Группы безопасности, учетные записи служб и разрешения в Azure DevOps
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018
В этой статье представлен полный справочник по каждому встроенному пользователю, группе и разрешению. Это много информации, описывающей каждого встроенного пользователя и группу безопасности, а также каждое разрешение.
Краткие сведения о назначениях по умолчанию см. в разделе Разрешения и доступ по умолчанию. Общие сведения об управлении разрешениями и безопасностью см. в статье Начало работы с разрешениями, доступом и группами безопасности. Помимо групп безопасности, существуют также роли безопасности, которые предоставляют разрешения для некоторых областей.
Чтобы узнать, как добавить пользователей в группу или задать определенное разрешение, которым можно управлять с помощью веб-портала, см. следующие ресурсы:
Пользователи и группы
Вики
DevOps
Отслеживание трудозатрат
Отчеты
Примечание
Изображения, которые вы видите на веб-портале, могут отличаться от изображений, которые вы видите в этом разделе. Эти различия возникают в результате обновлений, внесенных в Azure DevOps. Однако основные функциональные возможности, доступные вам, остаются прежними, если не указано явно.
учетные записи служб;
Система создает несколько учетных записей служб для поддержки определенных операций. К ним относятся те, которые описаны в следующей таблице. Эти учетные записи пользователей добавляются на уровне организации или коллекции.
| Имя пользователя | Описание |
|---|---|
| Служба пула агентов | Имеет разрешение на прослушивание очереди сообщений для определенного пула для получения работы. В большинстве случаев вам не нужно управлять членами этой группы. Процесс регистрации агента отвечает за вас. Учетная запись службы, указанная для агента (обычно сетевая служба), добавляется автоматически при регистрации агента. Отвечает за выполнение Azure Boards операций чтения и записи и обновления рабочих элементов при обновлении объектов GitHub. |
| Azure Boards | Добавляется при подключении Azure Boards к GitHub. Вам не нужно управлять участниками этой группы. Отвечает за управление созданием связи между GitHub и Azure Boards. |
| PipelinesSDK | При необходимости добавлен для поддержки маркеров области службы политики Pipelines. Эта учетная запись пользователя похожа на удостоверения службы сборки, но поддерживает блокировку разрешений отдельно. На практике маркерам, которые связаны с этим удостоверением, предоставляются разрешения только для чтения для ресурсов конвейера и возможность однократно утверждать запросы политики. Эта учетная запись должна обрабатываться так же, как и удостоверения службы сборки. |
| Projectname Служба сборки | Имеет разрешения на запуск служб сборки для проекта. Это устаревший пользователь, используемый для сборок XAML. Он добавляется в группу служб безопасности, которая используется для хранения пользователей, которым предоставлены разрешения, но не добавляется в другие группы безопасности. |
| Служба сборки коллекций проектов | Имеет разрешения на запуск служб сборки для коллекции. Он добавляется в группу служб безопасности, которая используется для хранения пользователей, которым предоставлены разрешения, но не добавляется в другие группы безопасности. |
Группы
Разрешения могут предоставляться непосредственно пользователю или группе. Использование групп значительно упростит ситуацию. Система предоставляет несколько встроенных групп для этой цели. Эти группы и назначенные им разрешения по умолчанию определяются на разных уровнях: сервер (только локальное развертывание), коллекция проектов, проект и конкретные объекты. Вы также можете создать собственные группы и предоставить им определенный набор разрешений, подходящих для определенных ролей в вашей организации.
Примечание
Все группы безопасности — это сущности уровня организации, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена в зависимости от разрешений пользователя. Однако имена всех групп в организации можно найти с помощью средства azure Devops CLI или наших REST API. Дополнительные сведения см. в статье Добавление групп безопасности и управление ими.
Примечание
Все группы безопасности — это сущности уровня коллекции, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена в зависимости от разрешений пользователя. Однако имена всех групп в организации можно найти с помощью средства azure Devops CLI или наших REST API. Дополнительные сведения см. в статье Добавление групп безопасности и управление ими.
Примечание
Все группы безопасности — это сущности уровня коллекции, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена в зависимости от разрешений пользователя. Однако имена всех групп в организации можно найти с помощью REST API. Дополнительные сведения см. в статье Добавление групп безопасности и управление ими.
Группы уровня сервера
При установке Azure DevOps Server система создает группы по умолчанию с разрешениями уровня сервера на уровне развертывания. Удалить или удалить встроенные группы уровня сервера невозможно.
Вы не можете удалить или удалить группы уровня сервера по умолчанию.
Примечание
Полное имя каждой из этих групп — [Team Foundation]\{имя группы}. Таким образом, полное имя группы администраторов уровня сервера — [Team Foundation]\Администраторы Team Foundation.
Имя группы
Разрешения
Членство
Учетные записи службы Azure DevOps
Имеет разрешения уровня службы для экземпляра сервера.
Содержит учетную запись службы, указанную во время установки.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа входит в состав администраторов Team Foundation.
Если вам нужно добавить учетную запись в эту группу после установки Azure DevOps Server, это можно сделать с помощью служебной программы TFSSecurity.exe во вложенной папке Сервис локального каталога установки.
Для этого используется команда TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Учетные записи прокси-службы Azure DevOps
Имеет разрешения уровня обслуживания для прокси-сервера Team Foundation Server и некоторые разрешения уровня службы.
Примечание
Эта учетная запись создается при установке прокси-службы Azure DevOps.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей.
Допустимые пользователи Azure DevOps
Имеет разрешение на просмотр сведений на уровне экземпляра сервера.
Содержит всех пользователей, которые, как известно, существуют в экземпляре сервера. Вы не можете изменить членство в этой группе.
Администраторы Team Foundation
Имеет разрешения на выполнение всех операций на уровне сервера.
Группа локальных администраторов (BUILTIN\Administrators) для любого сервера, на котором размещаются службы приложений Azure DevOPs или Team Foundation.
Server\Team Foundation Service Accounts group and members of the \Project Server Integration Service Accounts group.
Эта группа должна быть ограничена наименьшим количеством пользователей, которым требуется полный административный контроль над операциями на уровне сервера.
Примечание
Если в развертывании используются отчеты, рекомендуется добавить членов этой группы в группы диспетчеров содержимого в Reporting Services.
Имя группы
Разрешения
Членство
Администраторы Team Foundation
Имеет разрешения на выполнение всех операций на уровне сервера.
Группа локальных администраторов (BUILTIN\Administrators) для любого сервера, на котором размещаются службы приложений Azure DevOPs или Team Foundation.
Server\Team Foundation Service Accounts group and members of the \Project Server Integration Service Accounts group.
Эта группа должна быть ограничена наименьшим количеством пользователей, которым требуется полный административный контроль над операциями на уровне сервера.
Примечание
Если в развертывании используются отчеты, рекомендуется добавить членов этой группы в группы диспетчеров содержимого в Reporting Services.
Учетные записи службы прокси-сервера Team Foundation
Имеет разрешения уровня обслуживания для прокси-сервера Team Foundation Server и некоторые разрешения уровня службы.
Примечание
Эта учетная запись создается при установке прокси-службы TFS.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей.
Учетные записи Team Foundation Service
Имеет разрешения уровня службы для экземпляра сервера.
Содержит учетную запись службы, указанную во время установки.
Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа входит в состав администраторов Team Foundation.
Если вам нужно добавить учетную запись в эту группу после установки Azure DevOps Server, это можно сделать с помощью служебной программы TFSSecurity.exe во вложенной папке Сервис каталога установки TFS.
Для этого используется команда TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername
Допустимые пользователи Team Foundation
Имеет разрешение на просмотр сведений на уровне экземпляра сервера.
Примечание
Если для этой группы задать разрешение Просмотр сведений на уровне экземпляразначение Запретить или Не задать , пользователи не смогут получить доступ к развертыванию.
Содержит всех пользователей, которые, как известно, существуют в экземпляре сервера. Вы не можете изменить членство в этой группе.
Группы уровня коллекции
При создании организации или коллекции проектов в Azure DevOps система создает группы уровня коллекции, имеющие разрешения в этой коллекции. Вы не можете удалить или удалить встроенные группы уровня коллекции.
Примечание
Сведения о том, как включить страницу предварительного просмотра параметров разрешений организации версии 2 , см. в разделе Включение функций предварительной версии. Страница предварительного просмотра предоставляет страницу параметров группы, которую нет на текущей странице.
Полное имя каждой из этих групп — [{имя коллекции}]\{имя группы}. Таким образом, полное имя группы администраторов для коллекции по умолчанию — [Коллекция по умолчанию]\Администраторы коллекции проектов.
Имя группы
Разрешения
Членство
Администраторы коллекций проектов
Имеет разрешения на выполнение всех операций с коллекцией.
Содержит группу локальных администраторов (BUILTIN\Administrators) для сервера, на котором установлены службы уровня приложений. Кроме того, содержит членов группыУчетные записи службыCollectionName/. Членство в данной группе должно быть максимально ограничено и доступно только для узкого круга пользователей, которым необходимо предоставление полного административного контроля над коллекцией.
Примечание
Если в развертывании используется Reporting Services, рассмотрите возможность добавления участников этой группы в группы диспетчеров содержимого Team Foundation в Reporting Services.
Администраторы построения коллекций проектов
Имеет разрешения на администрирование ресурсов сборки и разрешения для коллекции.
Членами данной группы должны быть только те пользователи, которым необходим полный административный контроль над серверами и службами сборок для этой коллекции.
Учетные записи службы сборки коллекции проектов
Имеет разрешения на запуск служб сборки для коллекции.
Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. Это устаревшая группа, используемая для сборок XAML. Используйте пользователя Службы сборки коллекции проектов ({ваша организация}) для управления разрешениями для текущих сборок.
Учетные записи службы прокси коллекции проектов
Имеет разрешения на запуск прокси-службы для коллекции.
Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.
Учетные записи службы коллекции проектов
Имеет разрешения уровня обслуживания для коллекции и для Azure DevOps Server.
Содержит учетную запись службы, введенную во время установки. Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. По умолчанию эта группа является членом группы "Администраторы".
Учетные записи службы тестирования коллекции проектов
Имеет разрешения тестовой службы для коллекции.
Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.
Допустимые пользователи коллекции проектов
Имеет разрешения на доступ к командным проектам и просмотр сведений в коллекции.
Содержит всех пользователей и группы, добавленные в коллекцию. Членство данной группы нельзя изменять.
Имеет ограниченный доступ к просмотру параметров организации и проектов, отличных от проектов, в которые они добавлены. Кроме того, параметры выбора людей ограничены теми пользователями и группами, которые были явно добавлены в проект, к которому подключен пользователь.
Добавьте пользователей в эту группу, если вы хотите ограничить их видимость и доступ к тем проектам, в которые вы явно добавили их. Не добавляйте пользователей в эту группу, если они также добавлены в группу Администраторы коллекции проектов.
Примечание
Группа "Пользователи в области проекта " становится доступной с ограниченным доступом, когда включена предварительная версия функции " Ограничить видимость пользователей и совместная работа для конкретных проектов ". Дополнительные сведения см. в статье Управление организацией, Ограничение видимости пользователей для проектов и многое другое.
Группа служб безопасности
Используется для хранения пользователей, которым предоставлены разрешения, но не добавлены в другие группы безопасности.
Не назначайте пользователей этой группе. Если вы удаляете пользователей из всех групп безопасности, проверьте, нужно ли удалить их из этой группы.
Группы уровня проекта
Для каждого создаваемого проекта система создает следующие группы уровня проекта. Этим группам назначаются разрешения на уровне проекта.
Примечание
Чтобы включить страницу предварительного просмотра для страницы параметров разрешений проекта, см. статью Включение функций предварительной версии.
Совет
Полное имя каждой из этих групп — [{имя проекта}]\{имя группы}. Например, группа участников для проекта с именем "Мой проект" — [Мой проект]\Участники.
Имя группы
Разрешения
Членство
Администраторы сборки
Имеет разрешения на администрирование ресурсов сборки и разрешения на сборку для проекта. Они могут управлять тестовыми средами, создавать тестовые запуски и управлять построениями.
Назначение пользователям, которые определяют конвейеры сборки и управляют ими.
Соавторы
Имеет разрешения для полного участия в отслеживании базы кода проекта и рабочих элементов. Основными разрешениями, которыми они не обладают, являются разрешения на управление ресурсами или администрирование ресурсов.
По умолчанию группа команд, созданная при создании проекта, добавляется в эту группу, и любой пользователь, добавленный в команду или проект, является членом этой группы. Кроме того, в эту группу добавляется любая команда, созданная для проекта.
читатели;
Имеет разрешения на просмотр сведений о проекте, базы кода, рабочих элементов и других артефактов, но не изменяет их.
Назначьте членам организации или коллекции, которым вы хотите предоставить разрешения только для просмотра проекта. Эти пользователи могут просматривать невыполненные работы, доски, панели мониторинга и многое другое, но не добавлять или изменять ничего.
Имеет разрешения на администрирование всех аспектов команд и проектов, хотя они не могут создавать командные проекты.
Назначьте пользователям, которые управляют разрешениями пользователей, создают или редактируют команды, изменяют параметры команды, определяют область пути итерации или настраивают отслеживание рабочих элементов. Членам группы "Администраторы проекта" предоставляются разрешения на выполнение следующих задач:
- Добавление и удаление пользователей из членства в проекте
- Добавление и удаление настраиваемых групп безопасности из проекта
- Добавление и администрирование всех проектных команд и функций, связанных с командой
- Изменение списков управления доступом разрешений на уровне проекта
- Изменение подписок на события (электронная почта или SOAP) для событий на уровне команд или проектов.
Допустимые пользователи проекта
Имеет разрешения на доступ и просмотр сведений о проекте.
Содержит всех пользователей и группы, которые были добавлены в проект в любом месте. Членство данной группы нельзя изменять.
Примечание
Не рекомендуется изменять разрешения по умолчанию для этой группы.
Администраторы выпуска
Имеет разрешения на управление всеми операциями выпуска.
Назначение пользователям, которые определяют конвейеры выпуска и управляют ими.
Примечание
Группа Администратор выпуска создается одновременно с определением первого конвейера выпуска. Он не создается по умолчанию при создании проекта.
Имеет разрешения для полного участия в отслеживании базы кода проекта и рабочих элементов.
Группа по умолчанию создается при создании проекта и по умолчанию добавляется в группу Участников проекта. Все новые создаваемые команды также будут содержать созданную для них группу, добавленную в группу «Участники».
Добавьте участников команды в эту группу. Чтобы предоставить доступ к настройке параметров команды, добавьте участника команды к роли администратора команды.
Роль администратора команды
Для каждой добавляемой команды можно назначить одного или нескольких участников команды в качестве администраторов. Роль администратора группы не является группой с набором определенных разрешений. Вместо этого роли администратора группы поручено управлять ресурсами команды. Дополнительные сведения см. в статье Управление командами и настройка средств команды. Сведения о добавлении пользователя в качестве администратора команды см. в статье Добавление администратора команды.
Примечание
Администраторы проектов могут управлять всеми административными областями для всех команд.
Разрешения
Система управляет разрешениями на разных уровнях — организации, проекта, объекта, а также разрешениями на основе ролей — и по умолчанию назначает их одной или нескольким встроенным группам. Большинством разрешений можно управлять с помощью веб-портала. Дополнительные разрешения можно управлять с помощью одного или нескольких средств управления безопасностью , указав разрешение пространства имен.
Система управляет разрешениями на разных уровнях (сервер, коллекция, проект, объект, а также разрешениями на основе ролей) и по умолчанию назначает их одной или нескольким встроенным группам. Управление большинством разрешений осуществляется через веб-портал. Дополнительные разрешения можно управлять с помощью одного или нескольких средств управления безопасностью , указав разрешение пространства имен.
В следующих разделах разрешение пространства имен предоставляется после метки разрешения, которая отображается в пользовательском интерфейсе. Например:
Создание определения тега
Tagging, Create
Дополнительные сведения см. в разделе Справочник по пространству имен безопасности и разрешениям.
Разрешения уровня серверов
Управление разрешениями на уровне сервера осуществляется с помощью консоли администрирования Team Foundation или программы командной строки TFSSecurity. Администраторам Team Foundation предоставляются все разрешения на уровне сервера. Другие группы уровня сервера имеют выбор назначений разрешений.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Это разрешение действительно только для Azure DevOps Server 2020 и более ранних версий, настроенных для поддержки SQL Server отчетов. Может обрабатывать или изменять параметры для хранилища данных или куба анализа SQL Server с помощью веб-службы управления хранилищем.
Для полной обработки или перестроения хранилища данных и куба анализа могут потребоваться дополнительные разрешения.
Может создавать коллекции и администрировать их.
Может удалить коллекцию из развертывания.
Примечание
Удаление коллекции не приведет к удалению базы данных коллекции из SQL Server.
Может изменять разрешения уровня сервера для пользователей и групп, а также добавлять или удалять группы уровня сервера из коллекции.
Примечание
Изменение сведений на уровне экземпляра включает возможность выполнения этих задач, определенных во всех коллекциях, определенных для экземпляра:
- Изменение параметров расширений и аналитики
- Неявно позволяет пользователю изменять разрешения управления версиями и параметры репозитория
- Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и группы
- Изменение всех параметров на уровне проекта и группы для проектов, определенных в коллекциях
- Создавать и изменять глобальные списки
Чтобы предоставить все эти разрешения в командной строке, необходимо использовать tf.exe Permission команду , чтобы предоставить AdminConfiguration разрешения и AdminConnections в дополнение к GENERIC_WRITE.
Могут выполнять операции от имени других пользователей или служб. Назначайте только для учетных записей служб.
Может активировать события генерации оповещений на уровне сервера. Назначайте только учетным записям служб и членам группы Администраторы Azure DevOps или Team Foundation.
Можно использовать все функции локального веб-портала. Это разрешение устарело в Azure DevOps Server 2019 и более поздних версиях.
Примечание
Если для разрешения Использовать полные возможности веб-доступа задано значение Запретить, пользователь увидит только те функции, которые разрешены для группы заинтересованных лиц (см. раздел Изменение уровней доступа). Запрет переопределяет любое неявное разрешение, даже для учетных записей, которые являются членами административных групп, таких как администраторы Team Foundation.
Может просматривать членство в группах на уровне сервера и разрешения этих пользователей.
Примечание
Разрешение Просмотр сведений на уровне экземпляра также назначается группе Допустимые пользователи Azure DevOps.
Разрешения на уровне организации
Управлять разрешениями на уровне организации можно с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Администраторам коллекции проектов предоставляются все разрешения на уровне организации. Другие группы уровня организации имеют некоторые назначения разрешений.
Примечание
Сведения о том, как включить страницу предварительного просмотра для страницы параметров разрешений проекта, см. в разделе Включение предварительных версий функций.
Важно!
Разрешение на добавление или удаление групп безопасности уровня организации или коллекции, добавление членства в организациях или группах на уровне коллекции и управление ими, а также изменение списков управления доступом на уровне коллекций и проектов назначается всем членам группы администраторов коллекции проектов. Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.
Вы не можете изменить разрешения для группы Администраторы коллекции проектов . Кроме того, хотя вы можете изменить назначения разрешений для участника этой группы, их действующие разрешения по-прежнему будут соответствовать разрешениям, назначенным группе администраторов, членом которой он является.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Общие сведения
Может изменять параметры трассировки для сбора более подробных диагностических сведений о веб-службах Azure DevOps.
Может добавлять проект в организацию или коллекцию проектов. В зависимости от локального развертывания могут потребоваться дополнительные разрешения.
Можно удалить проект. При удалении проекта удаляются все данные, связанные с проектом. Удаление проекта невозможно отменить, кроме как восстановить коллекцию до точки перед удалением проекта.
Может задавать параметры уровня организации и проекта.
Примечание
Изменение сведений на уровне экземпляра включает возможность выполнения этих задач для всех проектов, определенных в организации или коллекции:
- Изменение параметров обзора организации, расширений и параметров Azure Active Directory
- Изменение разрешений управления версиями и параметров репозитория
- Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и группы
- Измените все параметры уровня проекта и группы для проектов, определенных в коллекциях.
Может просматривать разрешения уровня организации для пользователя или группы.
Учетная запись службы
Могут выполнять операции от имени других пользователей или служб. Назначьте это разрешение только учетным записям служб.
Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб.
Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.
Boards
Может изменять разрешения для настройки отслеживания работы путем создания и настройки унаследованных процессов.
Может создавать унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards. Пользователи, которым предоставлен доступ "Базовый" и "Заинтересованные лица", получают это разрешение по умолчанию.
Может удалять унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards.
Может изменять пользовательский унаследованный процесс.
Repos
Применяется только к системе управления версиями Team Foundation (TFVC)
Администрирование изменений, включенных в набор отложенных изменений
VersionControlPrivileges, AdminWorkspaces
Может удалять наборы полок, созданные другими пользователями.
Могут создавать рабочие области управления версиями. Разрешение Создание рабочей области предоставляется всем пользователям в рамках их членства в группе Допустимые пользователи коллекции проектов.
Pipelines
Может изменять разрешения для ресурсов сборки на уровне коллекции организации или проекта. В том числе:
- Настройка политик хранения
- Установка ограничений ресурсов для конвейеров
- Добавление пулов агентов и управление ими
- Добавление пулов развертывания и управление ими
Примечание
В дополнение к этому разрешению Azure DevOps предоставляет разрешения на основе ролей, управляющие безопасностью пулов агентов. Другие параметры уровня объекта переопределяют параметры, заданные на уровне организации или проекта.
Могут управлять компьютерами, агентами и контроллерами сборки.
Может управлять параметрами конвейера, заданными с помощью параметров организации, конвейеров, параметров.
Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.
Может просматривать, но не использовать контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.
Test Plans
Могут регистрировать и отменять регистрацию контроллеров тестирования.
Может удалить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Создание потоковой передачи аудита.
Может добавить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Создание потоковой передачи аудита.
Может просматривать и экспортировать журналы аудита. Журналы аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Доступ, экспорт и фильтрация журналов аудита.
Политики
Можно включать и отключать политики подключения приложений, как описано в разделе Изменение политик подключения приложений.
Разрешения уровня коллекций
Управление разрешениями на уровне коллекции осуществляется с помощью контекста администрирования веб-портала или программы командной строки TFSSecurity. Администраторам коллекции проектов предоставляются все разрешения на уровне коллекции. Другие группы уровня коллекции имеют некоторые назначения разрешений.
Разрешения, доступные для Azure DevOps Server 2019 и более поздних версий, зависят от модели процесса, настроенной для коллекции. Общие сведения о моделях процессов см. в статье Настройка отслеживания работы.
Наследуемая модель процесса
Модель локального XML-процесса
Важно!
Разрешение на добавление или удаление групп безопасности уровня организации или коллекции, добавление членства в организациях или группах на уровне коллекции и управление ими, а также изменение списков управления доступом на уровне коллекций и проектов назначается всем членам группы администраторов коллекции проектов. Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.
Вы не можете изменить разрешения для группы Администраторы коллекции проектов . Кроме того, хотя вы можете изменить назначения разрешений для участника этой группы, их действующие разрешения по-прежнему будут соответствовать разрешениям, назначенным группе администраторов, членом которой он является.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Администрирование разрешений ресурсов сборки
BuildAdministration, AdministerBuildResourcePermissions
Может изменять разрешения для конвейеров сборки на уровне коллекции проекта. Сюда входят следующие артефакты:
Может изменять разрешения для настройки отслеживания работы путем создания и настройки унаследованных процессов. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса. См. также:
Администрирование изменений, включенных в набор отложенных изменений
VersionControlPrivileges, AdminWorkspaces
Может удалять наборы полок, созданные другими пользователями. Применяется, если в качестве системы управления версиями используется TFVC.
Может создавать и удалять рабочие области для других пользователей. Применяется, если в качестве системы управления версиями используется TFVC.
Может изменять параметры трассировки для сбора более подробных диагностических сведений о веб-службах Azure DevOps.
Могут создавать рабочие области управления версиями. Применяется, если в качестве системы управления версиями используется TFVC. Это разрешение предоставляется всем пользователям как часть их членства в группе Допустимые пользователи коллекции проектов.
Может добавлять проекты в коллекцию проектов. В зависимости от локального развертывания могут потребоваться дополнительные разрешения.
Может создавать унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса.
Удаление поля из организации
(прежнее название — Удаление поля из учетной записи)
Collection, DELETE_FIELD
Может удалять настраиваемое поле, добавленное в процесс. Для локальных развертываний требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса.
Может удалять унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса.
Можно удалить проект.
Примечание
При удалении проекта удаляются все данные, связанные с проектом. Удаление проекта невозможно отменить, кроме как восстановить коллекцию до точки перед удалением проекта.
Может задавать параметры уровня организации и проекта.
Примечание
Изменение сведений на уровне коллекции включает возможность выполнения этих задач для всех проектов, определенных в организации или коллекции:
- Изменение параметров расширений и аналитики
- Изменение разрешений управления версиями и параметров репозитория
- Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и группы
- Измените все параметры уровня проекта и группы для проектов, определенных в коллекциях.
Может изменять пользовательский унаследованный процесс. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса.
Могут выполнять операции от имени других пользователей или служб. Назначьте это разрешение только локальным учетным записям служб.
Могут управлять компьютерами, агентами и контроллерами сборки.
Можно включать и отключать политики подключения приложений, как описано в разделе Изменение политик подключения приложений.
Примечание
Это разрешение допустимо только для Azure DevOps Services. Хотя он может отображаться для Azure DevOps Server локальной среде, он не применяется к локальным серверам.
Может скачивать, создавать, изменять и отправлять шаблоны процессов. Шаблон процесса определяет стандартные блоки системы отслеживания рабочих элементов, а также другие подсистемы, доступ к которые осуществляется через Azure Boards. Требует, чтобы коллекция была настроена для поддержки on=premises XML-модели процессов.
Могут регистрировать и отменять регистрацию контроллеров тестирования.
Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб. Пользователи с этим разрешением не могут удалять встроенные группы уровня коллекции, такие как администраторы коллекции проектов.
Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.
Может просматривать, но не использовать контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.
Просмотр сведений уровня экземпляра
или Просмотр сведений на уровне коллекции
Collection, GENERIC_READ
Может просматривать разрешения уровня коллекции для пользователя или группы.
Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.
Разрешения уровня проекта
Управлять разрешениями уровня проекта можно с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Администраторам проекта предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют некоторые назначения разрешений.
Примечание
Чтобы включить страницу предварительного просмотра страницы параметров разрешений проекта , см. статью Включение функций предварительной версии.
Важно!
Разрешение на добавление или удаление групп безопасности на уровне проекта, а также на добавление членства в группах на уровне проекта и управление ими назначается всем членам группы "Администраторы проекта ". Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.
Вы не можете изменить разрешения для группы Администраторы проекта . Кроме того, хотя вы можете изменить назначения разрешений для участника этой группы, их действующие разрешения по-прежнему будут соответствовать разрешениям, назначенным группе администраторов, членом которой он является.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Общие сведения
Может удалять проект из организации или коллекции проектов.
Примечание
Даже если для этого разрешения задано значение Запретить, пользователи, которым предоставлено разрешение на уровне проекта, могут удалить проект, для которого у них есть разрешение. Чтобы убедиться, что пользователь не может удалить проект, убедитесь, что для удаления командного проекта на уровне проекта также задано значение Запретить .
Может выполнять следующие задачи для выбранного проекта, определенного в организации или коллекции.
Примечание
Разрешение на добавление или удаление групп безопасности на уровне проекта, а также на добавление членства в группах на уровне проекта и управление ими назначается всем членам группы "Администраторы проекта ". Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.
Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить высокоуровневые сведения о содержимом проекта. Изменение метаданных поддерживается с помощью REST API задания свойств проекта.
Может изменять имя проекта.
Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при выполнении миграции массовых обновлений средствами, и требуется пропустить создание уведомлений.
Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым было предоставлено разрешение Обход правил для обновления рабочих элементов . Вы можете задать для параметра значение true при обновлении suppressNotifications рабочих элементов с помощью рабочих элементов — обновление REST API.
Можно изменить видимость проекта с закрытого на общедоступный или с общедоступного на закрытый. Применяется только к Azure DevOps Services.
Может просматривать сведения на уровне проекта, включая сведения о членстве в информационной группе безопасности и разрешениях. Если для этого разрешения задано значение Запретить пользователю, он не сможет просматривать проект или входить в проект.
Boards
Пользователи с этим разрешением могут сохранить рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, в которых это полезно, — это миграция, в которой вы не хотите обновлять поля по дате при импорте или когда вы хотите пропустить проверку рабочего элемента.
Правила можно обойти одним из двух способов. Первый — с помощью рабочих элементов — обновление REST API и установка bypassRules для параметра значения true. Второй — с помощью клиентской объектной модели путем инициализации в режиме обхода (инициализация WorkItemStore с WorkItemStoreFlags.BypassRulesпомощью ).
В сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в статье Создание унаследованных процессов и управление ими.
Может добавлять теги к рабочему элементу. По умолчанию все участники группы "Участники" имеют это разрешение. Кроме того, можно задать дополнительные разрешения на добавление тегов с помощью средств управления безопасностью. См. раздел Справочник по пространству имен безопасности и разрешениям, расстановка тегов.
Примечание
Все пользователи, которым предоставлен доступ заинтересованных лиц для частного проекта, могут добавлять только существующие теги. Даже если для разрешения Создание определения тега задано значение Разрешить, заинтересованные лица не смогут добавлять теги. Это часть параметров доступа заинтересованных лиц. Azure DevOps Services пользователи, которым предоставлен доступ заинтересованных лиц к общедоступному проекту, по умолчанию получают это разрешение. Дополнительные сведения см. в кратком справочнике по доступу заинтересованных лиц.
Хотя разрешение Создание определения тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов на самом деле являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они отображаются в пользовательском интерфейсе.
Чтобы ограничить разрешения тегов для одного проекта при использовании команды TFSSecurity , необходимо указать GUID для проекта в рамках синтаксиса команды.
В противном случае изменение будет применено ко всей коллекции.
Об этом следует помнить при изменении или установке этих разрешений.
Удаление и восстановление рабочих элементов
или Удаление рабочих элементов в этом проекте
Project, WORK_ITEM_DELETE
Может помечать рабочие элементы в проекте как удаленные. Azure DevOps Services пользователи, которым предоставлен доступ заинтересованных лиц к общедоступному проекту, по умолчанию получают это разрешение.
Может перемещать рабочий элемент из одного проекта в другой проект в коллекции.
Может безвозвратно удалять рабочие элементы из этого проекта.
Аналитика
В дополнение к разрешениям AnalyticsView пространства имен, перечисленным в этом разделе, можно задать разрешения уровня объекта для каждого представления.
Может удалять представления аналитики , сохраненные в области "Общий".
Может создавать и изменять общие представления аналитики.
Может получать доступ к данным, доступным из службы "Аналитика". Дополнительные сведения см. в разделе Разрешения, необходимые для доступа к службе Аналитики.
Test Plans
Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в разделах Управление сроком хранения результатов теста и Выполнение ручных тестов.
Может удалить тестовый запуск.
Может создавать и удалять конфигурации теста.
Может создавать и удалять тестовые среды.
Может просматривать планы тестирования в пути к области проекта.
Управление разрешениями на уровне проекта осуществляется с помощью контекста администрирования веб-портала или программы командной строки TFSSecurity. Администраторам проектов предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют некоторые назначения разрешений.
Примечание
Участникам группы "Администраторы проекта " предоставляется несколько разрешений, которые не отображаются в пользовательском интерфейсе.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Пользователи с этим разрешением могут сохранять рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, в которых это полезно, — это миграция, в которой не требуется обновлять поля по или дате при импорте или если требуется пропустить проверку рабочего элемента.
Правила можно обойти одним из двух способов. Первый — с помощью рабочих элементов — обновление REST API и установка для параметра значения bypassRulestrue. Второй — с помощью клиентской объектной модели путем инициализации в режиме обхода правил (инициализация WorkItemStore с помощью WorkItemStoreFlags.BypassRules).
В сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в статье Создание наследуемых процессов и управление ими.
Может добавлять теги к рабочему элементу. По умолчанию все члены группы "Участники" имеют это разрешение. Кроме того, вы можете задать дополнительные разрешения для добавления тегов с помощью средств управления безопасностью. См . раздел Справочник по пространству имен и разрешениям безопасности, добавление тегов.
Примечание
Все пользователи, которым предоставлен доступ заинтересованных лиц, могут добавлять только существующие теги. Даже если для разрешения Создать определение тега задано значение Разрешить, заинтересованные лица не смогут добавлять теги. Это часть параметров доступа заинтересованных лиц. Дополнительные сведения см. в кратком справочнике по доступу заинтересованных лиц. Хотя разрешение Создать определение тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов на самом деле являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они отображаются в пользовательском интерфейсе. Чтобы ограничить разрешения тегами для одного проекта при использовании команды TFSSecurity , необходимо указать GUID для проекта в рамках синтаксиса команды. В противном случае изменение будет применено ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.
Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в разделах Управление сроком хранения результатов теста и Выполнение ручных тестов.
Удаление и восстановление рабочих элементов
или Удаление рабочих элементов в этом проекте
Project, WORK_ITEM_DELETE
Может помечать рабочие элементы в проекте как удаленные. Для группы "Участники" для параметра Удаление и восстановление рабочих элементов на уровне проекта задано значение Разрешить по умолчанию.
Может удалять представления аналитики , сохраненные в области "Общий".
Может удалять проект из организации или коллекции проектов.
Может удалить тестовый запуск.
Может выполнять следующие задачи для выбранного проекта, определенного в организации или коллекции.
Примечание
Разрешение на добавление или удаление групп безопасности на уровне проекта, а также добавление членства в группах уровня проекта и управление ими назначается всем участникам группы "Администраторы проектов ". Он не управляется разрешениями, предоставляемыми в пользовательском интерфейсе.
Может создавать и изменять общие представления аналитики.
Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить высокоуровневые сведения о содержимом проекта. Изменение метаданных поддерживается с помощью REST API задания свойств проекта.
Может создавать и удалять конфигурации тестирования.
Может создавать и удалять тестовые среды.
Может перемещать рабочий элемент из одного проекта в другой проект в коллекции.
Может окончательно удалять рабочие элементы из этого проекта.
Может изменять имя проекта.
Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при переносе массовых обновлений средствами и пропускать создание уведомлений.
Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым предоставлено разрешение Обход правил на обновления рабочих элементов . При обновлении рабочих suppressNotifications элементов — обновление REST API можно задать для параметра true значение .
Можно изменить видимость проекта с частной на общедоступную или общедоступную. Применяется только к Azure DevOps Services.
Может получать доступ к данным, доступным из службы аналитики. Дополнительные сведения см. в разделе Разрешения, необходимые для доступа к службе Аналитики.
Может просматривать членство в группах и разрешения на уровне проекта.
Может просматривать планы тестирования в пути к области проекта.
Представления аналитики (на уровне объектов)
С помощью общих представлений аналитики можно предоставить определенные разрешения на просмотр, изменение или удаление создаваемого представления. Вы управляете безопасностью представлений Аналитики с веб-портала.
Для каждого общего представления Аналитики определены следующие разрешения. Всем допустимым пользователям автоматически предоставляются все разрешения на управление представлениями аналитики. Рассмотрите возможность предоставления разрешений на выбор определенных общих представлений другим участникам группы или создаваемой вами группе безопасности. См. также статью Что такое представления аналитики? Поддерживаются дополнительные разрешения пространства имен, как определено в справочнике по пространству имен и разрешениям безопасности.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Может удалить общее представление аналитики.
Может изменять параметры общего представления аналитики.
Может просматривать и использовать общее представление аналитики из Power BI Desktop.
Панели мониторинга (на уровне объектов)
Разрешения для панелей мониторинга команд и проектов можно задать по отдельности. Для проекта можно задать разрешения по умолчанию для команды. Вы управляете безопасностью панелей мониторинга с веб-портала. Поддерживаются дополнительные разрешения пространства имен, как определено в справочнике по пространству имен и разрешениям безопасности.
Разрешения панели мониторинга проекта
По умолчанию создателем панели мониторинга проекта является владелец панели мониторинга, которому предоставлены все разрешения для этой панели мониторинга.
РазрешениеNamespace permission |
Описание |
|---|---|
Удаление панели мониторингаDashboardsPrivileges, Delete |
Может удалить панель мониторинга проекта. |
Изменение панели мониторингаDashboardsPrivileges, Edit |
Можно добавлять мини-приложения в панель мониторинга проекта и изменять ее макет. |
Управление разрешениямиDashboardsPrivileges, ManagePermissions |
Может управлять разрешениями для панели мониторинга проекта. |
Разрешения для панелей мониторинга группы можно задать по отдельности. Для проекта можно задать разрешения по умолчанию для команды. Вы управляете безопасностью панелей мониторинга с веб-портала.
Разрешения панели мониторинга группы по умолчанию
По умолчанию администраторам группы предоставляются все разрешения для панелей мониторинга группы, включая управление разрешениями по умолчанию и отдельными разрешениями панели мониторинга.
РазрешениеNamespace permission |
Описание |
|---|---|
Создавайте панели мониторингаDashboardsPrivileges, MaterializeDashboards |
Может создать панель мониторинга команды. |
Удаление панелей мониторингаDashboardsPrivileges, Delete |
Может удалить панель мониторинга команды. |
Изменение панелей мониторингаDashboardsPrivileges, Edit |
Можно добавлять мини-приложения в панель мониторинга группы и изменять ее макет. |
Разрешения на панель мониторинга отдельных групп
Администраторы команды могут изменять разрешения для отдельных панелей мониторинга группы, изменив следующие два разрешения.
РазрешениеNamespace permission |
Описание |
|---|---|
Удаление панели мониторингаDashboardsPrivileges, Delete |
Можно удалить определенную панель мониторинга команды. |
Изменение панели мониторингаDashboardsPrivileges, Edit |
Можно добавлять мини-приложения в панель мониторинга определенной группы и изменять ее макет. |
Конвейер или сборка (уровень объектов)
Управление разрешениями конвейера для каждого конвейера, определенного на веб-портале или с помощью программы командной строки TFSSecurity. Администраторам проектов предоставляются все разрешения конвейера, а администраторам сборки назначается большая часть этих разрешений. Вы можете задать разрешения конвейера для всех конвейеров, определенных для проекта или для каждого определения конвейера.
Разрешения в сборке соответствуют иерархической модели. Значения по умолчанию для всех разрешений можно задать на уровне проекта и переопределить в отдельном определении сборки.
Чтобы задать разрешения на уровне проекта для всех определений сборки в проекте, выберите Безопасность на панели действий на главной странице центра Сборок.
Чтобы задать или переопределить разрешения для определенного определения сборки, выберите Безопасность в контекстном меню определения сборки.
В разделе Сборка определены следующие разрешения. Все они могут быть заданы на обоих уровнях.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Могут администрировать разрешения сборки для других пользователей.
Могут удалять определения сборки для проекта.
Могут удалять завершенные сборки. Удаленные сборки сохраняются на вкладке Удаленные в течение определенного периода времени, прежде чем они будут уничтожены.
Могут безвозвратно удалять завершенные сборки.
Изменение конвейера сборки Может сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. Доступно в Azure DevOps Services, Azure DevOps Server 2019 1.1 и более поздних версиях. Заменяет изменение определения сборки.
Изменение определения сборки Может создавать и изменять определения сборки для этого проекта.
Примечание
Вы можете отключить наследование для определения сборки, если требуется управлять разрешениями для определенных определений сборки.
Если для наследования задано значение On, определение сборки учитывает разрешения сборки, определенные на уровне проекта или группы или пользователя. Например, пользовательская группа Build Managers имеет разрешения для ручного помещения сборки в очередь для проекта Fabrikam. Любое определение сборки с включенным наследованием для проекта Fabrikam позволило бы члену группы Build Managers вручную поместить сборку в очередь.
Однако, отключив наследование для проекта Fabrikam, можно задать разрешения, которые позволяют только администраторам проектов вручную помещать сборку в очередь для определенного определения сборки. В последствии это позволило бы задать разрешения конкретно для этого определения сборки.
Можно добавлять сведения о качестве сборки с помощью Team Explorer или веб-портала.
Могут добавлять и удалять качества сборки. Применяется только к сборкам XAML.
Могут отменять, изменять приоритет и откладывать сборки в очереди. Применяется только к сборкам XAML.
Может зафиксировать набор изменений TFVC, который влияет на определение сборки с закрытым подключением, не запуская систему для отложения и сборки изменений.
Примечание
Назначьте разрешение "Переопределить проверку возврата путем сборки" только учетным записям служб для служб сборки и администраторам сборки, которые отвечают за качество кода. Применяется к сборкам TFVC с закрытой проверкой. Это не относится к сборкам запроса на вытягивание. Дополнительные сведения см. в статье О входе в папку, которая управляется процессом сборки с закрытым контролем.
Можно поместить сборку в очередь через интерфейс сборки Team Foundation или в командной строке. Они могут также останавливать сборки, поставленные в очередь.
Может переключать флаг сохранения на неопределенный срок в сборке. Эта функция помечает сборку, чтобы система не удалила ее автоматически на основе любой применимой политики хранения.
Могут останавливать любые выполняющиеся сборки, включая поставленные в очередь и запущенные другим пользователем.
Могут добавлять в систему узлы сведений о сборке, а также сведения о качестве сборки. Назначайте только для учетных записей служб.
Может просматривать определения сборки, созданные для проекта.
Может просматривать сборки в очереди и завершенные сборки для этого проекта.
Репозиторий Git (на уровне объектов)
Вы управляете безопасностью каждого репозитория или ветви Git с веб-портала, программы командной строки TF или с помощью программы командной строки TFSSecurity. Администраторы проектов получают большинство из этих разрешений (которые отображаются только для проекта, настроенного с помощью репозитория Git). Вы можете управлять этими разрешениями для всех репозиториев Git или для определенного репозитория Git.
Примечание
Задайте разрешения для всех репозиториев Git, внося изменения в запись репозиториев Git верхнего уровня. Отдельные репозитории наследуют разрешения от записи репозиториев Git верхнего уровня. Ветви наследуют разрешения от назначений, выполненных на уровне репозитория. По умолчанию группы читателей уровня проекта имеют только разрешения на чтение.
Сведения об управлении разрешениями репозитория Git и ветви см. в статье Настройка разрешений ветви.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Можно согласиться на переопределение политик ветвей, установив флажок Переопределить политики ветвей и включить слияние при выполнении запроса на вытягивание.
Примечание
Политики обхода при выполнении запросов на вытягивание и политики обхода при отправке заменяют исключение из принудительного применения политики. Применимо к Azure DevOps Server 2019 и более поздним версиям.
Может отправляться в ветвь с включенными политиками ветвей. Когда пользователь с этим разрешением выполняет отправку, которая переопределяет политику ветви, отправка автоматически обходит политику ветви без согласия на шаг или предупреждение.
Примечание
Политики обхода при выполнении запросов на вытягивание и политики обхода при отправке заменяют исключение из принудительного применения политики. Применимо к Azure DevOps Server 2019 и более поздним версиям.
На уровне репозитория может отправлять изменения в существующие ветви в репозитории и выполнять запросы на вытягивание. Пользователи, у которых нет этого разрешения, но у которых есть разрешение На создание ветви , могут отправлять изменения в новые ветви. Не переопределяет ограничения, введенные политиками ветвей.
На уровне ветви может отправлять изменения в ветвь и блокировать ветвь. Блокировка ветви блокирует добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.
Может создавать запросы на вытягивание, комментировать их и голосовать за нее.
Может создавать и публиковать ветви в репозитории. Отсутствие этого разрешения не ограничивает пользователей созданием ветвей в локальном репозитории; он просто предотвращает публикацию локальных ветвей на сервере.
Примечание
Когда пользователь создает новую ветвь на сервере, он по умолчанию имеет разрешения "Участие", "Изменение политик", "Принудительная отправка", "Управление разрешениями" и "Удалить блокировки других пользователей". Это означает, что пользователи могут добавлять новые фиксации в репозиторий через свою ветвь.
Может создавать новые репозитории. Это разрешение доступно только в диалоговом окне Безопасность для объекта репозиториев Git верхнего уровня.
Может отправлять теги в репозиторий.
Может удалить репозиторий. На уровне репозиториев Git верхнего уровня можно удалить любой репозиторий.
Может изменять политики для репозитория и его ветвей.
Применимо к TFS 2018 с обновлением 2. Может обходить политики ветвей и выполнять следующие два действия:
- Переопределение политик ветвей и заполнение запросов на ветвей, которые не соответствуют политике ветвей
- Отправка непосредственно в ветви, для которых заданы политики ветвей
Примечание
В Azure DevOps он заменяется следующими двумя разрешениями: Политики обхода при выполнении запросов на вытягивание и Обход политик при отправке.
Может принудительно обновить ветвь, удалить ветвь и изменить журнал фиксаций ветви. Может удалять теги и заметки.
Может отправлять и редактировать заметки Git.
Может задавать разрешения для репозитория.
Может клонировать, извлекать, извлекать и просматривать содержимое репозитория.
Может удалять блокировки ветвей, заданные другими пользователями. Блокировка ветви блокирует добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.
Может изменять имя репозитория. Если задано в записи репозиториев Git верхнего уровня, можно изменить имя любого репозитория.
TFVC (уровень объектов)
Вы управляете безопасностью каждой ветви TFVC с веб-портала или с помощью программы командной строки TFSSecurity. Администраторы проектов получают большинство из этих разрешений, которые отображаются только для проекта, настроенного для использования система управления версиями Team Foundation в качестве системы управления версиями. В разрешениях управления версиями явное значение «Запретить» имеет преимущество над разрешениями группы администратора.
Эти разрешения отображаются только для установки проекта для использования система управления версиями Team Foundation в качестве системы управления версиями.
В разрешениях управления версиями явное отклонение имеет приоритет над разрешениями группы администраторов.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Администрирование меток
VersionControlItems, LabelOther
Могут изменять и удалять метки, созданные другими пользователями.
Синхронизация
VersionControlItems, Checkin
Может возвращать элементы и изменять любые зафиксированные примечания к набору изменений. Ожидающие изменения вносятся во время возврата.
Примечание
Рассмотрите возможность добавления этих разрешений для всех пользователей или групп, добавленных вручную, которые участвуют в разработке проекта; все пользователи, которые должны иметь возможность вернуть и извлечь изменения, внести ожидающие изменения в элементы в папке или изменить любые зафиксированные примечания к набору изменений.
Возврат изменений других пользователей
VersionControlItems, CheckinOther
Могут возвращать изменения, сделанные другими пользователями. Ожидающие изменения вносятся во время возврата.
Добавление изменения в рабочую область сервера
VersionControlItems, PendChange
Могут извлекать и вносить ожидающие изменения в элементах папки. Примеры ожидающих изменений: добавление, изменение, переименование, отмена удаления, ветвление и слияние файла. Ожидающие изменения должны быть возвращены, поэтому пользователям также потребуется разрешение На регистрацию, чтобы поделиться своими изменениями с командой.
Примечание
Рассмотрите возможность добавления этих разрешений для всех пользователей или групп, добавленных вручную, которые участвуют в разработке проекта; все пользователи, которые должны иметь возможность вернуть и извлечь изменения, внести ожидающие изменения в элементы в папке или изменить любые зафиксированные примечания к набору изменений.
Метка
VersionControlItems, Label
Могут помечать элементы.
Могут блокировать и разблокировать папки и файлы. Отслеживаемые папки или файлы можно заблокировать или разблокировать, чтобы запретить или восстановить привилегии пользователя. К разрешениям относятся права на извлечение элемента для редактирования в другой рабочей области или возврат ожидающих изменений элемента из другой рабочей области. Дополнительные сведения см. в разделе Команда блокировки.
Управление ветвями
VersionControlItems, ManageBranch
Может преобразовывать любую папку по указанному пути в ветвь, а также выполнять следующие действия с ветвью: изменять ее свойства, повторно преобразовывать ее и преобразовывать в папку. Пользователи с таким разрешением могут разветвлять эту ветвь, только если они уже имеют разрешение Объединить для целевого пути. Пользователи не могут создавать ответвления от ветви, для которой они не имеют разрешения Управление ветвями.
Управление разрешениями
VersionControlItems, AdminProjectRights
Могут управлять разрешениями других пользователей для папок и файлов в системе управления версиями.
Примечание
Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность создавать собственные ветви, если для проекта не применяются более строгие правила разработки.
Могут сливать изменения по этому пути.
Примечание
Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность слияния исходных файлов, если для проекта не применяются более строгие правила разработки.
Чтение
VersionControlItems, Read
Могут читать содержимое файла или папки. Если пользователь имеет разрешения Чтение для папки, он может просматривать содержимое папки и свойства файлов в ней, даже если он не имеет разрешения на открытие файлов.
Пересмотр изменений других пользователей
VersionControlItems, ReviseOther
Могут изменять комментарии в возвращенных файлах, даже если другой пользователь вернул этот файл.
Примечание
Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.
Отмена изменений других пользователей
VersionControlItems, UndoOther
Могут отменять ожидающие изменения других пользователей.
Примечание
Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.
Разблокирование изменений других пользователей
VersionControlItems, UnlockOther
Могут разблокировать файлы, заблокированные другими пользователями.
Примечание
Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.
Путь к области (уровень объекта)
Разрешения пути к области предоставляют или ограничивают доступ к ветвям иерархии областей и рабочим элементам в этих областях. Вы управляете безопасностью каждого пути к области с веб-портала или с помощью программы командной строки TFSSecurity. Разрешения области предоставляют или ограничивают доступ к созданию путей к области и управлению ими, а также созданию и изменению рабочих элементов, определенных в путях к области.
Членам группы "Администраторы проекта" автоматически предоставляются разрешения на управление путями к областям для проекта. Рассмотрите возможность предоставления администраторам команд или потенциальных клиентов разрешений на создание, изменение или удаление узлов области.
Примечание
Несколько команд могут участвовать в проекте. В этом случае можно настроить команды, связанные с областью. Разрешения для рабочих элементов команды назначаются путем назначения разрешений области. Существуют и другие параметры команды , которые настраивают средства гибкого планирования команды.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Могут создавать узлы областей. Пользователи с этим разрешением и разрешением Изменить этот узел могут перемещать или изменять порядок всех дочерних узлов. Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться удалить, добавить или переименовать узлы области.
Пользователи с этим разрешением и разрешением Изменить этот узел для другого узла могут удалять узлы области и реклассифицировать существующие рабочие элементы с удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.
Примечание
Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться удалить, добавить или переименовать узлы области.
Могут задавать разрешения для этого узла и переименовывать узлы областей.
Примечание
Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться удалить, добавить или переименовать узлы области.
Могут изменять рабочие элементы этого узла областей.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо изменять рабочие элементы в узле областей.
Могут изменять свойства плана тестирования, например настройки сборки и тестирования.
Примечание
Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле области.
Может создавать и удалять наборы тестов, добавлять и удалять тестовые случаи из наборов тестов, изменять конфигурации тестов, связанные с наборами тестов, а также изменять иерархию наборов (переместить набор тестов).
Примечание
Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле области.
Может просматривать параметры безопасности для узла пути к области.
Могут просматривать (но не изменять) рабочие элементы в этом узле областей.
Примечание
Если для параметра Просмотр рабочих элементов в этом узлезадано значение Запретить, пользователь не сможет видеть рабочие элементы в узле этой области. Запрет переопределяет любое неявное разрешение, даже для пользователей, являющихся членами административных групп.
Путь итерации (уровень объекта)
Разрешения пути итерации предоставляют или ограничивают доступ для создания путей итерации и управления итерациями, которые также называются спринтами.
Вы управляете безопасностью каждого пути итерации с веб-портала или с помощью программы командной строки TFSSecurity.
Членам группы "Администраторы проекта" автоматически предоставляются эти разрешения для каждой итерации, определенной для проекта. Рассмотрите возможность предоставления администраторам команд, мастерам схватки или ролям разрешений на создание, изменение или удаление узлов итерации.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Могут создавать узлы итераций. Пользователи с этим разрешением и разрешением Изменить этот узел могут перемещать или изменять порядок всех дочерних узлов итерации.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.
Пользователи с этим разрешением и разрешением Изменить этот узел для другого узла могут удалять узлы итерации и переклассифицировать существующие рабочие элементы с удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.
Могут задавать разрешения для этого узла и переименовывать узлы итераций.
Примечание
Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.
Могут просматривать настройки безопасности этого узла.
Примечание
Члены коллекции проектов Допустимые пользователи, Допустимые пользователи проекта, а также любой пользователь или группа, имеющие сведения о просмотре сведений на уровне коллекции или Просмотр сведений на уровне проекта , могут просматривать разрешения для любого узла итерации.
Запрос рабочего элемента и папка запросов (уровень объекта)
Управление разрешениями для запросов и папок запросов осуществляется через веб-портал. Все эти разрешения предоставляются администраторам проекта. Участникам предоставляются только разрешения на чтение. Предоставляйте разрешения участника пользователям и группам, которым требуется возможность создания запросов рабочих элементов проекта и предоставления совместного доступа к этим запросам.
Рассмотрите возможность предоставления разрешений "Участие " пользователям или группам, которым требуется возможность создавать запросы рабочих элементов для проекта и предоставлять к ним общий доступ. Дополнительные сведения см. в статье Настройка разрешений для запросов.
Примечание
Для создания диаграмм запросов требуется базовый доступ.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Может просматривать и изменять папку запросов или сохранять запросы в ней.
Могут удалить запрос или папку запросов и их содержимое.
Могут управлять разрешениями для запроса или папки запросов.
Могут просматривать и использовать данный запрос или запросы в папке, но не могут изменять запрос или содержимое папки запросов.
Планы доставки (на уровне объектов)
Управление разрешениями плана осуществляется через веб-портал. Управление разрешениями для каждого плана осуществляется с помощью диалогового окна "Безопасность". Администраторам проектов предоставляются все разрешения на создание, изменение планов и управление ими. Допустимым пользователям предоставляются разрешения на просмотр (только для чтения).
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Можно удалить выбранный план.
Может изменять конфигурацию и параметры, определенные для выбранного плана.
Может управлять разрешениями для выбранного плана.
Может просматривать списки планов, открывать план и взаимодействовать с ним, но не может изменять его конфигурацию или параметры.
Процесс (уровень объекта)
Вы можете управлять разрешениями для каждого унаследованного процесса, создаваемого с помощью веб-портала. Управление разрешениями для каждого процесса осуществляется с помощью диалогового окна "Безопасность". Администраторам коллекции проектов предоставляются все разрешения на создание, изменение процессов и управление ими. Допустимым пользователям предоставляются разрешения на просмотр (только для чтения).
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Может задавать или изменять разрешения для наследуемого процесса.
Может удалить унаследованный процесс.
Может создать унаследованный процесс из системного процесса, а также копировать или изменять унаследованный процесс.
Теги рабочих элементов
Разрешениями на добавление тегов можно управлять с помощью разрешения az devops security или средств командной строки TFSSecurity . Участники могут добавлять теги к рабочим элементам и использовать их для быстрой фильтрации невыполненной работы, доски или представления результатов запроса.
Вы можете управлять разрешениями тегов с помощью программы командной строки TFSSecurity. Участники могут добавлять теги к рабочим элементам и использовать их для быстрой фильтрации невыполненной работы, доски или представления результатов запроса.
Разрешение (пользовательский интерфейс)
Namespace permission
Описание
Могут создавать новые теги и применять их к рабочим элементам. Пользователи без этого разрешения могут выбрать только существующий набор тегов для проекта.
Примечание
По умолчанию участникам назначается разрешение На создание определения тега . Хотя разрешение Создание определения тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов на самом деле являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они отображаются в пользовательском интерфейсе. Чтобы ограничить разрешения тегов для одного проекта при использовании программы командной строки, необходимо указать GUID для проекта в рамках синтаксиса команды. В противном случае изменение будет применено ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.
Могут удалять теги из списка доступных тегов проекта.
Примечание
Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки. Кроме того, отсутствует пользовательский интерфейс для явного удаления тега. Вместо этого, если тег не использовался в течение 3 дней, система автоматически удаляет его.
Может просматривать список тегов, доступных для рабочего элемента в проекте. Пользователи без этого разрешения не будут иметь доступа к списку тегов, из которых можно выбирать, в форме рабочего элемента или в редакторе запросов.
Примечание
Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки. Просмотр сведений на уровне проекта неявно позволяет пользователям просматривать существующие теги.
Могут переименовывать теги с помощью API REST.
Примечание
Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки.
Выпуск (уровень объекта)
Вы управляете разрешениями для каждого выпуска, определенного на веб-портале. Администраторам проектов и администраторам выпусков предоставляются все разрешения на управление выпусками. Эти разрешения могут быть предоставлены или запрещены в иерархической модели на уровне проекта, для определенного конвейера выпуска или для определенной среды в конвейере выпуска. В этой иерархии разрешения могут наследоваться от родительского объекта или переопределяться.
Примечание
Группа администраторов выпуска уровня проекта создается одновременно с определением первого конвейера выпуска.
Кроме того, вы можете назначить утверждающих определенным шагам в конвейере выпуска, чтобы обеспечить соответствие развертываемых приложений стандартам качества.
В Release Management определены следующие разрешения. В столбце scope объясняется, можно ли задать разрешение на уровне проекта, конвейера выпуска или среды.
Разрешение
Описание
Области действия
Можно изменить любые другие разрешения, перечисленные здесь.
Проект, конвейер выпуска, среда
Может создавать новые выпуски.
Проект, конвейер выпуска
Может удалять конвейеры выпуска.
Проект, конвейер выпуска
Может удалять среды в конвейерах выпуска.
Проект, конвейер выпуска, среда
Может удалять выпуски для конвейера.
Проект, конвейер выпуска
Может добавлять и изменять конвейер выпуска, включая переменные конфигурации, триггеры, артефакты и политику хранения, а также конфигурацию в среде конвейера выпуска. Чтобы внести изменения в определенную среду в конвейере выпуска, пользователю также требуется разрешение Изменить среду выпуска .
Проект, конвейер выпуска
Может изменять среды в конвейерах выпуска. Чтобы сохранить изменения в конвейере выпуска, пользователю также требуется разрешение Изменить конвейер выпуска . Это разрешение также определяет, может ли пользователь изменять конфигурацию в среде конкретного экземпляра выпуска. Пользователю также требуется разрешение Управление выпусками для сохранения измененного выпуска.
Проект, конвейер выпуска, среда
Может инициировать прямое развертывание выпуска в среде. Это разрешение доступно только для прямых развертываний, которые инициируются вручную, выбрав действие Развернуть в выпуске. Если для условия среды задан любой тип автоматического развертывания, система автоматически инициирует развертывание без проверки разрешения пользователя, создавшего выпуск.
Проект, конвейер выпуска, среда
Может добавлять или изменять утверждающих для сред в конвейерах выпуска. Это разрешение также определяет, может ли пользователь изменять утверждающих лиц в среде конкретного экземпляра выпуска.
Проект, конвейер выпуска, среда
Может изменять конфигурацию выпуска, например этапы, утверждающие и переменные. Чтобы изменить конфигурацию конкретной среды в экземпляре выпуска, пользователю также требуется разрешение Изменить среду выпуска .
Проект, конвейер выпуска
Может просматривать конвейеры выпуска.
Проект, конвейер выпуска
Может просматривать выпуски, относящиеся к конвейерам выпуска.
Проект, конвейер выпуска
Значения по умолчанию для всех этих разрешений устанавливаются для коллекций командных проектов и групп проектов. Например, администраторам коллекции проектов, администраторам проектов и администраторам выпуска по умолчанию предоставляются все указанные выше разрешения. Участникам предоставляются все разрешения, кроме разрешений на администрирование выпуска. По умолчанию для читателей отказано во всех разрешениях, кроме просмотра конвейера выпуска и просмотра выпусков.
Разрешения группы задач (сборка и выпуск)
Управление разрешениями для групп задач выполняется из центра сборки и выпуска веб-портала. Администраторы проектов, сборки и выпуска получают все разрешения. Разрешения группы задач следуют иерархической модели. Значения по умолчанию для всех разрешений можно задать на уровне проекта и переопределить в отдельном определении группы задач.
Группы задач используются для инкапсуляции последовательности задач, уже определенных в определении сборки или выпуска, в одну повторно используемую задачу. Вы определяете группы задач и управляете ими на вкладке Группы задач в центре сборки и выпуска .
| Разрешение | Описание |
|---|---|
| Администрирование разрешений группы задач | Может добавлять и удалять пользователей или группы для обеспечения безопасности группы задач. |
| Удаление группы задач | Может удалить группу задач. |
| Изменение группы задач | Может создавать, изменять или удалять группы задач. |
Уведомления или оповещения
Нет разрешений пользовательского интерфейса, связанных с управлением уведомлениями по электронной почте или оповещениями. Вместо этого вы можете управлять ими с помощью команды az devops security permission или средств командной строки TFSSecurity .
Нет разрешений пользовательского интерфейса, связанных с управлением уведомлениями по электронной почте или оповещениями. Вместо этого вы можете управлять ими с помощью программы командной строки TFSSecurity .
- По умолчанию участники группы "Участники " уровня проекта могут подписаться на оповещения для себя.
- Члены группы "Администраторы коллекции проектов " или пользователи, у которых есть сведения об изменении уровня коллекции , могут задавать оповещения в этой коллекции для других пользователей или для команды.
- Члены группы "Администраторы проекта" или пользователи, у которых есть сведения об изменении уровня проекта , могут задавать оповещения в этом проекте для других пользователей или для команды.
Вы можете управлять разрешениями оповещений с помощью TFSSecurity.
Действие TFSSecurity
Пространство имен TFSSecurity
Описание
Администраторы коллекции проектов &
Учетные записи службы коллекции проектов
CREATE_SOAP_SUBSCRIPTION
EventSubscription
Могут создать подписку на веб-службу на базе SOAP.
✔️
GENERIC_READ
EventSubscription
Может просматривать события подписки, определенные для проекта.
✔️
GENERIC_WRITE
EventSubscription
Могут создать оповещения для других пользователей или для команды.
✔️
UNSUBSCRIBE
EventSubscription
Могут отменить подписку на события.
✔️
Похожие статьи
- Начало работы с разрешениями, доступом и группами безопасности
- Средства управления безопасностью и разрешениями
- Справочник по пространству имен безопасности и разрешениям для Azure DevOps
- Учетные записи служб и зависимости
- Добавление пользователей в организацию (Azure DevOps Services)
- Добавление пользователей в команду или проект
- Добавление пользователей к роли администратора
- Сделать пользователя администратором команды
- Устранение неполадок с разрешениями