Ändern des Dienstkontos oder Kennworts für Azure DevOps Server

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Hinweis

Azure DevOps Server wurde zuvor als Visual Studio Team Foundation Server bezeichnet.

Sie können die Sicherheit von Azure DevOps Server verbessern, indem Sie das Dienstkonto oder das Kennwort ändern, das für dieses Konto verwendet wird. Azure DevOps Server führt Dienste wie webdienste und den Team Foundation Background Job Agent im Kontext eines Dienstkontos aus.

Die Azure DevOps Server-Dokumentation bezieht sich auf dieses Dienstkonto als TFSService, obwohl dies nicht der tatsächliche Name des Kontos ist, es sei denn, Sie erstellen ausdrücklich ein Konto mit diesem Namen. Azure DevOps Server speichert einen Datensatz mit dem Namen des tatsächlichen Kontos, das als Dienstkonto verwendet wird. Sie können ein anderes Konto als Dienstkonto festlegen, indem Sie den Datensatz ändern. Sie können auch das Kennwort für dieses Konto ändern. Änderungen des Kontos oder Kennworts werden auf andere Komponenten in der Bereitstellung synchronisiert. Wenn eine Active Directory-Domänenrichtlinie beispielsweise erfordert, dass alle Kennwörter regelmäßig ablaufen, können Sie die Kennwortinformationen für das Dienstkonto in Azure DevOps Server aktualisieren, wenn sich dieses Kennwort ändert.

Hinweis

Azure DevOps Server und die zugehörigen Hilfsprogramme können kein neues lokales Konto oder Domänenkonto erstellen, das als TFSService verwendet werden soll, und sie können das Kennwort für dieses Konto in der Arbeitsgruppe oder domäne nicht aktualisieren. Stattdessen aktualisieren die Hilfsprogramme die Datensätze, sodass diese den neuen Anmeldeinformationen entsprechen. Wenn Ihre Bereitstellung mehr als einen Server auf Anwendungsebene umfasst, müssen Sie jeden Server manuell mit Änderungen am Dienstkonto oder seinem Kennwort aktualisieren.

Weitere Informationen zu Dienstkonten in Azure DevOps Server finden Sie unter Dienstkonten und Abhängigkeiten in Azure DevOps Server. Weitere Informationen zu den für die Installation erforderlichen Konten, einschließlich des Dienstkontos für Azure DevOps Server, finden Sie unter Dienstkontoanforderungen.

Voraussetzungen

  • Um diese Verfahren auszuführen, müssen Sie Mitglied der Gruppe Administratoren auf dem Azure DevOps Anwendungsschichtserver und Mitglied der Sysadmin-Gruppe auf dem Server und der Instanz von SQL Server sein, die die Konfigurationsdatenbank für Azure DevOps hostet. Weitere Informationen finden Sie unter Azure DevOps Server Architektur und Berechtigungsreferenz für Azure DevOps Server.

Um eine Befehlszeilenprozedur zu befolgen, müssen Sie möglicherweise ein Eingabeaufforderungsfenster mit erhöhten Rechten öffnen. Öffnen Sie das Kontextmenü für eingabeaufforderung, und wählen Sie Als Administrator ausführen aus. Weitere Informationen finden Sie unter Benutzerkontensteuerung.

Ändern des Kennworts für das Dienstkonto

Um das Kennwort von TFSService zu ändern, müssen Sie sich beim Anwendungsschichtserver für Azure DevOps anmelden und entweder die Verwaltungskonsole für Azure DevOps verwenden oder ein Eingabeaufforderungsfenster öffnen und das Befehlszeilenprogramm TFSConfig verwenden. Wenn Ihre Bereitstellung mehr als einen Server auf Anwendungsebene umfasst, müssen Sie diese Aufgabe auf jedem Server ausführen, um die Kontoinformationen synchron zu halten.

Hinweis

Je nach Bereitstellungskonfiguration müssen Sie möglicherweise Internetinformationsdienste (IIS) neu starten, nachdem Sie das Verfahren abgeschlossen haben, bevor die Änderungen wirksam werden.

Verwenden der Verwaltungskonsole zum Ändern des Kennworts

  1. Öffnen Sie die Verwaltungskonsole für Azure DevOps auf dem Server, der die Anwendungsebene hostet.

    Weitere Informationen finden Sie unter Öffnen der Azure DevOps Server-Verwaltungskonsole.

  2. Erweitern Sie in der Konsole den Servernamen, und wählen Sie Anwendungsebene aus.

  3. Wählen Sie im Bereich Anwendungsebene die Option Kontokennwort aktualisieren aus.

    Das Fenster Kontokennwort aktualisieren wird geöffnet.

    Hinweis

    Wenn Sie ein Systemkonto als Dienstkonto verwendet haben, wird eine Fehlermeldung angezeigt, wenn Sie Kontokennwort aktualisieren auswählen. Sie müssen das Kennwort dieses Kontos nicht ändern. Systemkonten haben keine benutzerverwalteten Kennwörter.

  4. Geben Sie das neue Kennwort unter Kennwort ein, und wählen Sie dann OK aus.

    Das Fenster Dienstkonto ändern wird geöffnet.

  5. Warten Sie, bis alle Statusmeldungen in Status abgeschlossen sind, und wählen Sie dann Schließen aus.

    Hinweis

    Dieser Vorgang kann einige Minuten in Anspruch nehmen.

Verwenden des TFSConfig-Hilfsprogramms zum Ändern des Kennworts

  1. Öffnen Sie auf dem Server auf Anwendungsebene ein Eingabeaufforderungsfenster, und wechseln Sie in das Verzeichnis, das das Hilfsprogramm TFSConfig enthält.

    Dieses Hilfsprogramm befindet sich standardmäßig unter Laufwerk: \ Programme \ TFS 12.0 \ Tools.

  2. Geben Sie in der Befehlszeile TFSConfig Accounts /UpdatePassword /accountType:ApplicationTier /account:AccountName /password:NewPasswordein, und drücken Sie dann die EINGABETASTE.

  3. Sie müssen sowohl den Namen des Dienstkontos (AccountName) als auch das Kennwort des Kontos (NewPassword) angeben.

Zuweisen eines anderen Kontos als Dienstkonto

Um Azure DevOps Server für die Verwendung eines anderen Kontos als Dienstkonto für Azure DevOps zu konfigurieren, können Sie entweder die Verwaltungskonsole oder das Befehlszeilenprogramm TFSConfig verwenden. Wenn Ihre Bereitstellung mehr als einen Server auf Anwendungsebene umfasst, müssen Sie diese Aufgabe auf jedem Server ausführen, um die Kontoinformationen synchron zu halten. Bevor Sie eines der beiden Hilfsprogramm verwenden, um die Änderung vorzunehmen, berücksichtigen Sie die folgenden Punkte:

  • Sie müssen ein neues Konto auswählen, das entweder ein Systemkonto oder Mitglied einer Arbeitsgruppe oder Domäne ist, die von jedem Computer in dieser Bereitstellung von Azure DevOps Server als vertrauenswürdig eingestuft wird.
  • Die Konfigurations-Hilfsprogramme gewähren dem neuen Dienstkonto die Berechtigung Anmelden als Dienst. Die Hilfsprogramme widerrufen diese Berechtigung jedoch nicht für das Konto, das zuvor als Dienstkonto verwendet wurde, wenn ein anderer Dienst dieses Konto weiterhin verwendet. Wenn das alte Konto diese Berechtigung für den Dienst, für den es noch verwendet wird, nicht mehr benötigt, sollten Sie diese Berechtigung manuell aus dem alten Konto entfernen.

Weitere Informationen finden Sie unter Hinzufügen der Berechtigung „Anmelden als Dienst“ zu einem Konto.

  • Möglicherweise müssen Sie IIS neu starten, nachdem Sie das Verfahren abgeschlossen haben, bevor die Änderungen wirksam werden.
  • Das TFSConfig-Hilfsprogramm ändert nur die Dienste, die unter dem alten Konto ausgeführt werden.

Verwenden der Verwaltungskonsole zum Ändern des Dienstkontos

  1. Öffnen Sie die Verwaltungskonsole für Azure DevOps auf dem Server, der die Anwendungsebene hostet.

  2. Erweitern Sie in der Konsole den Servernamen, und wählen Sie Anwendungsebene aus.

  3. Wählen Sie im Bereich Anwendungsebene die Option Konto ändern aus.

    Das Fenster Dienstkonto aktualisieren wird geöffnet.

  4. Führen Sie einen der folgenden Schritte aus:

    1. Um ein Systemkonto zu verwenden, wählen Sie Systemkonto verwenden und dann in der Dropdownliste ein Systemkonto aus.

      Wenn der Server Mitglied einer Active Directory-Domäne ist, ist "Netzwerkdienst" die Standardauswahl für das zu verwendende Systemkonto. Wenn der Server Mitglied einer Arbeitsgruppe ist, lautet die Standardauswahl "Lokaler Dienst". Abhängig von den Details Ihrer Bereitstellung ist die Standardauswahl möglicherweise die einzige verfügbare Wahl.

      Hinweis

      Systemkonten haben keine benutzerverwalteten Kennwörter. Wenn Sie ein Systemkonto als TFSService verwenden, sollten Sie kein Kennwort in das Kennwortfeld eingeben.

    2. Um ein Domänen- oder Arbeitsgruppenkonto zu verwenden, wählen Sie Benutzerkonto verwenden aus, geben Sie den Namen des Kontos unter Kontoname ein, und geben Sie dann unter Kennwort das Kennwort für dieses Konto ein.

  5. Wählen Sie OK aus.

    Das Fenster Dienstkonto ändern wird geöffnet.

  6. Warten Sie, bis alle Statusmeldungen in Status abgeschlossen sind, und wählen Sie dann Schließen aus.

    Hinweis

    Dieser Vorgang kann einige Minuten in Anspruch nehmen.

Verwenden des TFSConfig-Hilfsprogramms zum Ändern des Dienstkontos

  1. Öffnen Sie auf dem Server auf Anwendungsebene ein Eingabeaufforderungsfenster, und wechseln Sie in das Verzeichnis, das das Hilfsprogramm TFSConfig enthält.

    Dieses Hilfsprogramm befindet sich standardmäßig unter Laufwerk: \ Programme \ TFS 12.0 \ Tools.

  2. Geben Sie in der Befehlszeile TFSConfig Accounts /change /accountType:ApplicationTier /account:AccountName /password:NewPasswordein, und drücken Sie dann die EINGABETASTE.

    Weitere Informationen finden Sie unter Kontenbefehl.