Чрезмерный уровень разрешений в управлении выпусками для группы участников в TFS

Похоже, что сопоставление разрешений по умолчанию в TFS Release Management (TFS 2017) для группы Contributors позволяет делать гораздо больше вещей, чем должно быть разрешено простому «участнику»: введите здесь описание изображения Конечно разрешения могут быть изменены (в зависимости от количества TP это может занять некоторое время), но я не понимаю, почему сопоставление по умолчанию дает так много возможностей. Насколько я понимаю, группа Contributors предназначена для размещения разработчиков. Почему у разработчика должны быть разрешения на изменение/удаление среды выпуска, управление утверждающими выпусками или даже изменение определения выпуска? (который, вероятно, был правильно настроен администратором выпуска).

Я ничего не понимаю?

Любопытно, что разрешения на сборку команды для участников гораздо более ограничены...

С уважением.


tfs release-management azure-pipelines-release-pipeline
person Josto    schedule 12.06.2019    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Чрезмерный уровень разрешений в управлении выпусками для группы участников в TFS

Приносим извинения за неудобства.

Такое поведение предназначено и не является проблемой. Согласно документу Разрешения конвейера и роли безопасности, мы могли бы узнать:

После того, как вас добавили в команду, вы становитесь участником группы Contributors. Это позволяет вам определять и управлять сборками и выпусками. К наиболее распространенным встроенным группам относятся Читатели, Участники и Администраторы проекта. Этим группам назначаются разрешения по умолчанию, как указано ниже.

введите здесь описание изображения

Как мы видим, разные разрешения по умолчанию между сборкой и выпуском — это возможность сборки разрешений по умолчанию будет иметь еще одну задачу Управление очередями сборки и качеством сборки (другие не отображаются в списке ОБЗОР КОНТРОЛЯ ДОСТУПА).

Итак, когда мы добрались до сопоставления разрешений по умолчанию в TFS Build Management, мы можем увидеть следующие настройки:

введите здесь описание изображения

Хотя другие параметры, кроме красного поля, не установлены, они позволяют членству в группе с установленными разрешениями иметь приоритет. Если вы проверите эти параметры один за другим, вы обнаружите, что все эти разрешения установлены как Разрешить (унаследовано), проверьте образ из Azure Devops:

введите здесь описание изображения

Итак, разрешения на групповую сборку для участников не ограничены, кроме TFS Build Management.

Кроме того, если вы считаете, что сопоставление участников по умолчанию дает так много возможностей, вы можете добавить пользовательскую группу и установить разрешения для этой группы, а затем добавить этих участников в эту группу.

Надеюсь это поможет.

person Leo Liu-MSFT    schedule 14.06.2019
comment
Я знал, что такое поведение является преднамеренным, вопрос в основном заключался в том, чтобы определить, помещаю ли я не тех людей в группу участников в соответствии с передовой практикой MS, потому что нелегко объяснить руководству, почему разработчики могут изменять процедуры развертывания, установленные релиз-менеджеры (извините, что разделил комментарий на две части, я потратил максимальное время на редактирование первой) - person Josto; 14.06.2019
comment
@Josto, Да, я полностью понимаю твою боль. Корень боли лежит в разнице в понимании разрешений участников. MS определила участников, которые позволяют вам определять сборки и выпуски и управлять ими. Но это может иметь слишком много разрешений для ваших участников. Именно по этой причине MS предоставляет вам СВОДКУ КОНТРОЛЯ ДОСТУПА, чтобы мы могли настраивать разрешения участников. Если нет, у нас будет много групп Azure Devops для разных запросов разрешений. - person Leo Liu-MSFT; 14.06.2019
comment
было бы неплохо иметь встроенную группу, предназначенную только для разработчиков (то есть людей, которым нужно только отправлять код, обновлять рабочие элементы и ничего больше). Да, вы можете создать группу самостоятельно, но вам нужно позаботиться о предоставлении всех необходимых разрешений, а это может занять некоторое время для многих TP. В любом случае, я думаю, что создам скрипт для обновления разрешений участников в каждом TP. Еще раз спасибо за ваши ответы :) - person Josto; 14.06.2019
comment
@Josto, пожалуйста :). Приносим извинения за неудобства, вы можете добавить свой запрос на эту функцию на нашем сайте UserVoice: developercommunity.visualstudio.com/content/idea/. Кстати, если ответ поможет вам, вы можете принять его как ответ, чтобы он мог помочь другим членам сообщества, у которых возникают те же проблемы, и мы могли бы заархивировать эту тему, спасибо. - person Leo Liu-MSFT; 14.06.2019