【问题标题】:Permission for release def security editing in TFS在 TFS 中发布 def 安全编辑的权限
【发布时间】:2017-10-04 08:49:04
【问题描述】:

TFS 2015 R2。我有一个发布定义。我试图禁止集合管理员对其进行编辑(只有 server 管理员可以编辑)。这是当前的设置:

  • 权限继承 - 关闭
  • 管理发布权限、编辑发布定义、编辑发布环境 - Not set 用于除服务器管理员之外的所有组,Allow 用于服务器管理员

集合管理员确实无法编辑有问题的 def,但他们可以更改其安全性,让自己再次编辑。有什么方法可以禁止权限编辑?似乎没有一个 release def 权限涵盖编辑权限本身。

为 coll admins 设置 Deny,为 server admins 设置 Allow 不起作用,因为后者属于前者;即使您设置了允许,当您尝试保存时,它也会切换到“继承拒绝”。

编辑:采取 2,更改管理发布权限,将所有组的发布定义编辑为拒绝,并允许我自己。 coll 管理员仍然可以弄乱权限。

更新:向微软报告,如果你也遇到这种情况,click here and upvote

【问题讨论】:

    标签: tfs tfs-2015 ms-release-management


    【解决方案1】:

    项目集合管理员是一个内置的集合级别组,它有权对帐户或集合执行所有操作。因此,此组中的成员可以更改此集合中的任何设置是一种预期行为。解决方法是创建一个具有您想要分配的权限的新组,并将一些成员从 Collection Administrators 移动到这个新组,因为 Collection Administrators Group 应该被限制为需要对集合进行全面管理控制的尽可能少的用户.

    项目集合管理员 ▼

    权限:有权对帐户或集合执行所有操作。

    Membership:包含本地管理员组 (BUILTIN\Administrators) 用于应用层所在的服务器 已安装 TFS 服务。此外,包含的成员 CollectionName\Service Accounts 组。

    这个组应该被限制在尽可能少的数量 需要对集合进行全面管理控制的用户。

    详情请参考此链接:Permissions and groups defined for Team Services and TFS

    【讨论】:

    • 明白,没有办法,这是设计使然。 TFS 2017 中的行为相同?
    【解决方案2】:

    更新2

    尽管 TFS 服务器管理员可以在 TFS 服务器中执行任何操作,但是并非所有 TFS 权限都在 TFS 服务器组中定义。这就是默认情况下将 Team Foundation Administrators 组添加到 Project Collection Administrators 组的原因。

    因此,您在集合中的权限(即使您是 TFS 服务器管理员)也由项目集合管理员组授予。 Windows 管理员如何禁止另一个 Windows 管理员?这是同一个概念。因此,您可能不得不口头通知他们或将他们移出项目集合管理组。将用户添加到另一个组中。


    更新

    它可以直接拒绝集合管理员编辑发布定义。但是,它不能禁止他们自己编辑权限。团队项目集合组的成员可以对团队项目集合执行所有特权操作。

    此外,没有禁止团队项目集合组中的某人编辑发布定义权限的相关权限。看来我们只能通过通知限制他们修改发布定义上的设置权限了。


    在 TFS 中拒绝王牌允许。您可以将所有集合管理员添加到特定组。然后你只需要禁用这个特定的组权限来编辑发布定义。

    在将项目集合管理员组的 Edit release definition 更改为 Deny 之后。 它现在无法为我修改项目集合管理员组中的发布定义。添加任务是灰色的。

    【讨论】:

    • 在我的一生中,它不会那样工作。对除一条以外的所有行的“管理发布权限”进行“拒绝”,但测试集合管理员可以对其进行编辑。你试过复制吗?
    • @SevaAlekseyev 您只需将编辑发布定义更改为拒绝。它对我有用。请看我的更新回复
    • 我也这样做了。关于您的设置的问题 - 项目管理员可以转到发布定义的安全屏幕并允许自己编辑吗?他们可以在我的。
    • @SevaAlekseyev 恐怕这是设计使然。即使 TFS 服务器管理员可以在 TFS 服务器中执行任何操作,但并非所有 TFS 权限都在 TFS 服务器组中定义。这就是默认情况下将 Team Foundation Administrators 组添加到 Project Collection Administrators 组的原因。因此,您的权限(即使您是 TFS 服务器管理员)也由项目集合管理员组授予。 Windows 管理员如何禁止另一个 Windows 管理员?这是同一个概念。所以你可能不得不口头通知他们或将他们移出项目收集管理组。
    • @SevaAlekseyev 不怕。经过测试,在 TFS2017 中得到了相同的行为。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2012-03-08
    • 2011-02-03
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多