从我可以看出的情况下,如果您曾经使用'否认',它会覆盖所有内容并访问Denys。例如,您有一个"贡献者"组,并且想"拒绝"他们"管理分支"以防止人们制作分支。
听起来不错,但是作为管理员,我也恰好在该组中,即使我已经设置了"项目收集管理员"组来"允许"拒绝"覆盖它!
如果我的任何权限授予此行为,以授予访问权限(就像我使用过的所有其他安全模型一样),看起来我需要确保没有一个管理员在任何其他小组中 - 或我们将被锁定在这些组中!
这几乎使"拒绝"几乎没有用 - 仅适合创建一个"前员工"小组,或者您希望他们锁定一切并希望能够打开它的地方。
哦,我正在使用TFS 2012
是正确的。Deny的权限胜过所有其他权限。
这样想:
-
Allow表示明确允许的东西。 -
Not Set意味着除非被Allow覆盖。 -
Deny意味着某物被拒绝即使是其他地方的Allowed。
值得注意的是,这与Windows安全的工作方式完全相同。