Azure DevOps小组分配给项目管理

根据分配的方式，项目的分组分配会给出不同的最终结果：

1. 如果创建了组规则并授予项目访问权限-也可以在组规则设置中删除访问权限，则项目可以将AD组分配为成员

2. 如果为AD组创建了组规则，并且同一AD组需要配置额外的权限(比如拒绝访问管道)，则必须将AD组添加为DevOps组的成员(在这种情况下，DevOps没有组规则)。然后，有三种可能性：

   • 将项目分配给组规则(如场景1所示)，然后分配DevOps组将不会被使用，并且仅充当权限组

   • DevOps组可以从项目设置添加到项目中。

   • AD组可以从项目设置添加到项目中。

   在最后两种情况下，AD组规则具有对该项目的继承赋值，并且不能将其从组规则设置中删除。

3. 可以为DevOps组创建组规则，并且该DevOps可以将AD组作为成员。如果此组是从项目设置添加到项目中的，则存在相同的问题-在组规则设置中不能撤消访问权限。它比选项2好一点，因为您有一个组和同一组的组规则，但访问级别管理不是在AD组级别上完成的，而是在DevOps组级别上进行的。4.可能有一种情况，AD组有一个组规则，并且属于一个也有组规则的DevOps组，但我想在现实生活中设置时不应该出现这种情况

应该如何管理对项目的访问？是否应该使用组/用户分配从组织级别管理所有访问？还是应该通过添加成员在项目级别进行管理？从上面的描述中，我可以看到，当一些访问可以在组织用户设置中撤销，而另一些不能撤销时，两者混合可能会导致混乱和混乱。这里推荐的做法是什么？

在项目设置中，当向团队添加成员时，用户可以访问DevOps组和所有AD组(基于AD权限的AFAK)。有可能从DevOps部分控制它吗？所以用户只能添加DevOps组，或者为其创建了组规则的AD组？这可能与上面的问题有关，但这里建议的做法是什么？

======添加一个场景来说明我的问题

让我们假设这个场景：AD组"Devs"one_answers"QA"需要被授予对DevOps以及项目P1和P2的访问权限。

1. P1项目管理员可以进入项目设置->团队并添加AD组"QA"直接指向项目。由于QA还不是组织的一部分，我会争辩说这种行为不应该被允许有可能吗阻止管理员这样做？为什么应该这样允许吗
2. 全局管理员(GA)添加组规则以将AD组"Devs"添加到DevOps。没有为此规则创建DevOps组，因此AD组必须添加到新的或现有的DevOps组。比方说一个新的小组创建了"DevOps-Devs"，并将AD组添加为其成员。现在P2所有者希望将开发人员添加到项目中。他/她可以在项目设置中添加AD"Devs"one_answers"DevOps Devs"。我想应该使用DevOps组，对吗？(再次说明如何防止添加AD组？)
3. GA创建了一个名为DevOps QA的DevOps小组。然后他添加了一个组规则。AD组"QA"随后作为成员添加到DevOps QA首选或推荐哪种方法(2或3)创建组规则然后不向项目中添加成员通过项目设置，项目访问被分配给DevOps QA组规则设置中的组->管理组规则

此外，我认为用户/广告组对项目的访问应该主要在组织设置中进行管理。如果使用1和2选项，则情况并非如此。如果使用选项3，则可以在"管理组规则"设置中向组添加访问权限或从组中撤销访问权限，但有人提到，组规则主要用于许可(必须首先创建)，因此现在看来，这不是管理访问权限的最佳位置。对此没有意见，并允许用户使用他们喜欢的方式，可能会导致未来组织管理更加混乱你能推荐什么方法