1. Zuhause
  2. Frage und Antwort
  3. TFS (2012) Sicherheit 'verweigern' Erlaubnis bestreitet jeder sogar Admins gewährt "erlauben"

TFS (2012) Sicherheit 'verweigern' Erlaubnis bestreitet jeder sogar Admins gewährt "erlauben"

2016-06-23 9 views
0

Von dem, was ich sagen kann, wenn Sie jemals "verweigern" zu etwas verwenden, überschreibt es alles und verweigert den Zugriff. Zum Beispiel haben Sie eine "Mitwirkende" -Gruppe, und Sie möchten ihnen "Zweig verwalten" verweigern, um zu verhindern, dass Mitarbeiter Zweigstellen erstellen.TFS (2012) Sicherheit 'verweigern' Erlaubnis bestreitet jeder sogar Admins gewährt "erlauben"

Hört sich gut an, aber als Admin bin ich zufällig auch in dieser Gruppe, und obwohl ich die Gruppe 'project collection administrators' auf 'allow' gesetzt habe, wird 'deny' überschrieben!

Ich möchte dieses Verhalten ändern, um Zugriff zu gewähren, wenn eine meiner Berechtigungen es gewährt (wie bei jedem anderen Sicherheitsmodell, mit dem ich gearbeitet habe), so wie es aussieht, muss ich sicher sein, dass keiner von Die Admins sind in anderen Gruppen - oder wir werden davon ausgeschlossen werden!

Dies macht das "Verweigern" fast nutzlos - nur gut für die Schaffung einer "ehemaligen Mitarbeiter" -Gruppe oder etwas, wo Sie wollen, dass sie aus allem ausgesperrt werden und in der Lage sein möchten, das einzuschalten.

Oh, ich benutze TFS 2012

Quelle

2016-06-23 Traderhut Games

Antwort

4

Das ist richtig. Die Deny Berechtigung übertrumpft alle anderen Berechtigungen.

Betrachten Sie es wie folgt aus:

  • Allow etwas bedeutet, ist ausdrücklich erlaubt.
  • Not Set bedeutet, dass etwas verweigert wird, es sei denn, es wird von einem überschrieben.
  • Deny bedeutet, dass etwas verweigert wird auch wenn es ist Allow Ed an anderer Stelle.

Es ist erwähnenswert, dass dies genau das gleiche wie Windows-Sicherheit funktioniert.

Quelle

2016-06-23 16:11:42

+0

Wenn Sie also einer Gruppe hinzugefügt werden, können Sie Ihre Administratorrechte vollständig ENTFERNEN. Windows macht es genauso kaputt? Ich bin mir ziemlich sicher, dass das nicht stimmt. Wenn ich ein Domänenadministrator bin, aber auch ein Mitglied der Gruppe Druckerbenutzer, sollte ich andere Dinge mit dem Drucker machen können, als die Druckerbenutzergruppe. Das würde Windows 'verweigern' Erlaubnis wertlos und gefährlich machen! Gibt es in TFS jedoch eine Möglichkeit, ein Projekt einzurichten, bei dem der Administrator alles ändern kann, aber nicht alle "Mitwirkenden"? - Auch wenn dieser Admin ein Mitwirkender ist? (ähnlich wie Windows funktioniert) –

+0

Ich kann nicht für das Leben von mir vorstellen, eine Situation, in der "leugnen" wäre eine gute oder nützliche Sache mit dieser Implementierung. (außer der ehemaligen Angestellten Situation.) –

+0

Es ist überhaupt nicht kaputt. Sie sagen ausdrücklich: "Leute, die Teil von Gruppe X sind, sollten nicht in der Lage sein, Aktion Y zu machen." Wenn Sie jemanden haben, der explizit erlaubt und explizit abgelehnt wird, muss etwas Vorrang haben. Deny hat Vorrang. Wenn Sie Personen verweigern möchten, die nicht zulässig sind, legen Sie keine expliziten Berechtigungen für sie fest. –

Verwandte Themen

 Verwandte Themen