在 TFS 中发布 def 安全编辑权限
Permission for release def security editing in TFS
TFS 2015 R2。我有一个发布定义。我试图禁止集合管理员对其进行编辑(只有 server 管理员可以编辑)。这是当前设置:
- 权限继承 - 关闭
- 管理发布权限、编辑发布定义、编辑发布环境 -
Not set 用于服务器管理员以外的所有组,Allow 用于服务器管理员
集合管理员确实无法编辑有问题的定义,但他们可以更改它的安全性,让他们自己再次编辑。有什么方法可以禁止权限编辑?发布定义权限的 none 似乎涵盖了编辑权限本身。
为coll管理员设置拒绝和为服务器管理员设置允许不起作用,因为后者属于前者;即使您设置了允许,当您尝试保存时,它也会切换到 "Inherited deny"。
编辑:第 2 次,更改了管理发布权限,将发布定义编辑为拒绝所有组并允许我自己。 coll 管理员仍然可以搞乱权限。
更新:向 Microsoft 报告,如果您也遇到这种情况,click here and upvote。
更新2
尽管 TFS 服务器管理员可以在 TFS 服务器中执行任何操作,但是 并非所有 TFS 权限都在 TFS 服务器组中定义。这就是为什么默认将 Team Foundation Administrators 组添加到 Project Collection Administrators 组中的原因。
所以您在集合中的权限(即使您是 TFS 服务器管理员)也是从项目集合管理员组授予的。 windows 管理员如何禁止另一个 windows 管理员?这是同一个概念。因此,您可能不得不口头通知他们或将他们移出项目集合管理员组。将用户添加到另一个组中。
更新
可以直接拒绝合集管理员编辑发布定义。但是,它无法禁止他们自己编辑权限。团队项目集合组的成员可以对团队项目集合执行所有特权操作。
此外,没有相关权限禁止团队项目集合组中的某人编辑发布定义权限。看来只能通过通知来限制他们在发布定义上修改设置的权限了。
在 TFS 中 拒绝胜过允许。您可以将所有集合管理员添加到特定组。然后你只需要禁用这个特定的组权限来编辑发布定义。
将项目集合管理员组的编辑发布定义更改为拒绝后。
现在无法为我修改项目集合管理员组中的发布定义。添加任务变灰
Project Collection Administrators 是一个内置的集合级组,有权执行帐户或集合的所有操作。因此,该组中的成员可以更改该集合中的任何设置是预期的行为。解决方法是创建一个具有您要分配的权限的新组,并将一些成员从 Collection Administrators 移动到这个新组,因为 Collection Administrators Group 应该限制在尽可能少的需要对集合进行完全管理控制的用户.
Project Collection Administrators ▼
Permission: Has permissions to perform all operations for the account or collection.
Membership: Contains the Local Administrators group
(BUILTIN\Administrators) for the server where the application-tier
services for TFS have been installed. Also, contains the members of
the CollectionName\Service Accounts group.
This group should be restricted to the smallest possible number of
users who need total administrative control over the collection.
参考这个link了解详情:Permissions and groups defined for Team Services and TFS。
TFS 2015 R2。我有一个发布定义。我试图禁止集合管理员对其进行编辑(只有 server 管理员可以编辑)。这是当前设置:
- 权限继承 - 关闭
- 管理发布权限、编辑发布定义、编辑发布环境 -
Not set用于服务器管理员以外的所有组,Allow用于服务器管理员
集合管理员确实无法编辑有问题的定义,但他们可以更改它的安全性,让他们自己再次编辑。有什么方法可以禁止权限编辑?发布定义权限的 none 似乎涵盖了编辑权限本身。
为coll管理员设置拒绝和为服务器管理员设置允许不起作用,因为后者属于前者;即使您设置了允许,当您尝试保存时,它也会切换到 "Inherited deny"。
编辑:第 2 次,更改了管理发布权限,将发布定义编辑为拒绝所有组并允许我自己。 coll 管理员仍然可以搞乱权限。
更新:向 Microsoft 报告,如果您也遇到这种情况,click here and upvote。
更新2
尽管 TFS 服务器管理员可以在 TFS 服务器中执行任何操作,但是 并非所有 TFS 权限都在 TFS 服务器组中定义。这就是为什么默认将 Team Foundation Administrators 组添加到 Project Collection Administrators 组中的原因。
所以您在集合中的权限(即使您是 TFS 服务器管理员)也是从项目集合管理员组授予的。 windows 管理员如何禁止另一个 windows 管理员?这是同一个概念。因此,您可能不得不口头通知他们或将他们移出项目集合管理员组。将用户添加到另一个组中。
更新
可以直接拒绝合集管理员编辑发布定义。但是,它无法禁止他们自己编辑权限。团队项目集合组的成员可以对团队项目集合执行所有特权操作。
此外,没有相关权限禁止团队项目集合组中的某人编辑发布定义权限。看来只能通过通知来限制他们在发布定义上修改设置的权限了。
在 TFS 中 拒绝胜过允许。您可以将所有集合管理员添加到特定组。然后你只需要禁用这个特定的组权限来编辑发布定义。
将项目集合管理员组的编辑发布定义更改为拒绝后。
Project Collection Administrators 是一个内置的集合级组,有权执行帐户或集合的所有操作。因此,该组中的成员可以更改该集合中的任何设置是预期的行为。解决方法是创建一个具有您要分配的权限的新组,并将一些成员从 Collection Administrators 移动到这个新组,因为 Collection Administrators Group 应该限制在尽可能少的需要对集合进行完全管理控制的用户.
Project Collection Administrators ▼
Permission: Has permissions to perform all operations for the account or collection.
Membership: Contains the Local Administrators group (BUILTIN\Administrators) for the server where the application-tier services for TFS have been installed. Also, contains the members of the CollectionName\Service Accounts group.
This group should be restricted to the smallest possible number of users who need total administrative control over the collection.
参考这个link了解详情:Permissions and groups defined for Team Services and TFS。