問題タブ [tfs-security]

TFS (Team Foundation Server) からデータを抽出し、データを含む Excel シートを作成する必要があります。それを自動化するために、私はアプリケーションを書いています。

しかし、問題は次のとおり
です。TFS からデータを取得するにはどうすればよいですか? これに使用できる Web サービスはありますか、または HTML を解析してからデータを取得する必要があります。

ここに私の要件があります：

• Company1、Team1、および Admins の 3 つの TFS グループがあります。管理者は Team1 のサブセットです。Team1 は Company1 のサブセットです。
• 私の Git リポジトリには、マスター ブランチと、0 個以上の追加ブランチが含まれています。
• 管理者は何でもできます。Team1 はコードをすべてのブランチにプルおよびプッシュできます。ただし、マスターにプッシュすることはできません。Company1 はすべてのブランチからコードをプルできますが、プッシュはまったくできません。

これが私が試したことです。

アプローチ 1

• リポジトリ レベル:
  • Company1 には、許可されている読み取り以外のすべてのアクセス許可が設定されていません。
  • Team1 には、「ブランチの作成」と「読み取り」を除くすべての権限が設定されていません。
  • 管理者にはすべての権限が許可されています。
• ブランチ レベルで、マスターの場合:
  • Team1 にはすべての権限がありません。
  • 管理者は、ALLOW を継承するすべての権限を持っています
• ブランチ レベルで、非マスター ブランチの場合:
  • Team1 にはすべての権限が許可されています
  • 管理者は、ALLOW を継承するすべての権限を持っています

問題: これは既存のブランチに対しては完全に機能しますが、チーム 1 のメンバーが新しいブランチを作成すると、そのメンバーが許可されている場合、コードをそこにプッシュすることはできません。ブランチを使用する前に、チーム 1 のアクセス許可を手動で ALLOW に設定する必要があります。

アプローチ 2

注: 管理者と Company1 のアクセス許可は、以前のアプローチから変更されていません。

• リポジトリ レベル:
  • Team1 はすべてに ALLOW が設定されています
• ブランチ レベルで、マスターの場合:
  • Team1 はすべてに DENY が設定されています
• ブランチ レベルで、非マスター ブランチの場合:
  • Team1 はすべてに対して ALLOW セットを継承しています

問題: このアプローチは上記の問題を解決しますが、管理者は Team1 のサブセットであるため、管理者はマスターへのアクセスも拒否されます (拒否は許可より優先されます)。そのため、コードを master にプッシュする必要があるたびに、パーミッションを一時的に変更して自分自身がそうできるようにし、終了したら元に戻す必要があります。

質問: 両方の問題を解決する権限を構成する方法はありますか?つまり、手動で介入する必要はありませんか?

私は 1 つの解決策を知っています。2 つの新しいグループを作成し、それらを通常とマスターと呼びましょう。グループには Team1 の個別のメンバーが含まれます (両方のチーム メンバーは存在しません)。これにより、管理者が Team1 グループにも存在するアプローチ 2 に関連する問題が解決されます。ここでの問題は、IT によって管理されている 1 つのグループではなく、2 つのグループを管理していることです。そのため、まだ時折手作業があります。

これは利用可能な最良のソリューションですか？

注: 私はこれらすべてに不慣れで、このタスクを膝の上に落としてしまったので、用語の誤りはご容赦ください。

エリア (プロジェクト内のフォルダー) を保護する方法を知りたいです。つまり、読み取りと書き込みのために外部コンサルタントにアクセスできるようにします。

しかし、そのプロジェクト内の他のフォルダーにアクセスできるようにしたくありません。

フォルダー (定義された領域) へのアクセスを割り当てる方法は知っていますが、フォルダー (領域) へのアクセスを切断せずに、プロジェクトに対する権限を安全に削除する方法がわかりません。

どんな助けでも感謝します。

TFS 2015を使用してビルドを作成し、それらを展開しています。すべてが適切でしたが、過去2週間からビルドは正常に作成されていますが、リリース部分でエラーがスローされています

TF50309: 次のアカウントには、操作を完了するための十分な権限がありません:[*****]\Project Collection Service Accounts。この操作を実行するには、次の権限が必要です:プロジェクト レベルの情報の表示

そこで、チーム プロジェクト -> セキュリティ設定を確認しました。プロジェクト レベルの情報の表示は、プロジェクトの有効なユーザーを除くすべてのグループに対して [許可] に設定されます。他のすべてのグループはプロジェクトの有効なユーザーのメンバーであるため、問題になることはないと思います。

誰かが私を助けて適切な解決策を教えてくれますか

TFS でリリース定義をセットアップしようとしていますが、アクセス拒否メッセージが表示されます。

私は「エージェント プール管理者」グループの一員であるため、この権限が必要だと考えました。

ただし、キューにロールがなく、何らかの理由でロールを追加できないことに気付きました。これは、問題に関連していると思われます。

私の質問は、アクセス許可を正しく構成するにはどうすればよいですか? 私はすでにたくさんのグーグル検索を行ってきましたが、私が見逃している正確な許可を特定することはできませんでした.

[[アップデート]]

これは TFS 2015 update 3 です

どうやら、私自身はすでにプロジェクト コレクション管理者ですが、まだキューのアクセス許可がなく、自分自身をキュー管理者として追加する場所がわからないか、表示されません。

上記のキューは私が作成したものですが、間接的に、自動プロビジョニング キューをオンにしてエージェント プールを作成し、キューを作成しましたが、キューを直接作成しようとすると、別の「アクセスが拒否されました」エラーが発生します。

[アップデート]

実行しようとしていますtfssecurity /collection:http://wada-pc:8080/tfs/DefaultCollection /g+ "[Agent Queues]\Agent Queue Administrators" "domain\account"

私を導くError: Access Denied: Eduardo Wada needs the following permission(s) to perform this action: Edit collection-level information

ただし、その許可が必要です。

新しいオンプレミス TFS 2017 をセットアップしており、リポジトリのオプションを変更できるユーザーを保護したいと考えています。