Ändern des Dienstkontos oder Kennworts für Azure DevOps Server

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Sie können die Sicherheit von Azure DevOps Server verbessern, indem Sie das Dienstkonto oder das kennwort ändern, das für dieses Konto verwendet wird. Azure DevOps Server führt Dienste wie die zugehörigen Webdienste und den Team Foundation-Hintergrundauftrags-Agent im Kontext eines Dienstkontos aus.

Die Azure DevOps Server Dokumentation bezieht sich auf dieses Dienstkonto als TFSService, obwohl dies nicht der tatsächliche Name des Kontos ist, es sei denn, Sie erstellen ausdrücklich ein Konto mit diesem Namen. Azure DevOps Server speichert einen Datensatz mit dem Namen des tatsächlichen Kontos, das als Dienstkonto verwendet wird. Sie können ein anderes Konto als Dienstkonto festlegen, indem Sie den Datensatz ändern. Sie können auch das Kennwort für dieses Konto ändern. Änderungen des Kontos oder Kennworts werden auf andere Komponenten in der Bereitstellung synchronisiert. Wenn beispielsweise eine Active Directory-Domänenrichtlinie erfordert, dass alle Kennwörter regelmäßig ablaufen, können Sie die Kennwortinformationen für das Dienstkonto in Azure DevOps Server aktualisieren, wenn sich dieses Kennwort ändert.

Hinweis

Azure DevOps Server und seine Hilfsprogramme können kein neues lokales Oder Domänenkonto erstellen, das als TFSService verwendet werden soll, und sie können das Kennwort für dieses Konto in der Arbeitsgruppe oder domäne nicht aktualisieren. Stattdessen aktualisieren die Hilfsprogramme die Datensätze, sodass diese den neuen Anmeldeinformationen entsprechen. Wenn Ihre Bereitstellung mehrere Server auf Anwendungsebene umfasst, müssen Sie jeden Server manuell mit Änderungen am Dienstkonto oder seinem Kennwort aktualisieren.

Weitere Informationen zu Dienstkonten in Azure DevOps Server finden Sie unter Dienstkonten und Abhängigkeiten in Azure DevOps Server. Weitere Informationen zu den für die Installation erforderlichen Konten, einschließlich des Dienstkontos für Azure DevOps Server, finden Sie unter Dienstkontoanforderungen.

Voraussetzungen

• Um diese Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem Azure DevOps-Anwendungsebenenserver und Mitglied der Gruppe sysadmin auf dem Server und instance von SQL Server sein, die die Konfigurationsdatenbank für Azure DevOps hostet. Weitere Informationen finden Sie unter Azure DevOps Server Architektur und Berechtigungsreferenz für Azure DevOps Server.

Um einem Befehlszeilenverfahren zu folgen, müssen Sie möglicherweise ein Eingabeaufforderungsfenster mit erhöhten Rechten öffnen. Öffnen Sie das Kontextmenü für Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus. Weitere Informationen finden Sie unter Benutzerkontensteuerung.

Ändern des Kennworts für das Dienstkonto

Um das Kennwort von TFSService zu ändern, müssen Sie sich beim Anwendungsschichtserver für Azure DevOps anmelden und entweder die Verwaltungskonsole für Azure DevOps verwenden oder ein Eingabeaufforderungsfenster öffnen und das Befehlszeilenprogramm TFSConfig verwenden. Wenn Ihre Bereitstellung mehrere Server auf Anwendungsebene umfasst, müssen Sie diese Aufgabe auf jedem Server ausführen, um die Kontoinformationen zu synchronisieren.

Hinweis

Abhängig von Ihrer Bereitstellungskonfiguration müssen Sie möglicherweise internetinformationsdienste (IIS) neu starten, nachdem Sie das Verfahren abgeschlossen haben, bevor die Änderungen wirksam werden.

Verwenden der Verwaltungskonsole zum Ändern des Kennworts

1. Öffnen Sie die Verwaltungskonsole für Azure DevOps auf dem Server, der die Anwendungsebene hostet.

   Weitere Informationen finden Sie unter Öffnen der Azure DevOps Server-Verwaltungskonsole.

2. Erweitern Sie in der Konsole den Servernamen, und wählen Sie Anwendungsebene aus.

3. Wählen Sie im Bereich Anwendungsebene die Option Kontokennwort aktualisieren aus.

   Das Fenster Kontokennwort aktualisieren wird geöffnet.

   Hinweis

   Wenn Sie ein Systemkonto als Dienstkonto verwendet haben, wird eine Fehlermeldung angezeigt, wenn Sie Kontokennwort aktualisieren auswählen. Sie müssen das Kennwort dieses Kontos nicht ändern. Systemkonten haben keine benutzerverwalteten Kennwörter.

4. Geben Sie das neue Kennwort unter Kennwort ein, und wählen Sie dann OK aus.

   Das Fenster Dienstkonto ändern wird geöffnet.

5. Warten Sie, bis alle status Nachrichten unter Status abgeschlossen sind, und wählen Sie dann Schließen aus.

   Hinweis

   Dieser Vorgang kann einige Minuten in Anspruch nehmen.

Verwenden des TFSConfig-Hilfsprogramms zum Ändern des Kennworts

1. Öffnen Sie auf dem Anwendungsebenenserver ein Eingabeaufforderungsfenster, und wechseln Sie in das Verzeichnis, das das Hilfsprogramm TFSConfig enthält.

   Standardmäßig befindet sich dieses Hilfsprogramm unter Laufwerk:\Programme\TFS 12.0\Tools.

2. Geben Sie in der Befehlszeile TFSConfig Accounts /UpdatePassword /accountType:ApplicationTier /account:AccountName/password:NewPassword ein, und drücken Sie dann die EINGABETASTE.

3. Sie müssen sowohl den Namen des Dienstkontos (AccountName) als auch das Kennwort des Kontos (NewPassword) angeben.

Zuweisen eines anderen Kontos als Dienstkonto

Um Azure DevOps Server so zu konfigurieren, dass ein anderes Konto als Dienstkonto für Azure DevOps verwendet wird, können Sie entweder die Verwaltungskonsole oder das Befehlszeilenprogramm TFSConfig verwenden. Wenn Ihre Bereitstellung mehrere Server auf Anwendungsebene umfasst, müssen Sie diese Aufgabe auf jedem Server ausführen, um die Kontoinformationen zu synchronisieren. Bevor Sie eines der beiden Hilfsprogramm verwenden, um die Änderung vorzunehmen, berücksichtigen Sie die folgenden Punkte:

• Sie müssen ein neues Konto auswählen, das entweder ein Systemkonto oder ein Mitglied einer Arbeitsgruppe oder Domäne ist, die von jedem Computer in dieser Bereitstellung von Azure DevOps Server als vertrauenswürdig eingestuft wird.
• Die Konfigurationshilfsprogramme gewähren dem neuen Dienstkonto die Berechtigung Anmelden als Dienst . Die Hilfsprogramme widerrufen diese Berechtigung jedoch nicht für das Konto, das zuvor als Dienstkonto verwendet wurde, wenn ein anderer Dienst dieses Konto weiterhin verwendet. Wenn das alte Konto diese Berechtigung für den Dienst, für den es noch verwendet wird, nicht mehr benötigt, können Sie diese Berechtigung manuell aus dem alten Konto entfernen.

Weitere Informationen finden Sie unter Hinzufügen der Berechtigung „Anmelden als Dienst“ zu einem Konto.

• Möglicherweise müssen Sie IIS neu starten, nachdem Sie den Vorgang abgeschlossen haben, bevor die Änderungen wirksam werden.
• Das Hilfsprogramm TFSConfig ändert nur die Dienste, die unter dem alten Konto ausgeführt werden.

Verwenden der Verwaltungskonsole zum Ändern des Dienstkontos

1. Öffnen Sie die Verwaltungskonsole für Azure DevOps auf dem Server, der die Anwendungsebene hostet.

2. Erweitern Sie in der Konsole den Servernamen, und wählen Sie Anwendungsebene aus.

3. Wählen Sie im Bereich Anwendungsebene die Option Konto ändern aus.

   Das Fenster Dienstkonto aktualisieren wird geöffnet.

4. Führen Sie einen der folgenden Schritte aus:

   1. Um ein Systemkonto zu verwenden, wählen Sie Systemkonto verwenden und dann ein Systemkonto aus der Dropdownliste aus.

      Wenn der Server Mitglied einer Active Directory-Domäne ist, ist "Netzwerkdienst" die Standardauswahl für das zu verwendende Systemkonto. Wenn der Server Mitglied einer Arbeitsgruppe ist, lautet die Standardauswahl "Lokaler Dienst". Abhängig von den Details Ihrer Bereitstellung ist die Standardauswahl möglicherweise die einzige verfügbare Wahl.

      Hinweis

      Systemkonten haben keine benutzerverwalteten Kennwörter. Wenn Sie ein Systemkonto als TFSService verwenden, sollten Sie kein Kennwort in das Kennwortfeld eingeben.

   2. Um ein Domänen- oder Arbeitsgruppenkonto zu verwenden, wählen Sie Benutzerkonto verwenden aus, geben Sie den Namen des Kontos unter Kontoname ein, und geben Sie dann das Kennwort für dieses Konto unter Kennwort ein.

5. Klicken Sie auf OK.

   Das Fenster Dienstkonto ändern wird geöffnet.

6. Warten Sie, bis alle status Nachrichten unter Status abgeschlossen sind, und wählen Sie dann Schließen aus.

   Hinweis

   Dieser Vorgang kann einige Minuten in Anspruch nehmen.

Verwenden des TFSConfig-Hilfsprogramms zum Ändern des Dienstkontos

1. Öffnen Sie auf dem Anwendungsebenenserver ein Eingabeaufforderungsfenster, und wechseln Sie in das Verzeichnis, das das Hilfsprogramm TFSConfig enthält.

   Standardmäßig befindet sich dieses Hilfsprogramm unter Laufwerk:\Programme\TFS 12.0\Tools.

2. Geben Sie in der Befehlszeile TFSConfig-Konten /change /accountType:ApplicationTier /account:AccountName/password:NewPassword ein, und drücken Sie dann die EINGABETASTE.

   Weitere Informationen finden Sie unter Kontobefehl.

Verwandte Artikel

• Ändern des Dienstkontos oder Kennworts für SQL Server Reporting Services
• Befehl "Konten"
• Dienstkonten und Abhängigkeiten in Azure DevOps Server
• Managing server configuration with TFSConfig (Verwalten der Serverkonfiguration mit TFSConfig)
• Ändern des Kennworts für den Visual Studio Team Foundation Build Service