TFS对Git分支的贡献权限 我们有OnFoundation Team Foundation Server（V1411426403.0）。我正在尝试锁定我们的dev+主分支，以鼓励开发人员创建功能分支，并向开发人员发出请求。作为这一过程的一部分，我已将dev分支上除Project和Build Administrators组之外的所有访问组的“贡献”权限设置为“拒绝”

不幸的是，一旦我这样做，管理员组的成员就无法完成拉取请求，看起来他们也没有权限，即使他们显式地拥有“允许”

他们得到以下错误：

TF401027:您的帐户缺少权限 您正在尝试的操作所必需的。你需要有 “一般贡献”。请与管理员联系

在将“贡献”权限还原到其他组之前，我也会遇到此错误

有人知道为什么会这样吗？或者如何解决？我所能想到的是，管理员组中的用户也在参与者组中，因此，他们对参与者组的成员身份的“拒绝”可能会覆盖他们对管理员的“允许”？

显式“拒绝”权限的优先级高于显式“允许”权限。通常，不要使用显式拒绝。如果不允许权限（即“未设置”），则会隐式拒绝该权限

但是，对于您描述的场景，安全设置是一个糟糕的解决方案。您应该使用强制执行拉取请求。有了分支策略后，受保护的分支只能通过拉请求更新，除非授予用户允许其忽略分支策略的权限。

显式“拒绝”权限的优先级高于显式“允许”权限。通常，不要使用显式拒绝。如果不允许权限（即“未设置”），则会隐式拒绝该权限

---

但是，对于您描述的场景，安全设置是一个糟糕的解决方案。您应该使用强制执行拉取请求。有了分支策略，受保护的分支只能通过pull请求更新，除非授予用户忽略分支策略的权限。

分支策略方法的良好指导，这正是我想要的。而显式的Deny/Allow也很有用，所以是双重打击！分支机构政策方法的良好指导，正是我所寻找的。而显式的Deny/Allow也很有用，所以是双重打击！