Dienstkonten und Abhängigkeiten

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Hinweis

Azure DevOps Server wurde zuvor als Visual Studio Team Foundation Server bezeichnet.

Sie können Visual Studio Team Foundation Server (TFS) besser verwalten, wenn Sie die Dienste und mehrere Dienstkonten kennen, die jede Bereitstellung von TFS umfasst und von denen jede Bereitstellung abhängt. In Abhängigkeit davon, wie Sie TFS installiert und konfiguriert haben, werden diese Dienste und Dienstkonten alle auf einem Computer oder auf mehreren Computern ausgeführt. Hierdurch ändern sich bestimmte Aspekte der Bereitstellungsverwaltung. Wenn Sie beispielsweise die serverseitigen Komponenten der Bereitstellung auf mehreren Computern ausführen, müssen Sie sicherstellen, dass die Dienstkonten, die Ihre Bereitstellung verwendet, über die Zugriffsrechte und Berechtigungen verfügen, die sie benötigen, um ordnungsgemäß zu funktionieren.

Team Foundation Server verfügt über Dienste und Dienstkonten, die auf den folgenden Computern in einer Bereitstellung ausgeführt werden:

  • alle Server, auf denen eine oder mehrere Datenbanken für Team Foundation Server
  • alle Server, die Komponenten der Anwendungsebene für Team Foundation hosten
  • Alle Computer, auf denen der Team Foundation Server ausgeführt wird
  • Auf einem Buildcomputer.
  • Auf einem Testcomputer.
  • alle Computer, auf denen eine oder mehrere Komponenten von Visual Studio Lab Management

Sie können verschiedene Funktionen von TFS auf unterschiedliche Weise installieren und bereitstellen. Die Verteilung von Funktionen in der Bereitstellung bestimmt, welche Dienste und Dienstkonten auf welchen physischen Computern ausgeführt werden. Darüber hinaus müssen Sie möglicherweise die Dienstkonten für Softwareprogramme verwalten, die für die Verwendung mit TFS konfiguriert sind, z. B. die Dienstkonten für SharePoint Products und SQL Server.

Dienstkonten

Obwohl in TFS verschiedene Dienstkonten verwendet werden, kann dasselbe Domänen- oder Arbeitsgruppenkonto für den Großteil aller Dienstkonten verwendet werden. Beispielsweise können Sie dasselbe Domänenkonto "Contoso-Beispiel" verwenden wie das Dienstkonto für Team Foundation Server ( TFSService ) und das Datenquellenkonto für \ SQL Server Reporting Services (TFSReports). Andere Dienstkonten können jedoch andere Berechtigungsstufen erfordern. Beispielsweise muss TFSService über die Berechtigung Anmelden als Dienst verfügen, und TFSReports muss über die Berechtigung Lokale Anmeldung zulassen verfügen. Wenn Sie für beide dasselbe Konto "Contoso-Beispiel" verwenden, müssen Sie ihm \ beide Berechtigungen erteilen. Darüber hinaus benötigt TFSService deutlich mehr Berechtigungen, um ordnungsgemäß zu funktionieren, als TFSReports erfordert, wie in der Tabelle weiter unten in diesem Thema gezeigt. Aus Sicherheitsgründen sollten Sie erwägen, separate Konten für diese beiden Dienstkonten zu verwenden.

Wichtig

Sie dürfen das Konto, das zum Installieren von Team Foundation Server wurde, nicht als Konto für eines dieser Dienstkonten verwenden.

Wenn Sie eine Team Foundation Server in einer Active Directory-Domäne bereitgestellt haben, sollten Sie die Option Konto ist vertraulich festlegen und kann nicht für Dienstkonten delegiert werden. Beispielsweise sollten Sie in der folgenden Tabelle diese Option für TFSService festlegen. Weitere Informationen zu erforderlichen Dienstkonten und Platzhalternamen, die in der Dokumentation für Team Foundation Server verwendet werden, finden Sie im Thema "Accounts required for installation of Team Foundation Server" (Für die Installation von Team Foundation Server erforderliche Konten) im Installationshandbuch für Team Foundation. Weitere Informationen zur Kontodelegierung in Active Directory finden Sie auf der folgenden Seite auf der Microsoft-Website: Delegating Authority in Active Directory.

Da Sie mehrere Dienstkonten verwalten müssen, wird auf jedes Dienstkonto durch einen Platzhalternamen verwiesen, der die entsprechende Funktion angibt, wie in der Tabelle weiter unten in diesem Thema aufgeführt. Der Platzhaltername ist nicht der tatsächliche Name des Kontos, das Sie für jedes Dienstkonto verwenden. Der tatsächliche Name des Kontos ist von der Bereitstellung abhängig. Im vorherigen Beispiel wurde sowohl für TFSService als auch für TFSReports das Konto "Contoso \ Example" verwendet. In Ihrer eigenen Bereitstellung können Sie Domänenkonten mit den spezifischen Namen "TFSService" und "TFSReports" erstellen oder den Netzwerkdienst des Systemkontos als Dienstkonto für Team Foundation Server.

Wichtig

Sofern nicht anders angegeben, sollten keine Gruppen oder Konten in der folgenden Tabelle Mitglieder der Gruppe Administratoren auf einem der Server in Ihrer Bereitstellung von Team Foundation Server.

In der folgenden Tabelle sind alle Dienstkonten dargestellt, die Sie in einer Bereitstellung von TFS verwenden können:

Dienstkonto Platzhaltername und verwendbarer Kontotyp Erforderliche Berechtigung und Gruppenmitgliedschaft Notizen
Dienstkonto für Team Foundation Server TFSService: Ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne Anmelden als Dienst auf dem Anwendungsschichtserver
Gruppe "Farmadministratoren" für SharePoint Webanwendungen, die Team Foundation Server verwendet1
TFSExecRole oder , wenn diese Rolle für die Datenbank nicht vorhanden ist, eine Kombination der folgenden Rollen für alle Datenbanken, die Team Foundation Server verwenden:
* db_owner
* db_create
Dieses Dienstkonto wird für alle Webdienste für Team Foundation Server. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.
Datenquellenkonto für SQL Server Reporting Services TFSReports: Ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe Lokales Anmelden auf dem Server auf Anwendungsebene und auf dem Server, auf dem ausgeführt wird, SQL Server Reporting Services
TFSWareHouseDataReader auf dem Berichtsserver
Dieses Dienstkonto ruft Daten für Berichte aus Reporting Services ab.
Dienstkonto für Team Foundation Build TFSBuild, das ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe sein kann Anmelden als Dienst Dieses Dienstkonto wird verwendet, wenn Builds konfiguriert und Buildstatusinformationen zwischen dem Buildcontroller und den Build-Agents übermittelt werden.
Dienstkonto für Lab Management TFSLab: Ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne Anmelden als Dienst Dieses Dienstkonto wird verwendet, wenn Informationen zu Lab Management zwischen Team Foundation Server und dem Lab-Agent kommuniziert werden, der auf einem virtuellen Computer ausgeführt wird.
Dienstkonto für Team Foundation Server Proxy TFSProxy: Ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne Anmelden als Dienst Dieses Dienstkonto wird für alle Proxydienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.
Dienstkonto für Test-Agent und Test-Agent-Controller TFSTest, das ein lokales Konto, ein Domänenkonto oder ein Netzwerkdienst in einer Domäne sein kann. Anmelden als Dienst Dieses Dienstkonto wird verwendet, wenn Informationen zu Tests zwischen dem Test-Agent-Controller und dem Test-Agent übermittelt werden.
Dienstkonten bei SharePoint-Webanwendungen WebAppService Lokale Anmeldung zulassen Sie müssen mindestens ein Dienstkonto für jede SharePoint-Webanwendung hinzufügen, die Sie für die Verwendung mit Team Foundation Server. Dieses Dienstkonto wird verwendet, um Projektportale zu erstellen und Dashboardfunktionen zu aktivieren.
Dienstkonto für Azure DevOps Services Kontodienst (CollectionName) Keine Dieses Konto wird nur verwendet, wenn Sie eine gehostete Bereitstellung von TFS verwenden. Es wird automatisch für Sie erstellt und kann über die Verwaltungsseite von Team Web Access angezeigt werden. Dieses Dienstkonto wird automatisch erstellt, wenn Sie eine Sammlung in Azure DevOps Services erstellen, und wird verwendet, wenn Clients mit dem gehosteten Dienst kommunizieren.

1 Sie können Ihre Bereitstellung ohne diese Berechtigung in SharePoint Products integrieren. Sie müssen jedoch zusätzliche Schritte ausführen, wenn das Dienstkonto kein Mitglied der Gruppe Farmadministratoren ist. Weitere Informationen finden Sie unter Integrieren von Team Foundation Server in SharePoint Ohne Administratorberechtigungen.

Dienste, die unter Dienstkonten ausgeführt werden

Die folgenden Dienste werden unter Dienstkonten in einer Bereitstellung von Team Foundation Server:

Dienstname Dienstkonto Logische Ebene
Codeabdeckungsdienst TFSService Anwendungsebene
Team Foundation Server Webdienste TFSService Anwendungsebene
SQL Server Reporting Services (MSSQLSERVER oder InstanceName bei Verwendung einer benannten Instanz) Lokales System oder ein Domänenkonto Anwendungsebene
Berichtswebdienst Lokales System, Netzwerkdienst oder ein Domänenkonto Anwendungsebene
SharePoint Verwaltung (wenn SharePoint Products installiert und für die Verwendung mit Team Foundation Server konfiguriert ist) Lokales System, Netzwerkdienst oder ein Domänenkonto Anwendungsebene
SharePoint Timer (wenn SharePoint Products installiert und für die Verwendung mit Team Foundation Server konfiguriert ist) Domänenkonto Anwendungsebene
Visual Studio Team Foundation Build Service Host (wenn Team Foundation Build installiert ist) TFSBuild Buildcomputer
Visual Studio Team Foundation-Hintergrundauftrags-Agent TFSService Anwendungsebene
Visual Studio Test Controller TFSTest Beliebiger Computer
Visual Studio Test Agent TFSTest Testcomputer
Analysis-Server (MSSQLSERVER oder InstanceName, wenn Sie eine benannte Instanz verwenden) Lokales System oder ein Domänenkonto Datenebene
SQL Server-Browser Lokaler Dienst oder ein Domänenkonto Datenebene
SQL Server (MSSQLSERVER oder InstanceName bei Verwendung einer benannten Instanz) Lokales System, Netzwerkdienst oder ein Domänenkonto Datenebene
SQL Server Agent (MSSQLSERVER oder InstanceName bei Verwendung einer benannten Instanz) Lokales System, Netzwerkdienst oder ein Domänenkonto Datenebene
Kontodienst (CollectionName) Automatic Webebene (nur Azure DevOps Services)

Weitere Informationen zu Dienstkonten für SQL Server finden Sie auf der folgenden Seite auf der Microsoft-Website: SQL Server-Onlinedokumentation. Die neuesten Informationen zu Dienstkonten in Team Foundation finden Sie im Team Foundation Server Installationshandbuchs.

Hinweis

Wenn Sie das Dienstkonto für Team Foundation Build ändern, müssen Sie sicherstellen, dass das neue Dienstkonto Mitglied der Gruppe Builddienste ist. Vergewissern Sie sich auch, dass das Konto über Lese-/Schreibberechtigungen für die temporären Ordner und den temporären ASP.NET-Ordner verfügt. Wenn Sie das Dienstkonto für den Team Foundation Server Proxydienst ändern, müssen Sie auch sicherstellen, dass das Konto Mitglied der entsprechenden Gruppen ist. Weitere Informationen finden Sie unter Konfigurieren des Buildsystems.

Fragen und Antworten

F: Sind Dienstkonten einer Gruppe auf der Zugriffsgruppe zugewiesen?

A: Standardmäßig werden Dienstkonten der Standardzugriffsebene hinzugefügt. Wenn Sie "Beteiligter" als standardmäßige Zugriffsebene festlegen, müssen Sie das TFS-Dienstkonto der Gruppe "Standard" oder "Erweitert" hinzufügen.

F: Benötigen Dienstkonten eine Lizenz?

A: Nein. Dienstkonten erfordern keine separate Lizenz.

F: Gewusst wie das Kennwort oder Konto für ein Dienstkonto ändern?