我查看了来自 Microsoft 的文档以获取 AzureDevops,并且我了解如何管理分支的权限。
我想知道的是,如果用户在创建分支时自动添加 Edit Policies 权限到 Allow(假设普通用户不是管理员,并且他没有继承这个权限)?
如果上述问题的答案是肯定的,那么是否有任何情况下可以将第二个用户自动添加到分支权限列表中?没有管理员明确添加它?我在任何地方的文档中都找不到这个。
*图片来自msdn
【问题讨论】:
标签: azure-devops azure-security
是的,对于每个分支机构的权限设置,您可以直接管理该用户或创建一个组,然后将该顾问添加到组中,管理该组的权限。
换句话说,如果不显式添加,用户 B 也可以添加到组中。 您只需要确保您不属于任何拥有完全权限Denied的群组。
在 Azure DevOps 中,拒绝胜过允许。
除非您是组织中 Project Collection Administrators 组的成员,否则明确拒绝任何权限的组的成员身份将拒绝您的权限,即使您属于另一个明确允许您的权限的组,即使您作为个人用户被授予该权限允许。
我们通常将开发人员添加到贡献者。
对于继承部分,您可以打开继承并明确明确单击每个具有明确权限的分支。
在此之后,其他分支的 Contributors Group 将完全继承您的 repo/workspace 的根路径设置的权限。例如,如果根路径是Allow,你的分支应该是Allow(inherited),如果是Deny,你的分支应该是Deny(inherited)。
如果没有直接允许或拒绝用户的权限,则可以通过两种方式继承它。
用户从他们所属的组继承权限。当
允许用户直接或通过成员资格获得权限
拥有该权限的组,但被直接拒绝
或通过组成员身份,权限被拒绝。
Project Collection Administrators 或 **Team Foundation
的成员管理员**保留任何允许的权限,即使他们属于
拒绝这些权限的其他组。
为层次结构的节点分配的对象级权限 -
区域、迭代、版本控制文件夹、工作项查询文件夹 -
沿层次结构继承。也就是说,用户的权限
在area-1设置的都被area-1/sub-area-1继承,如果相同
没有明确允许或拒绝 area-1/sub-area-1 的权限。
如果为对象明确设置了权限,例如
area-1/sub-area-1,那么不管是不是继承父节点
是拒绝还是允许。如果没有设置,那么
该节点的权限继承自最近的祖先
具有明确设置的权限。
更多详情请看我们的官方教程:Inheritance and security groups
【讨论】: