Bagikan melalui


Menggunakan TFSSecurity untuk mengelola grup dan izin untuk Azure DevOps

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Anda dapat menggunakan alat baris perintah TFSSecurity untuk membuat, memodifikasi, dan menghapus grup dan pengguna di Azure DevOps Server, serta memodifikasi izin untuk grup dan pengguna. Untuk informasi tentang cara melakukan tugas ini di antarmuka pengguna, lihat Menambahkan pengguna atau grup ke proyek.

Penting

Alat baris perintah TFSSecurity tidak digunakan lagi untuk digunakan dengan layanan Azure DevOps. Meskipun TFSSecurity mungkin berfungsi untuk beberapa skenario Azure DevOps Services, TFSSecurity tidak didukung. Metode yang disarankan untuk membuat perubahan pada grup keamanan dan izin untuk Azure DevOps Services adalah menggunakan alat baris perintah Web portal, az devops security atau az devops permission, atau REST API Keamanan.

Lokasi alat baris perintah

Alat baris perintah Azure DevOps dipasang di direktori /Tools dari server tingkat aplikasi Azure DevOps.

  • Azure DevOps Server 2020: %programfiles%\Azure DevOps Server 2020\Tools
  • Azure DevOps Server 2019: %programfiles%\Azure DevOps Server 2019\Tools
  • TFS 2018: %programfiles%\Microsoft Team Foundation Server 2018\Tools
  • TFS 2017: %programfiles%\Microsoft Team Foundation Server 15.0\Tools
  • TFS 2015: %programfiles%\Microsoft Team Foundation Server 14.0\Tools
  • TFS 2013: %programfiles%\Microsoft Team Foundation Server 12.0\Tools
  • TFS 2012: %programfiles%\Microsoft Team Foundation Server 11.0\Tools
  • TFS 2010: %programfiles%\Microsoft Team Foundation Server 2010\Tools

Catatan

Bahkan jika masuk dengan kredensial administratif, Anda harus membuka Perintah yang ditinggikan untuk melakukan fungsi ini.

Izin

/a+: Tambahkan Izin

Gunakan /a+ untuk menambahkan izin bagi pengguna atau grup dalam grup tingkat server, tingkat koleksi, atau tingkat proyek. Untuk menambahkan pengguna ke grup dari portal web, lihat Mengatur izin di tingkat proyek atau koleksi.

tfssecurity /a+ Namespace Token Action Identity (ALLOW | DENY)[/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /a+, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Jika mengubah izin untuk proyek, Anda juga harus memiliki izin Edit informasi tingkat proyek untuk proyek yang diatur ke Izinkan. Untuk informasi selengkapnya, lihat Referensi izin dan grup.

Parameter

Argumen Deskripsi
Ruang nama Namespace layanan yang berisi grup yang ingin Anda tambahkan izinnya untuk pengguna atau grup. Anda juga dapat menggunakan perintah tfssecurity /a untuk melihat daftar namespace layanan di tingkat server, koleksi, dan proyek.
Identitas Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini.
  • ALLOW
    Grup atau pengguna dapat melakukan operasi yang ditentukan oleh Tindakan.
  • DENY
    Grup atau pengguna dapat melakukan operasi yang ditentukan oleh Tindakan.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Entri kontrol akses adalah mekanisme keamanan yang menentukan operasi mana yang diizinkan untuk dilakukan oleh pengguna, grup, layanan, atau komputer.

Contoh: Menampilkan namespace layanan yang tersedia

Contoh berikut menampilkan namespace layanan apa yang tersedia di tingkat server untuk server tingkat aplikasi yang bernama ADatumCorporation.

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /a /server:ServerURL 

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Contoh: Menampilkan tindakan yang tersedia

Contoh berikut menampilkan tindakan apa yang tersedia untuk namespace layanan tingkat server di tingkat koleksi.

tfssecurity /a Server /collection:CollectionURL 

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Contoh: Menetapkan izin tingkat instans

Contoh berikut memberikan izin Lihat informasi tingkat instans tingkat server ke penyebaran ADatumCorporation untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
      [+] GenericRead                        DATUM1\jpeoples

    Done.

Contoh: Menetapkan izin tingkat koleksi

Contoh berikut memberikan izin informasi tingkat koleksi Tampilan tingkat koleksi ke koleksi proyek Collection0 untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts
      [+] GenericRead                        DATUM1\jpeoples

    Done.

/a-: Menghapus pengguna atau grup dari keanggotaan dalam grup

Gunakan perintah /a- untuk menghapus pengguna atau grup dari keanggotaan dalam grup tingkat server, tingkat koleksi, atau tingkat proyek. Untuk menghapus pengguna dari grup dari portal web, lihat Menghapus akun pengguna.

tfssecurity /a- Namespace Token Action Identity (ALLOW | DENY) [/collection:CollectionURL] [/server:ServerURI]

Prasyarat

Untuk menggunakan perintah /a+, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Jika mengubah izin untuk proyek, Anda juga harus memiliki izin Edit informasi tingkat proyek untuk proyek yang diatur ke Izinkan.

Parameter

Argumen Deskripsi
Ruang nama Namespace layanan yang berisi grup yang ingin Anda tambahkan izinnya untuk pengguna atau grup. Anda juga dapat menggunakan perintah tfssecurity /a untuk melihat daftar namespace layanan di tingkat server, koleksi, dan proyek.
Identitas Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini.
  • ALLOW
    Grup atau pengguna dapat melakukan operasi yang ditentukan oleh Tindakan.
  • DENY
    Grup atau pengguna dapat melakukan operasi yang ditentukan oleh Tindakan.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Entri kontrol akses adalah mekanisme keamanan yang menentukan operasi mana yang diizinkan untuk dilakukan oleh pengguna, grup, layanan, atau komputer.

Contoh: Menampilkan namespace layanan tingkat server

Contoh berikut menampilkan namespace layanan apa yang tersedia di tingkat server untuk server tingkat aplikasi yang bernama ADatumCorporation.

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /a /server:ServerURL 

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following security namespaces are available to have permissions set on them:

         Registry
         Identity
         Job
         Server
         CollectionManagement
         Warehouse
         Catalog
         EventSubscription
         Lab

    Done.

Contoh: Menampilkan tindakan tingkat koleksi yang tersedia

Contoh berikut menampilkan tindakan apa yang tersedia untuk namespace layanan tingkat server di tingkat koleksi.

tfssecurity /a Server /collection:CollectionURL 

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.

    The following actions are available in the security namespace Server:
        GenericRead
        GenericWrite
        Impersonate
        TriggerEvent

    Done.

Contoh: Menetapkan izin tingkat instans

Contoh berikut menghapus izin tingkat server Lihat informasi tingkat instans ke koleksi penyebaran ADatumCorporation untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a- Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /server:http://ADatumCorporation:8080 

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "n:Datum1\jpeoples"...
      [U] Datum1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
      [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
      [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
      [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
      [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
      [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators

    Done.

Contoh: Menghapus izin tingkat koleksi

Contoh berikut menghapus izin tingkat koleksi Lihat informasi tingkat koleksi ke koleksi proyek Collection0 untuk pengguna domain Datum1 John Peoples (Datum1\jpeoples).

tfssecurity /a+ Server FrameworkGlobalSecurity GenericRead n:Datum1\jpeoples ALLOW /collection:http://ADatumCorporation:8080/Collection0

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.
    The target Team Foundation Server is http://ADatumCorporation:8080/COLLECTION0.
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing the access control entry...
    Verifying...

    Effective ACL on object "FrameworkGlobalSecurity":
      [+] GenericRead                        [Collection0]\Project Collection ValidUsers
      [+] GenericRead                        [Collection0]\Project Collection Service Accounts
      [+] GenericWrite                       [Collection0]\Project Collection Service Accounts
      [+] Impersonate                        [Collection0]\Project Collection Service Accounts
      [+] TriggerEvent                       [Collection0]\Project Collection Service Accounts
      [+] GenericRead                        [Collection0]\Project Collection Administrators
      [+] GenericWrite                       [Collection0]\Project Collection Administrators
      [+] TriggerEvent                       [Collection0]\Project Collection Administrators
      [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
      [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
      [+] GenericRead                        [Collection0]\Project Collection Build Service Accounts

    Done.

/acl: Menampilkan daftar kontrol akses

Gunakan /acl untuk menampilkan daftar kontrol akses yang berlaku untuk objek tertentu.

tfssecurity /acl Namespace Token [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /acl, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Referensi izin untuk Azure DevOps Server.

Parameter

Argumen Deskripsi
Ruang nama Namespace layanan yang berisi grup yang ingin Anda tambahkan izinnya untuk pengguna atau grup.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Entri kontrol akses adalah mekanisme keamanan yang menentukan operasi mana yang diizinkan untuk dilakukan oleh pengguna, grup, layanan, atau komputer.

Contoh: Membuat daftar penugasan ACL ke namespace layanan tingkat server

Contoh berikut menampilkan pengguna dan grup apa yang memiliki akses ke token FrameworkGlobalSecurity di server namespace dalam penyebaran ADatumCorporation.

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /acl Server FrameworkGlobalSecurity /server:ServerURL 

Contoh output:

	TFSSecurity - Team Foundation Server Security Tool
	Copyright (c) Microsoft Corporation.  All rights reserved.
	The target Team Foundation Server is http://ADatumCorporation:8080/.
	Retrieving the access control list for object "Server"...

	Effective ACL on object "FrameworkGlobalSecurity":
	  [+] GenericRead                        [INSTANCE]\Team Foundation Valid Users
	  [+] GenericRead                        [INSTANCE]\SharePoint Web Application Services
	  [+] Impersonate                        [INSTANCE]\SharePoint Web Application Services
	  [+] GenericRead                        [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Service Accounts
	  [+] Impersonate                        [INSTANCE]\Team Foundation Service Accounts
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Service Accounts
	  [+] GenericRead                        [INSTANCE]\Team Foundation Administrators
	  [+] GenericWrite                       [INSTANCE]\Team Foundation Administrators
	  [+] TriggerEvent                       [INSTANCE]\Team Foundation Administrators
	  [+] GenericRead                        DATUM1\jpeoples

	Done.

Grup

/g: Mencantumkan grup

Gunakan /g untuk mencantumkan grup dalam proyek, dalam koleksi proyek, atau di seluruh Azure DevOps Server.

tfssecurity /g [scope] [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /g, Anda harus memiliki izin Lihat informasi tingkat koleksi atau izin Lihat informasi tingkat instans yang disetel ke Izinkan, tergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk menggunakan perintah /g dalam cakupan proyek tunggal, Anda harus mengatur izin Lihat informasi tingkat proyek ke Izinkan. Untuk informasi selengkapnya, lihat Referensi izin dan grup.

Parameter

Argumen Deskripsi
scope Opsional. Menentukan URI proyek yang ingin Anda tampilkan grupnya. Untuk mendapatkan URI untuk proyek, buka Team Explorer, klik kanan proyek, klik Properti, dan salin seluruh entri untuk URL.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Perintah /g dari utilitas baris perintah TFSSecurity menampilkan informasi tentang setiap grup dalam cakupan yang dipilih. Cakupan ini dapat berupa koleksi proyek (/server) atau server tingkat aplikasi (/instans). Jika digunakan dengan cakupan proyek, proyek hanya akan menampilkan informasi tentang grup yang terkait dengan proyek tersebut.

Contoh: Menampilkan informasi grup tingkat koleksi

Contoh berikut menampilkan informasi untuk semua grup dalam koleksi proyek.

tfssecurity /g /collection:CollectionURL

/g+: Menambahkan pengguna atau grup lain ke grup yang sudah ada

Gunakan /g+ untuk menambahkan pengguna atau grup lain ke grup yang sudah ada.

tfssecurity /g+ groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /g+, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /koleksi atau /server, masing-masing. Untuk informasi selengkapnya, lihat Grup keamanan dan referensi izin.

Parameter

Argumen Deskripsi
groupIdentity Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
memberIdentity Menentukan identitas anggota. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Anda juga dapat menambahkan pengguna dan grup ke grup yang sudah ada menggunakan Team Explorer. Untuk informasi selengkapnya, lihat Mengatur izin di tingkat proyek atau koleksi.

Contoh: Menambahkan pengguna ke grup tingkat server

Contoh berikut menambahkan pengguna domain Datum1 John Peoples (Datum1\jpeoples) ke grup Administrator Team Foundation.

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /g+ "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Adding John Peoples to [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    4 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/g-: Hapus pengguna atau grup

Gunakan /g- untuk menghapus pengguna atau grup pengguna dari grup yang sudah ada.

tfssecurity /g- groupIdentity memberIdentity [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /g-, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
groupIdentity Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
memberIdentity Menentukan identitas anggota. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Anda juga dapat menambahkan pengguna dan grup ke grup yang sudah ada menggunakan Team Explorer. Untuk informasi selengkapnya, lihat Menghapus pengguna dari grup proyek atau Mengatur izin di tingkat proyek atau koleksi.

Contoh: Hapus pengguna dari grup tingkat server

Contoh berikut menghapus pengguna domain Datum1 John Peoples (Datum1\jpeoples) dari grup Team Foundation Administrators.

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /g- "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Removing John Peoples from [INSTANCE]\Team Foundation Administrators...
    Verifying...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [INSTANCE]\Team Foundation Administrators
      Description: Members of this group can perform all operations on the Team Foundation Application Instance.

    3 member(s):
      [U] Datum1\hholt (Holly Holt)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [INSTANCE]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [Collection0]\Project Collection Administrators
    e [A] [INSTANCE]\Team Foundation Valid Users

    Done.

/gc: Membuat grup tingkat proyek

Gunakan /gc pada perintah untuk membuat grup tingkat proyek. Untuk membuat grup tingkat proyek dari antarmuka pengguna, lihat Mengelola pengguna atau grup.

tfssecurity /gc Scope GroupName [GroupDescription] [/collection:CollectionURL]

Prasyarat

Untuk menggunakan perintah /gc, Anda harus memiliki izin Edit Informasi Tingkat Proyek untuk proyek tersebut yang disetel ke Izinkan. Untuk informasi selengkapnya, lihat Referensi izin.

Parameter

Argumen Deskripsi
Cakupan URI proyek yang ingin Anda tambahkan grup tingkat proyeknya. Untuk mendapatkan URI untuk proyek, sambungkan, dan buka Team Explorer, arahkan mouse ke atas nama proyek di Beranda, dan baca alamatnya. Atau, sambungkan ke proyek di Akses Web dan salin URL.
GroupName Nama grup baru.
GroupDescription Deskripsi grup proyek. Opsional.
/collection :CollectionURL URL koleksi proyek. Wajib diisi. Grup akan dibuat dalam koleksi proyek. Format untuk URL adalah http:// ServerName : Port / VirtualDirectoryName / CollectionName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Grup tingkat proyek adalah grup keamanan untuk proyek Anda. Anda dapat menggunakan grup proyek untuk memberikan izin baca, tulis, dan administratif yang memenuhi persyaratan keamanan organisasi Anda.

Contoh: Menambahkan grup keamanan ke proyek

Contoh berikut membuat grup yang khusus untuk proyek yang ditentukan URI "vstfs://Classification/TeamProject/00000000-0000-0000-0000-000000000000". Grup diberi nama "Grup Uji" dan memiliki deskripsi "Grup ini untuk pengujian."

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

Anda harus mengganti GUID tempat penampung dengan URI proyek yang ingin Anda buat grup ini. Untuk mendapatkan URI untuk proyek, buka Team Explorer, klik kanan proyek, klik Properti, dan salin seluruh nilai properti URL.

Setelah menjalankan perintah, Anda dapat memverifikasi grup di Team Explorer. Klik kanan proyek yang Anda gunakan dalam perintah, klik Pengaturan Proyek, lalu klik Keanggotaan Grup. Dalam kotak dialog Proyek Grup di TeamProjectName, daftar Grup menyertakan Grup Uji .

Catatan

Anda dapat menggunakan perintah /gc untuk membuat grup tetapi tidak menambahkan pengguna apa pun ke grup atau menetapkan izin apa pun. Untuk mengubah keanggotaan grup, lihat /g+: Menambahkan pengguna atau grup lain ke grup yang sudah ada dan /g-: Menghapus pengguna atau grup. Untuk mengubah izin untuk grup, lihat /a+: Menambahkan izin dan /a-: Menghapus pengguna atau grup dari keanggotaan dalam grup.

tfssecurity /gc "vstfs:///Classification/TeamProject/00000000-0000-0000-0000-000000000000" "Test Group" "This group is for team members who test our code" /collection:CollectionURL

/gcg: Membuat server atau grup tingkat koleksi

Gunakan perintah /gcg untuk membuat grup tingkat server atau tingkat koleksi. Untuk membuat grup tingkat koleksi dari portal web, lihat Mengatur izin di tingkat proyek atau koleksi.

tfssecurity /gcg GroupName [GroupDescription] [/collection:CollectionURL] [/server:ServerURL]`

Prasyarat

Untuk menggunakan perintah /gcg, Anda harus memiliki izin Edit informasi tingkat proyek untuk proyek tersebut yang disetel ke Izinkan. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
GroupName Nama grup.
GroupDescription Deskripsi grup. Opsional.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Grup tingkat server dibuat langsung di tingkat aplikasi dan berlaku untuk semua koleksi proyek. Tingkat koleksi dibuat pada tingkat pengumpulan proyek. Mereka berlaku untuk koleksi tersebut dan memiliki implikasi untuk semua proyek dalam koleksi. Sebaliknya, grup proyek berlaku untuk proyek tertentu dalam koleksi tetapi tidak ada proyek lain dalam koleksi tersebut. Anda dapat menetapkan izin ke grup tingkat server sehingga anggota grup tersebut dapat melakukan tugas di Azure DevOps Server itu sendiri, seperti membuat koleksi proyek. Anda dapat menetapkan izin ke grup tingkat koleksi sehingga anggota grup tersebut dapat melakukan tugas di seluruh koleksi proyek, seperti mengelola pengguna.

Catatan

Anda dapat menggunakan perintah /gcg untuk membuat grup tetapi tidak menambahkan pengguna apa pun ke grup atau menetapkan izin apa pun. Untuk mengubah keanggotaan grup, lihat /g+: Menambahkan pengguna atau grup lain ke grup yang sudah ada dan /g-: Menghapus pengguna atau grup. Untuk informasi tentang cara mengubah izin untuk grup, lihat /a+: Menambahkan izin dan /a-: Menghapus pengguna atau grup dari keanggotaan dalam grup.

Contoh: Menambahkan kelompok keamanan tingkat koleksi

Contoh berikut membuat grup tingkat koleksi yang diberi nama "Penguji Datum" dengan deskripsi "A. Penguji Perusahaan Datum."

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /gcg "Datum Testers" "A. Datum Corporation Testers" /collection:CollectionURL

Contoh berikut membuat grup tingkat koleksi yang diberi nama "Auditor Datum" dengan deskripsi "A. Auditor Perusahaan Datum."

tfssecurity /gcg "Datum Auditors" "A. Datum Corporation Auditors" /server:ServerURL

/gd: Menghapus server atau grup tingkat koleksi

Gunakan /gd untuk menghapus grup tingkat server atau tingkat koleksi.

tfssecurity /gd groupIdentity [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /gd, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
groupIdentity Menentukan identitas grup.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps. Untuk mengubah izin melalui portal web, lihat Mengatur izin di tingkat proyek atau koleksi.

Contoh: Menambahkan kelompok keamanan tingkat koleksi

Contoh berikut menghapus grup dari koleksi proyek. Grup ini diidentifikasi oleh "S-1-5-21-2127521184-1604012920-1887927527-588340", pengidentifikasi keamanan (SID). Untuk informasi selengkapnya tentang menemukan SID grup, lihat /im: Menampilkan informasi tentang identitas yang menyusun keanggotaan langsung. Anda juga dapat menggunakan nama yang mudah diingat untuk menghapus grup.

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /gd S-1-5-21-2127521184-1604012920-1887927527-588340 /collection:CollectionURL

/gud: Mengubah deskripsi untuk server atau grup tingkat koleksi

Gunakan /gud untuk mengubah deskripsi untuk grup tingkat server atau koleksi.

tfssecurity /gud GroupIdentity GroupDescription [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /gud, Anda harus memiliki izin Edit informasi tingkat proyek yang disetel ke Izinkan. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
GroupIdentity Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
GroupDescription Menentukan deskripsi baru untuk grup.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Contoh: Menambahkan deskripsi ke kelompok keamanan

Contoh berikut mengaitkan deskripsi "Anggota grup ini menguji kode untuk proyek ini" dengan grup "Penguji Datum."

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /gud "Datum Testers" "The members of this group test the code for this project" /collection:CollectionURL

/gun: Mengganti nama grup

Gunakan /gun untuk mengganti nama grup tingkat server atau tingkat koleksi.

tfssecurity /gun GroupIdentity GroupName [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /gun, Anda harus memiliki izin Lihat informasi tingkat koleksi dan Edit informasi tingkat koleksi atau Lihat informasi tingkat instans dan Edit izin informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
GroupIdentity Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
GroupName Menentukan nama baru grup.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Contoh: Mengganti nama kelompok keamanan

Contoh berikut mengganti nama grup tingkat koleksi "A. Penguji Perusahaan Datum." menjadi “A. Teknisi Uji Perusahaan Datum."

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /gun "A. Datum Corporation Testers" "A. Datum Corporation Test Engineers" /collection:CollectionURL

Identitas dan keanggotaan

/i: Menampilkan informasi identitas untuk grup tertentu

Gunakan /i untuk menampilkan informasi identitas untuk grup tertentu dalam penyebaran Azure DevOps Server.

tfssecurity /i Identity [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /i, Anda harus memiliki izin Lihat informasi tingkat koleksi atau Lihat informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
Identitas Identitas pengguna atau grup aplikasi. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Perintah /i dari utilitas baris perintah TFSSecurity menampilkan informasi tentang setiap grup dalam koleksi proyek (/server) atau server tingkat aplikasi (/instans). Ini tidak menampilkan informasi keanggotaan apa pun.

Contoh: Mencantumkan informasi identitas untuk kelompok keamanan

Contoh berikut menampilkan informasi identitas untuk grup "Administrator Team Foundation".

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /i "Team Foundation Administrators" /server:ServerURL 

Contoh output:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: Team Foundation Administrators
      Description: Members of this application group can perform all privileged operations on the server.

Contoh: Menampilkan informasi identitas untuk kelompok keamanan

Contoh berikut menampilkan informasi identitas untuk grup Project Collection Administrators menggunakan adm: penentu identitas.

tfssecurity /i adm: /collection:CollectionURL 

Contoh output:

    Resolving identity "adm:"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Server scope
     Display name: [DatumOne]\Project Collection Administrators
      Description: Members of this application group can perform all privileged operations on the project collection.

Contoh berikut menampilkan informasi identitas untuk grup Project Administrators untuk proyek "Datum" menggunakan adm: penentu identitas.

tfssecurity /i adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Contoh output:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
       Group type: AdministrativeApplicationGroup
    Project scope: Datum
     Display name: [Datum]\Project Administrators
      Description: Members of this application group can perform all operations in the project.

/im: Menampilkan informasi tentang identitas yang menyusun keanggotaan langsung

Gunakan /im untuk menampilkan informasi tentang identitas yang menyusun keanggotaan langsung grup yang Anda tentukan.

tfssecurity /im Identity [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /im, Anda harus memiliki izin Lihat informasi tingkat koleksi atau Lihat informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection atau /server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
Identitas Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Perintah /im dari TFSSecurity menampilkan anggota langsung dari grup yang ditentukan saja. Daftar ini mencakup grup lain yang merupakan anggota grup yang ditentukan. Namun, anggota grup anggota yang sebenarnya tidak tercantum.

Contoh: Menampilkan identitas keanggotaan untuk kelompok keamanan

Contoh berikut menampilkan informasi identitas keanggotaan langsung untuk grup "Team Foundation Administrators" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum".

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /im "Team Foundation Administrators" /server:ServerURL

Contoh output:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    3 member(s):
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 2 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Contoh: Menampilkan informasi identitas untuk kelompok keamanan

Contoh berikut menampilkan informasi identitas untuk grup Project Collection Administrators di koleksi proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.

tfssecurity /im adm: /collection:CollectionURL 

Contoh output:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    5 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Colleciton Valid Users)

    Done.

Contoh: Menampilkan informasi identitas untuk kelompok keamanan menggunakan penentu identitas

Contoh berikut menampilkan informasi identitas untuk grup Project Administrators untuk proyek "Datum" di kumpulan proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.

tfssecurity /im adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Contoh output:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

/imx: Menampilkan informasi tentang identitas yang diperluas keanggotaannya

Gunakan /imx untuk menampilkan informasi tentang identitas yang menyusun keanggotaan yang diperluas dari grup tertentu.

tfssecurity /imx Identity [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /imx, Anda harus memiliki izin Lihat informasi tingkat koleksi atau Lihat informasi tingkat instans yang disetel ke Izinkan, bergantung pada apakah Anda menggunakan parameter /collection/server, masing-masing. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Parameter

Argumen Deskripsi
Identitas Identitas pengguna atau grup. Untuk informasi selengkapnya tentang penentu identitas, lihat Penentu identitas nanti di artikel ini.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada server tingkat aplikasi untuk Azure DevOps.

Perintah /imx dari TFSSecurity hanya menampilkan anggota yang diperluas dari grup yang ditentukan. Daftar ini tidak hanya mencakup grup lain yang merupakan anggota grup yang ditentukan tetapi juga anggota grup anggota.

Contoh: Menampilkan informasi keanggotaan yang diperluas untuk kelompok keamanan

Contoh berikut menampilkan informasi identitas keanggotaan yang diperluas untuk grup "Team Foundation Administrators" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum".

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /imx "Team Foundation Administrators" /server:ServerURL

Contoh output:

    Resolving identity "Team Foundation Administrators"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: Team Foundation Administrators
    Description: Members of this application group can perform all privileged operations on the server.

    10 member(s):
      [U] Datum1\hholt (Holly Holt)
      [U] Datum1\jpeoples (John Peoples)
      [U] Datum1\tommyh (Tommy Hartono)
      [U] Datum1\henriea (Henriette Andersen)
      [U] Datum1\djayne (Darcy Jayne)
      [U] Datum1\aprilr (April Reagan)
      [G] Datum1\InfoSec Secure Environment
      [U] Datum1\nbento (Nuno Bento)
      [U] Datum1\cristp (Cristian Petculescu)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    s [A] [InstanceName]\Team Foundation Service Accounts

    Member of 3 group(s):
    a [A] [DatumOne]\Project Collection Administrators ([DatumOne]\Project Collection Administrators)
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Contoh berikut menampilkan informasi identitas untuk grup Project Collection Administrators di koleksi proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.

tfssecurity /imx adm: /collection:CollectionURL 

Contoh output:

    Resolving identity "adm: "...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-0-0-0-0-1

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Server scope
    Display name: [DatumOne]\Project Collection Administrators
    Description: Members of this application group can perform all privileged operations on the project collection.

    6 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)
      [G] BUILTIN\Administrators (BUILTIN\Administrators)
    a [A] [InstanceName]\Team Foundation Administrators
    s [A] [InstanceName]\Team Foundation Service Accounts
    s [A] [DatumOne]\Project Collection Service Accounts ([DatumOne]\Project Collection Service Accounts)

    Member of 1 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)

    Done.

Contoh: Menampilkan informasi identitas untuk kelompok keamanan menggunakan penentu identitas

Contoh berikut menampilkan informasi identitas untuk grup Project Administrators untuk proyek "Datum" di kumpulan proyek "DatumOne" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum" dengan menggunakan adm: penentu identitas.

tfssecurity /imx adm:vstfs:///Classification/TeamProject/ProjectGUID /collection:CollectionURL 

Contoh output:

    Resolving identity "adm:vstfs:///Classification/TeamProject/ProjectGUID"...

    SID: S-1-9-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX

    DN:

    Identity type: Team Foundation Server application group
    Group type: AdministrativeApplicationGroup
    Project scope: Datum
    Display name: [Datum]\Project Administrators
    Description: Members of this application group can perform all operations in the project.

    2 member(s):
      [U] Datum1\jpeoples (Peoples, John)
      [U] Datum1\hholt (Holt, Holly)

    Member of 2 group(s):
    e [A] [DatumOne]\Project Collection Valid Users ([DatumOne]\Project Collection Valid Users)
    e [A] [InstanceName]\Team Foundation Valid Users

    Done.

Untuk informasi selengkapnya tentang penentu output, seperti [G] dan [U], lihat Penentu identitas nanti di artikel ini.

/m: Periksa keanggotaan grup eksplisit dan implisit

Gunakan /m untuk memeriksa informasi keanggotaan grup eksplisit dan implisit untuk grup atau pengguna tertentu.

tfssecurity /m GroupIdentity [MemberIdentity] [/collection:CollectionURL] [/server:ServerURL]

Prasyarat

Untuk menggunakan perintah /m , Anda harus menjadi anggota kelompok keamanan Team Foundation Administrators. Untuk informasi selengkapnya, lihat Kelompok keamanan dan referensi izin.

Catatan

Bahkan jika masuk dengan kredensial administratif, Anda harus membuka Perintah yang ditinggikan untuk melakukan fungsi ini.

Parameter

Argumen Deskripsi
GroupIdentity Menentukan identitas grup. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
MemberIdentity Menentukan identitas anggota. Secara default, nilai argumen ini adalah identitas pengguna yang menjalankan perintah. Untuk informasi selengkapnya tentang penentu identitas yang valid, lihat Penentu identitas nanti di artikel ini.
/collection :CollectionURL Diperlukan jika /server tidak digunakan. Menentukan URL koleksi proyek dalam format berikut: http:// ServerName : Port / VirtualDirectoryName / CollectionName
/server :ServerURL Diperlukan jika /collection tidak digunakan. Menentukan URL server tingkat aplikasi dalam format berikut: http:// ServerName : Port / VirtualDirectoryName

Keterangan

Jalankan perintah ini pada komputer tingkat aplikasi lokal.

Perintah /m dari utilitas baris perintah TFSSecurity memeriksa keanggotaan langsung dan diperpanjang.

Contoh: Memverifikasi keanggotaan pengguna dalam kelompok keamanan

Contoh berikut memverifikasi apakah pengguna "Datum1\jpeoples" milik grup tingkat server Team Foundation Administrators.

Catatan

Contohnya hanya untuk ilustrasi dan fiktif. Tidak ada asosiasi nyata yang dimaksudkan atau disimpulkan.

tfssecurity /m "Team Foundation Administrators" n:Datum1\jpeoples /server:http://ADatumCorporation:8080

Contoh output:

    TFSSecurity - Team Foundation Server Security Tool
    Copyright (c) Microsoft Corporation.  All rights reserved.

    The target Team Foundation Server is http://ADatumCorporation:8080/.
    Resolving identity "Team Foundation Administrators"...
    a [A] [INSTANCE]\Team Foundation Administrators
    Resolving identity "n:Datum1\jpeoples"...
      [U] DATUM1\jpeoples (John Peoples)
    Checking group membership...

    John Peoples IS a member of [INSTANCE]\Team Foundation Administrators.

    Done.

Namespace layanan keamanan

Catatan

Namespace layanan dan token berlaku untuk semua versi Azure DevOps. Namespace layanan dapat berubah dari waktu ke waktu. Untuk mendapatkan daftar namespace layanan terbaru, jalankan salah satu alat baris perintah atau REST API. Beberapa namespace layanan tidak digunakan lagi. Untuk informasi selengkapnya, lihat Namespace layanan keamanan dan referensi izin.

Penentu identitas

Anda bisa mereferensikan identitas dengan menggunakan salah satu notasi dalam tabel berikut.

Penentu identitas Deskripsi Contoh
Sid: Sid. Mereferensikan identitas yang memiliki pengidentifikasi keamanan (SID) yang ditentukan. sid:S-1-5-21-2127521184-1604012920-1887927527-588340
n:[D omain]Nama Mereferensikan identitas yang memiliki nama yang ditentukan. Untuk Windows, Nama adalah nama akun. Jika identitas yang dirujuk ada di domain, nama domain diperlukan. Untuk grup aplikasi, Nama adalah nama tampilan grup, dan Domain adalah URI atau GUID dari proyek yang berisi. Dalam konteks ini, jika Domain dihilangkan, cakupan diasumsikan berada di tingkat koleksi. Untuk mereferensikan identitas pengguna "John Peoples" di domain "Datum1" di perusahaan fiktif "A. Perusahaan Datum:"

n:DATUM1\jpeoples

Untuk mereferensikan grup aplikasi:

n:"Karyawan Tetap"

n:00a10d23-7d45-4439-981b-d3b3e0b0b1ee\Vendors
adm:[Scope] Mereferensikan grup aplikasi administratif untuk cakupan, seperti "Team Foundation Administrators" untuk tingkat server atau "Project Collection Administrators" di tingkat koleksi. Cakupan parameter opsional adalah URI atau URL proyek, termasuk GUID dan string koneksinya. Jika cakupan dihilangkan, cakupan server atau koleksi diasumsikan berdasarkan apakah parameter /instance atau /server digunakan. Dalam kedua kasus, titik dua masih diperlukan. adm:vstfs:///Classification/TeamProject/ GUID
srv: Mereferensikan grup aplikasi untuk akun layanan. Tidak berlaku
all: Mereferensikan semua grup dan identitas. Tidak berlaku
String Mereferensikan string yang tidak memenuhi syarat. Jika String dimulai dengan S-1-, string diidentifikasi sebagai SID. Jika String dimulai dengan CN= atau LDAP:// itu diidentifikasi sebagai nama yang dibedakan. Jika tidak, String diidentifikasi sebagai nama. "Penguji tim"

Ketik penanda

Penanda berikut digunakan untuk mengidentifikasi jenis identitas dan ACE dalam pesan output.

Penanda jenis identitas

Penanda jenis identitas Deskripsi
U Pengguna Windows.
G Grup Windows.
A Grup aplikasi Azure DevOps Server.
a [ A ] Grup aplikasi administratif.
s [ A ] Grup aplikasi akun layanan.
X Identitas tidak valid.
? Identitas tidak diketahui.

Penanda entri kontrol akses

Penanda entri kontrol akses Deskripsi
+ IZINKAN entri kontrol akses.
- TOLAK entri kontrol akses.
* [] Entri kontrol akses yang diwarisi.