默认权限在 Azure DevOps 队列上恢复
Default permissions come back on AzDevOps queues
本地 AzDevOps Server 2019,版本 Dev17.M153.5。我限制了对每个集合中每个项目的代理队列的默认访问权限 - 删除了默认设置(Release Admins/Build Admins/Project Admins),添加了一些其他行(Server Admins)。
现在,这三个权限偶尔会间歇性地自动恢复,我看不出有什么模式。在不同的项目中,由于没有人为操作(已告知所有有权执行此操作的人),具有管理员角色的那三行重新出现在默认代理队列 ACL 中。
这是 AzDevOps 中的已知行为吗?有什么办法可以退出吗?
编辑:这是它的样子。前三行不属于。
编辑:根据建议,我会尝试使用 activity 日志来追踪它。我去了其他地方对默认队列安全性进行了虚拟更改。有命令 SecurityRoleAssignments.SetRoleAssignments 的日志记录。然后,我过滤了权限已恢复的集合中的 activity 日志,并搜索了相同的命令。没有实例。日志在 7 月 14 日左右结束,很可能在事件发生之前。
这应该是继承权限导致的。默认情况下,继承选项处于打开状态,并且以下组被添加到 'All agent pools' 的管理员角色中:构建管理员、发布管理员、项目管理员。
如果我们关闭选项继承,我们可以删除默认权限组(释放Admins/Build Admins/Project 管理员)。
如果我们开启Inheritance,权限组会再次被继承,默认的权限组又会回来,请勾选该选项并确认继承始终关闭。还请所有有权更新选项的人确认。
Uodate1
登录{Azure DevOps Server URL}/_oi/_diagnostics/activityLog,可以看到Activity日志,查看谁添加了权限组,请查收。
安装了 Azure DevOps 2020。几个星期后,没有这样的行为。
得出结论,这是 AzDevOps 2019 中的一个错误,他们一直在悄悄修复。
本地 AzDevOps Server 2019,版本 Dev17.M153.5。我限制了对每个集合中每个项目的代理队列的默认访问权限 - 删除了默认设置(Release Admins/Build Admins/Project Admins),添加了一些其他行(Server Admins)。
现在,这三个权限偶尔会间歇性地自动恢复,我看不出有什么模式。在不同的项目中,由于没有人为操作(已告知所有有权执行此操作的人),具有管理员角色的那三行重新出现在默认代理队列 ACL 中。
这是 AzDevOps 中的已知行为吗?有什么办法可以退出吗?
编辑:这是它的样子。前三行不属于。
编辑:根据建议,我会尝试使用 activity 日志来追踪它。我去了其他地方对默认队列安全性进行了虚拟更改。有命令 SecurityRoleAssignments.SetRoleAssignments 的日志记录。然后,我过滤了权限已恢复的集合中的 activity 日志,并搜索了相同的命令。没有实例。日志在 7 月 14 日左右结束,很可能在事件发生之前。
这应该是继承权限导致的。默认情况下,继承选项处于打开状态,并且以下组被添加到 'All agent pools' 的管理员角色中:构建管理员、发布管理员、项目管理员。
如果我们关闭选项继承,我们可以删除默认权限组(释放Admins/Build Admins/Project 管理员)。
如果我们开启Inheritance,权限组会再次被继承,默认的权限组又会回来,请勾选该选项并确认继承始终关闭。还请所有有权更新选项的人确认。
Uodate1
登录{Azure DevOps Server URL}/_oi/_diagnostics/activityLog,可以看到Activity日志,查看谁添加了权限组,请查收。
安装了 Azure DevOps 2020。几个星期后,没有这样的行为。
得出结论,这是 AzDevOps 2019 中的一个错误,他们一直在悄悄修复。