0
何かに「拒否」を使用すると、すべてが上書きされ、アクセスが拒否されます。たとえば、あなたが「貢献者」グループを持っていて、人々が支店を作ってこないようにするには、支店管理を拒否したいとします。TFS(2012)のセキュリティ '拒否'アクセス許可は、「許可」を許可された管理者でさえもすべて拒否します。
いいえ、管理者として、私もそのグループに参加しています。プロジェクトコレクション管理者グループを「許可」に設定しても、「拒否」がそれを上書きします。
私のアクセス許可のいずれかが許可されている場合(これまでの他のセキュリティモデルのように)、この動作を許可するように変更したいのですが、管理者は他のグループに属していますか?そうでない場合は、ロックされます。
これは「拒否」をほとんど役に立たないようにします。「元従業員」グループや、すべてのものからロックアウトしたいものを作成し、それを有効にしたいと望む場合にのみ役に立ちます。
私はTFS 2012を使用しています。
グループに追加すると、管理者権限が完全に削除されます。 Windowsは同じように壊れた方法ですか?それが正しいとはかなり確信しています。私がドメイン管理者で、Printer Usersグループのメンバでも、印刷ユーザーグループが行うことができるものよりもプリンタで他の作業を実行できるはずです。そうすれば、窓は無許可の許可を否定し、危険なものになるでしょう!しかし、TFSでは、管理者がすべてを変更できるプロジェクトをセットアップする方法はありますが、すべての「貢献者」はできません。 - そのAdminが投稿者であっても? (Windowsの仕組みに似ています) –
私の人生にとって、この実装では、「拒否」が良いか役立つと思われる状況を想像することはできません。 (元従業員の状況以外) –
それは全く壊れていません。あなたは明示的に言っている: "グループXの一部である人々はアクションYを取ることができません。"明示的に許可されていて明示的に拒否されている人がいる場合は、何かが優先されなければなりません。拒否が優先されます。許可されていないユーザーを拒否するには、明示的なアクセス許可を設定しないでください。 –