server 2019\Tools - TFS 2018:
%programfiles%\Microsoft Team Foundation Server 2018\Tools - TFS 2017:
%programfiles%\Microsoft Team Foundation Server 15.0\Tools - TFS 2015:
%programfiles%\Microsoft Team Foundation Server 14.0\Tools - TFS 2013:
%programfiles%\Microsoft Team Foundation Server 12.0\Tools - TFS 2012:
%programfiles%\Microsoft Team Foundation Server 11.0\Tools - TFS 2010:
%programfiles%\Microsoft Team Foundation Server 2010\Tools
Catatan
Bahkan jika masuk dengan kredensial administratif, Anda harus membuka Perintah yang ditinggikan untuk melakukan fungsi ini.
Izin
/a+: Tambahkan Izin
Gunakan /a+ untuk menambahkan izin bagi pengguna atau grup dalam grup tingkat server, tingkat koleksi, atau tingkat proyek. Untuk menambahkan pengguna ke grup dari portal web, lihat Mengatur izin di tingkat proyek atau koleksi.
tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /a+, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Jika mengubah izin untuk proyek, Anda juga harus memiliki izin Edit informasi tingkat proyek untuk proyek yang diatur ke Izinkan. Untuk informasi selengkapnya, lihat Referensi izin dan grup.
Parameter
| Argumen | Deskripsi |
|---|---|
| Ruang nama | Namespace layanan yang berisi grup yang ingin Anda tambahkan izinnya untuk pengguna atau grup. Anda juga dapat menggunakan perintah tfssecurity /a untuk melihat daftar namespace layanan di tingkat server, koleksi, dan proyek. |
| Identitas | Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini.
|
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Entri kontrol akses adalah mekanisme keamanan yang menentukan operasi mana yang diizinkan untuk dilakukan oleh pengguna, grup, layanan, atau komputer.
Contoh: Menampilkan namespace layanan yang tersedia
Contoh berikut menampilkan namespace layanan apa yang tersedia di tingkat server untuk server tingkat aplikasi yang bernama ADatumCorporation.
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /a /server:ServerURL
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Contoh: Menampilkan tindakan yang tersedia
Contoh berikut menampilkan tindakan apa yang tersedia untuk namespace layanan tingkat server di tingkat koleksi.
tfssecurity /a Server /collection:CollectionURL
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Contoh: Menetapkan izin tingkat instans
Contoh berikut memberikan izin Lihat informasi tingkat instans tingkat server ke penyebaran ADatumCorporation untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Contoh: Menetapkan izin tingkat koleksi
Contoh berikut memberikan izin informasi tingkat koleksi Tampilan tingkat koleksi ke koleksi proyek Collection0 untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
[+] GenericRead DATUM1\jpeoples
Done.
/a-: Menghapus pengguna atau grup dari keanggotaan dalam grup
Gunakan perintah /a- untuk menghapus pengguna atau grup dari keanggotaan dalam grup tingkat server, tingkat koleksi, atau tingkat proyek. Untuk menghapus pengguna dari grup dari portal web, lihat Menghapus akun pengguna.
tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]
Prasyarat
Untuk menggunakan perintah /a+, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Jika mengubah izin untuk proyek, Anda juga harus memiliki izin Edit informasi tingkat proyek untuk proyek yang diatur ke Izinkan.
Parameter
| Argumen | Deskripsi |
|---|---|
| Ruang nama | Namespace layanan yang berisi grup yang ingin Anda tambahkan izinnya untuk pengguna atau grup. Anda juga dapat menggunakan perintah tfssecurity /a untuk melihat daftar namespace layanan di tingkat server, koleksi, dan proyek. |
| Identitas | Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini.
|
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Entri kontrol akses adalah mekanisme keamanan yang menentukan operasi mana yang diizinkan untuk dilakukan oleh pengguna, grup, layanan, atau komputer.
Contoh: Menampilkan namespace layanan tingkat server
Contoh berikut menampilkan namespace layanan apa yang tersedia di tingkat server untuk server tingkat aplikasi yang bernama ADatumCorporation.
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /a /server:ServerURL
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following security namespaces are available to have permissions set on them:
Registry
Identity
Job
Server
CollectionManagement
Warehouse
Catalog
EventSubscription
Lab
Done.
Contoh: Menampilkan tindakan tingkat koleksi yang tersedia
Contoh berikut menampilkan tindakan apa yang tersedia untuk namespace layanan tingkat server di tingkat koleksi.
tfssecurity /a Server /collection:CollectionURL
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
The following actions are available in the security namespace Server:
GenericRead
GenericWrite
Impersonate
TriggerEvent
Done.
Contoh: Menetapkan izin tingkat instans
Contoh berikut menghapus izin tingkat server Lihat informasi tingkat instans ke koleksi penyebaran ADatumCorporation untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "n:Datum1\jpeoples"...
[U] Datum1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
Done.
Contoh: Menghapus izin tingkat koleksi
Contoh berikut menghapus izin tingkat koleksi Lihat informasi tingkat koleksi ke koleksi proyek Collection0 untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).
tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing the access control entry...
Verifying...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [Collection0]\Project Collection ValidUsers
[+] GenericRead [Collection0]\Project Collection Service Accounts
[+] GenericWrite [Collection0]\Project Collection Service Accounts
[+] Impersonate [Collection0]\Project Collection Service Accounts
[+] TriggerEvent [Collection0]\Project Collection Service Accounts
[+] GenericRead [Collection0]\Project Collection Administrators
[+] GenericWrite [Collection0]\Project Collection Administrators
[+] TriggerEvent [Collection0]\Project Collection Administrators
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [Collection0]\Project Collection Build Service Accounts
Done.
/acl: Menampilkan daftar kontrol akses
Gunakan /acl untuk menampilkan daftar kontrol akses yang berlaku untuk objek tertentu.
tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /acl, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Referensi izin untuk Azure DevOps Server.
Parameter
| Argumen | Deskripsi |
|---|---|
| Ruang nama | Namespace layanan yang berisi grup yang ingin Anda tambahkan izinnya untuk pengguna atau grup. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Entri kontrol akses adalah mekanisme keamanan yang menentukan operasi mana yang diizinkan untuk dilakukan oleh pengguna, grup, layanan, atau komputer.
Contoh: Membuat daftar penugasan ACL ke namespace layanan tingkat server
Contoh berikut menampilkan pengguna dan grup apa yang memiliki akses ke token FrameworkGlobalSecurity di server namespace dalam penyebaran ADatumCorporation.
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Retrieving the access control list for object "Server"...
Effective ACL on object "FrameworkGlobalSecurity":
[+] GenericRead [INSTANCE]\Team Foundation Valid Users
[+] GenericRead [INSTANCE]\SharePoint Web Application Services
[+] Impersonate [INSTANCE]\SharePoint Web Application Services
[+] GenericRead [INSTANCE]\Team Foundation Service Accounts
[+] GenericWrite [INSTANCE]\Team Foundation Service Accounts
[+] Impersonate [INSTANCE]\Team Foundation Service Accounts
[+] TriggerEvent [INSTANCE]\Team Foundation Service Accounts
[+] GenericRead [INSTANCE]\Team Foundation Administrators
[+] GenericWrite [INSTANCE]\Team Foundation Administrators
[+] TriggerEvent [INSTANCE]\Team Foundation Administrators
[+] GenericRead DATUM1\jpeoples
Done.
Grup
/g: Mencantumkan grup
Gunakan /g untuk mencantumkan grup dalam proyek, dalam koleksi proyek, atau di seluruh Azure DevOps Server.
tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /g, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk menggunakan perintah /g dalam cakupan proyek tunggal, Anda harus mengatur izin Lihat informasi tingkat proyek ke Izinkan. Untuk informasi selengkapnya, lihat Referensi izin dan grup.
Parameter
| Argumen | Deskripsi |
|---|---|
| scope | Opsional. Menentukan URI proyek yang ingin Anda tampilkan grupnya. Untuk mendapatkan URI untuk proyek, buka Team Explorer, klik kanan proyek, klik Properti, dan salin seluruh entri untuk URL. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Perintah /g dari utilitas baris perintah TFSSecurity menampilkan informasi tentang setiap grup dalam cakupan yang dipilih. Cakupan ini dapat berupa koleksi proyek (/server) atau server tingkat aplikasi (/instans). Jika digunakan dengan cakupan proyek, proyek hanya akan menampilkan informasi tentang grup yang terkait dengan proyek tersebut.
Contoh: Menampilkan informasi grup tingkat koleksi
Contoh berikut menampilkan informasi untuk semua grup dalam koleksi proyek.
tfssecurity /g /collection:CollectionURL
/g+: Menambahkan pengguna atau grup lain ke grup yang sudah ada
Gunakan /g+ untuk menambahkan pengguna atau grup lain ke grup yang sudah ada.
tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /g+, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /koleksi atau /server, masing-masing. Untuk informasi selengkapnya, lihat Grup keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| groupIdentity | Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| memberIdentity | Menentukan identitas anggota. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Anda juga dapat menambahkan pengguna dan grup ke grup yang sudah ada menggunakan Team Explorer. Untuk informasi selengkapnya, lihat Mengatur izin di tingkat proyek atau koleksi.
Contoh: Menambahkan pengguna ke grup tingkat server
Contoh berikut menambahkan pengguna domain Datum1 John Peoples (Datum1\jpeoples) ke grup Administrator Team Foundation.
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
4 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/g-: Hapus pengguna atau grup
Gunakan /g- untuk menghapus pengguna atau grup pengguna dari grup yang sudah ada.
tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /g-, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| groupIdentity | Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| memberIdentity | Menentukan identitas anggota. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Anda juga dapat menambahkan pengguna dan grup ke grup yang sudah ada menggunakan Team Explorer. Untuk informasi selengkapnya, lihat Menghapus pengguna dari grup proyek atau Mengatur izin di tingkat proyek atau koleksi.
Contoh: Hapus pengguna dari grup tingkat server
Contoh berikut menghapus pengguna domain Datum1 John Peoples (Datum1\jpeoples) dari grup Team Foundation Administrators.
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
Verifying...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [INSTANCE]\Team Foundation Administrators
Description: Members of this group can perform all operations on the Team Foundation Application Instance.
3 member(s):
[U] Datum1\hholt (Holly Holt)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [INSTANCE]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [Collection0]\Project Collection Administrators
e [A] [INSTANCE]\Team Foundation Valid Users
Done.
/gc: Membuat grup tingkat proyek
Gunakan /gc pada perintah untuk membuat grup tingkat proyek. Untuk membuat grup tingkat proyek dari antarmuka pengguna, lihat Mengelola pengguna atau grup.
tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]
Prasyarat
Untuk menggunakan perintah /gc, Anda harus memiliki izin Edit Informasi Tingkat Proyek untuk proyek tersebut yang disetel ke Izinkan. Untuk informasi selengkapnya, lihat Referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| Cakupan | URI proyek yang ingin Anda tambahkan grup tingkat proyeknya. Untuk mendapatkan URI untuk proyek, sambungkan, dan buka Team Explorer, arahkan mouse ke atas nama proyek di Beranda, dan baca alamatnya. Atau, sambungkan ke proyek di Akses Web dan salin URL. |
| GroupName | Nama grup baru. |
| GroupDescription | Deskripsi grup proyek. Opsional. |
| /collection :CollectionURL | URL koleksi proyek. Wajib diisi. Grup akan dibuat dalam koleksi proyek. Format untuk URL adalah http:// ServerName : Port / VirtualDirectoryName / CollectionName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Grup tingkat proyek adalah grup keamanan untuk proyek Anda. Anda dapat menggunakan grup proyek untuk memberikan izin baca, tulis, dan administratif yang memenuhi persyaratan keamanan organisasi Anda.
Contoh: Menambahkan grup keamanan ke proyek
Contoh berikut membuat grup yang khusus untuk proyek yang ditentukan URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000". Grup diberi nama "Grup Uji" dan memiliki deskripsi "Grup ini untuk pengujian."
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
Anda harus mengganti GUID tempat penampung dengan URI proyek yang ingin Anda buat grup ini. Untuk mendapatkan URI untuk proyek, buka Team Explorer, klik kanan proyek, klik Properti, dan salin seluruh nilai properti URL.
Setelah menjalankan perintah, Anda dapat memverifikasi grup di Team Explorer. Klik kanan proyek yang Anda gunakan dalam perintah, klik Pengaturan Proyek, lalu klik Keanggotaan Grup. Dalam kotak dialog Proyek Grup di TeamProjectName, daftar Grup menyertakan Grup Uji .
Catatan
Anda dapat menggunakan perintah /gc untuk membuat grup tetapi tidak menambahkan pengguna apa pun ke grup atau menetapkan izin apa pun. Untuk mengubah keanggotaan grup, lihat /g+: Menambahkan pengguna atau grup lain ke grup yang sudah ada dan /g-: Menghapus pengguna atau grup. Untuk mengubah izin untuk grup, lihat /a+: Menambahkan izin dan /a-: Menghapus pengguna atau grup dari keanggotaan dalam grup.
tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL
/gcg: Membuat server atau grup tingkat koleksi
Gunakan perintah /gcg untuk membuat grup tingkat server atau tingkat koleksi. Untuk membuat grup tingkat koleksi dari portal web, lihat Mengatur izin di tingkat proyek atau koleksi.
tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`
Prasyarat
Untuk menggunakan perintah /gcg, Anda harus memiliki izin Edit informasi tingkat proyek untuk proyek tersebut yang disetel ke Izinkan. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| GroupName | Nama grup. |
| GroupDescription | Deskripsi grup. Opsional. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Grup tingkat server dibuat langsung di tingkat aplikasi dan berlaku untuk semua koleksi proyek. Tingkat koleksi dibuat pada tingkat pengumpulan proyek. Mereka berlaku untuk koleksi tersebut dan memiliki implikasi untuk semua proyek dalam koleksi. Sebaliknya, grup proyek berlaku untuk proyek tertentu dalam koleksi tetapi tidak ada proyek lain dalam koleksi tersebut. Anda dapat menetapkan izin ke grup tingkat server sehingga anggota grup tersebut dapat melakukan tugas di Azure DevOps Server itu sendiri, seperti membuat koleksi proyek. Anda dapat menetapkan izin ke grup tingkat koleksi sehingga anggota grup tersebut dapat melakukan tugas di seluruh koleksi proyek, seperti mengelola pengguna.
Catatan
Anda dapat menggunakan perintah /gcg untuk membuat grup tetapi tidak menambahkan pengguna apa pun ke grup atau menetapkan izin apa pun. Untuk mengubah keanggotaan grup, lihat /g+: Menambahkan pengguna atau grup lain ke grup yang sudah ada dan /g-: Menghapus pengguna atau grup. Untuk informasi tentang cara mengubah izin untuk grup, lihat /a+: Menambahkan izin dan /a-: Menghapus pengguna atau grup dari keanggotaan dalam grup.
Contoh: Menambahkan kelompok keamanan tingkat koleksi
Contoh berikut membuat grup tingkat koleksi yang diberi nama "Penguji Datum" dengan deskripsi "A. Penguji Perusahaan Datum."
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL
Contoh berikut membuat grup tingkat koleksi yang diberi nama "Auditor Datum" dengan deskripsi "A. Auditor Perusahaan Datum."
tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL
/gd: Menghapus server atau grup tingkat koleksi
Gunakan /gd untuk menghapus grup tingkat server atau tingkat koleksi.
tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /gd, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| groupIdentity | Menentukan identitas grup. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps. Untuk mengubah izin melalui portal web, lihat Mengatur izin di tingkat proyek atau koleksi.
Contoh: Menambahkan kelompok keamanan tingkat koleksi
Contoh berikut menghapus grup dari koleksi proyek. Grup ini diidentifikasi oleh "S-1-5-21-2127521184-1604012920-1887927527-588340", pengidentifikasi keamanan (SID). Untuk informasi selengkapnya tentang menemukan SID grup, lihat /im: Menampilkan informasi tentang identitas yang menyusun keanggotaan langsung. Anda juga dapat menggunakan nama yang mudah diingat untuk menghapus grup.
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL
/gud: Mengubah deskripsi untuk server atau grup tingkat koleksi
Gunakan /gud untuk mengubah deskripsi untuk grup tingkat server atau koleksi.
tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /gud, Anda harus memiliki izin Edit informasi tingkat proyek yang disetel ke Izinkan. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| GroupIdentity | Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| GroupDescription | Menentukan deskripsi baru untuk grup. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Contoh: Menambahkan deskripsi ke kelompok keamanan
Contoh berikut mengaitkan deskripsi "Anggota grup ini menguji kode untuk proyek ini" dengan grup "Penguji Datum."
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL
/gun: Mengganti nama grup
Gunakan /gun untuk mengganti nama grup tingkat server atau tingkat koleksi.
tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /gun, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| GroupIdentity | Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| GroupName | Menentukan nama baru grup. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Contoh: Mengganti nama kelompok keamanan
Contoh berikut mengganti nama grup tingkat koleksi "A. Penguji Perusahaan Datum." menjadi “A. Teknisi Uji Perusahaan Datum."
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL
Identitas dan keanggotaan
/i: Menampilkan informasi identitas untuk grup tertentu
Gunakan /i untuk menampilkan informasi identitas untuk grup tertentu dalam penyebaran Azure DevOps Server.
tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /i, Anda harus memiliki izin Lihat informasi tingkat koleksi atau Lihat informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| Identitas | Identitas pengguna atau grup aplikasi. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Perintah /i dari utilitas baris perintah TFSSecurity menampilkan informasi tentang setiap grup dalam koleksi proyek (/server) atau server tingkat aplikasi (/instans). Ini tidak menampilkan informasi keanggotaan apa pun.
Contoh: Mencantumkan informasi identitas untuk kelompok keamanan
Contoh berikut menampilkan informasi identitas untuk grup "Administrator Team Foundation".
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /i "Team Foundation Administrators" /server:ServerURL
Contoh output:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
Contoh: Menampilkan informasi identitas untuk kelompok keamanan
Contoh berikut menampilkan informasi identitas untuk grup Project Collection Administrators menggunakan adm: penentu identitas.
tfssecurity /i adm: /collection:CollectionURL
Contoh output:
Resolving identity "adm:"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
Contoh berikut menampilkan informasi identitas untuk grup Project Administrators untuk proyek "Datum" menggunakan adm: penentu identitas.
tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Contoh output:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
/im: Menampilkan informasi tentang identitas yang menyusun keanggotaan langsung
Gunakan /im untuk menampilkan informasi tentang identitas yang menyusun keanggotaan langsung grup yang Anda tentukan.
tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /im, Anda harus memiliki izin Lihat informasi tingkat koleksi atau Lihat informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| Identitas | Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Perintah /im dari TFSSecurity menampilkan anggota langsung dari grup yang ditentukan saja. Daftar ini mencakup grup lain yang merupakan anggota grup yang ditentukan. Namun, anggota grup anggota yang sebenarnya tidak tercantum.
Contoh: Menampilkan identitas keanggotaan untuk kelompok keamanan
Contoh berikut menampilkan informasi identitas keanggotaan langsung untuk grup "Team Foundation Administrators" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum".
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /im "Team Foundation Administrators" /server:ServerURL
Contoh output:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
3 member(s):
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 2 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Contoh: Menampilkan informasi identitas untuk kelompok keamanan
Contoh berikut menampilkan informasi identitas untuk grup Project Collection Administrators di koleksi proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.
tfssecurity /im adm: /collection:CollectionURL
Contoh output:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
5 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)
Done.
Contoh: Menampilkan informasi identitas untuk kelompok keamanan menggunakan penentu identitas
Contoh berikut menampilkan informasi identitas untuk grup Project Administrators untuk proyek "Datum" di kumpulan proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.
tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Contoh output:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
/imx: Menampilkan informasi tentang identitas yang diperluas keanggotaannya
Gunakan /imx untuk menampilkan informasi tentang identitas yang menyusun keanggotaan yang diperluas dari grup tertentu.
tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /imx, Anda harus memiliki izin Lihat informasi tingkat koleksi atau Lihat informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection/server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Parameter
| Argumen | Deskripsi |
|---|---|
| Identitas | Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.
Perintah /imx dari TFSSecurity hanya menampilkan anggota yang diperluas dari grup yang ditentukan. Daftar ini tidak hanya mencakup grup lain yang merupakan anggota grup yang ditentukan tetapi juga anggota grup anggota.
Contoh: Menampilkan informasi keanggotaan yang diperluas untuk kelompok keamanan
Contoh berikut menampilkan informasi identitas keanggotaan yang diperluas untuk grup "Team Foundation Administrators" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum".
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /imx "Team Foundation Administrators" /server:ServerURL
Contoh output:
Resolving identity "Team Foundation Administrators"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: Team Foundation Administrators
Description: Members of this application group can perform all privileged operations on the server.
10 member(s):
[U] Datum1\hholt (Holly Holt)
[U] Datum1\jpeoples (John Peoples)
[U] Datum1\tommyh (Tommy Hartono)
[U] Datum1\henriea (Henriette Andersen)
[U] Datum1\djayne (Darcy Jayne)
[U] Datum1\aprilr (April Reagan)
[G] Datum1\InfoSec Secure Environment
[U] Datum1\nbento (Nuno Bento)
[U] Datum1\cristp (Cristian Petculescu)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
s [A] [InstanceName]\Team Foundation Service Accounts
Member of 3 group(s):
a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Contoh berikut menampilkan informasi identitas untuk grup Project Collection Administrators di koleksi proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.
tfssecurity /imx adm: /collection:CollectionURL
Contoh output:
Resolving identity "adm: "...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Server scope
Display name: [DatumOne]\Project Collection Administrators
Description: Members of this application group can perform all privileged operations on the project collection.
6 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
[G] BUILTIN\Administrators (BUILTIN\Administrators)
a [A] [InstanceName]\Team Foundation Administrators
s [A] [InstanceName]\Team Foundation Service Accounts
s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)
Member of 1 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
Done.
Contoh: Menampilkan informasi identitas untuk kelompok keamanan menggunakan penentu identitas
Contoh berikut menampilkan informasi identitas untuk grup Project Administrators untuk proyek "Datum" di kumpulan proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.
tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL
Contoh output:
Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...
SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX
DN:
Identity type: Team Foundation Server application group
Group type: AdministrativeApplicationGroup
Project scope: Datum
Display name: [Datum]\Project Administrators
Description: Members of this application group can perform all operations in the project.
2 member(s):
[U] Datum1\jpeoples (Peoples, John)
[U] Datum1\hholt (Holt, Holly)
Member of 2 group(s):
e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
e [A] [InstanceName]\Team Foundation Valid Users
Done.
Untuk informasi selengkapnya tentang penentu output, seperti [G] dan [U], lihat Penentu identitas nanti di artikel ini.
/m: Periksa keanggotaan grup eksplisit dan implisit
Gunakan /m untuk memeriksa informasi keanggotaan grup eksplisit dan implisit untuk grup atau pengguna tertentu.
tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]
Prasyarat
Untuk menggunakan perintah /m , Anda harus menjadi anggota kelompok keamanan Team Foundation Administrators. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.
Catatan
Bahkan jika masuk dengan kredensial administratif, Anda harus membuka Perintah yang ditinggikan untuk melakukan fungsi ini.
Parameter
| Argumen | Deskripsi |
|---|---|
| GroupIdentity | Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| MemberIdentity | Menentukan identitas anggota. Secara default, nilai argumen ini adalah identitas pengguna yang menjalankan perintah. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini. |
| /collection :CollectionURL | Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName |
| /server :ServerURL | Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName |
Keterangan
Jalankan perintah ini pada komputer tingkat aplikasi lokal.
Perintah /m dari utilitas baris perintah TFSSecurity memeriksa keanggotaan langsung dan diperpanjang.
Contoh: Memverifikasi keanggotaan pengguna dalam kelompok keamanan
Contoh berikut memverifikasi apakah pengguna "Datum1\jpeoples" milik grup tingkat server Team Foundation Administrators.
Catatan
Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.
tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080
Contoh output:
TFSSecurity - Team Foundation Server Security Tool
Copyright (c) Microsoft Corporation. All rights reserved.
The target Team Foundation Server is http://ADatumCorporation:8080/.
Resolving identity "Team Foundation Administrators"...
a [A] [INSTANCE]\Team Foundation Administrators
Resolving identity "n:Datum1\jpeoples"...
[U] DATUM1\jpeoples (John Peoples)
Checking group membership...
John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.
Done.
Namespace layanan keamanan
Catatan
Namespace layanan dan token berlaku untuk semua versi Azure DevOps. Namespace layanan dapat berubah dari waktu ke waktu. Untuk mendapatkan daftar namespace layanan terbaru, jalankan salah satu alat baris perintah atau REST API. Beberapa namespace layanan tidak digunakan lagi. Untuk informasi selengkapnya, lihat Namespace layanan keamanan dan referensi izin.
Penentu identitas
Anda bisa mereferensikan identitas dengan menggunakan salah satu notasi dalam tabel berikut.
| Penentu identitas | Deskripsi | Contoh |
|---|---|---|
| Sid: Sid. | Mereferensikan identitas yang memiliki pengidentifikasi keamanan (SID) yang ditentukan. | sid:S-1-5-21-2127521184-1604012920-1887927527-588340 |
| n:[D omain]Nama | Mereferensikan identitas yang memiliki nama yang ditentukan. Untuk Windows, Nama adalah nama akun. Jika identitas yang dirujuk ada di domain, nama domain diperlukan. Untuk grup aplikasi, Nama adalah nama tampilan grup, dan Domain adalah URI atau GUID dari proyek yang berisi. Dalam konteks ini, jika Domain dihilangkan, cakupan diasumsikan berada di tingkat koleksi. | Untuk mereferensikan identitas pengguna "John Peoples" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum:" n:DATUM1\jpeoples Untuk mereferensikan grup aplikasi: n:"Karyawan Tetap" n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors |
| adm:[Scope] | Mereferensikan grup aplikasi administratif untuk cakupan, seperti "Team Foundation Administrators" untuk tingkat server atau "Project Collection Administrators" di tingkat koleksi. Cakupan parameter opsional adalah URI atau URL proyek, termasuk GUID dan string koneksinya. Jika cakupan dihilangkan, cakupan server atau koleksi diasumsikan berdasarkan apakah parameter /instance atau /server digunakan. Dalam kedua kasus, titik dua masih diperlukan. | adm:vstfs:///Classification/TeamProject/ GUID |
| srv: | Mereferensikan grup aplikasi untuk akun layanan. | Tidak berlaku |
| all: | Mereferensikan semua grup dan identitas. | Tidak berlaku |
| String | Mereferensikan string yang tidak memenuhi syarat. Jika String dimulai dengan S-1-, string diidentifikasi sebagai SID. Jika String dimulai dengan CN= atau LDAP:// itu diidentifikasi sebagai nama yang dibedakan. Jika tidak, String diidentifikasi sebagai nama. | "Penguji tim" |
Ketik penanda
Penanda berikut digunakan untuk mengidentifikasi jenis identitas dan ACE dalam pesan output.
Penanda jenis identitas
| Penanda jenis identitas | Deskripsi |
|---|---|
| U | Pengguna Windows. |
| G | Grup Windows. |
| A | Grup aplikasi Azure DevOps Server. |
| a [ A ] | Grup aplikasi administratif. |
| s [ A ] | Grup aplikasi akun layanan. |
| X | Identitas tidak valid. |
| ? | Identitas tidak diketahui. |
Penanda entri kontrol akses
| Penanda entri kontrol akses | Deskripsi |
|---|---|
| + | IZINKAN entri kontrol akses. |
| - | TOLAK entri kontrol akses. |
| * [] | Entri kontrol akses yang diwarisi. |