Dienstkonten und Abhängigkeiten

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Hinweis

Azure DevOps Server wurde zuvor als Visual Studio Team Foundation Server bezeichnet.

Sie können die Azure DevOps Server besser verwalten, wenn Sie die Dienste und mehrere Dienstkonten kennen, die jede Bereitstellung von Azure DevOps umfasst und von denen jede Bereitstellung abhängt. Je nachdem, wie Sie Azure DevOps installiert und konfiguriert haben, können diese Dienste und Dienstkonten alle auf einem Computer oder auf vielen Computern ausgeführt werden. Hierdurch ändern sich bestimmte Aspekte der Bereitstellungsverwaltung. Wenn Sie beispielsweise die serverseitigen Komponenten der Bereitstellung auf mehreren Computern ausführen, müssen Sie sicherstellen, dass die Dienstkonten, die Ihre Bereitstellung verwendet, über die Zugriffsrechte und Berechtigungen verfügen, die sie benötigen, um ordnungsgemäß zu funktionieren.

Azure DevOps Server verfügt über Dienste und Dienstkonten, die auf den folgenden Computern in einer Bereitstellung ausgeführt werden:

  • alle Server, auf denen eine oder mehrere Datenbanken für Azure DevOps Server
  • alle Server, die Komponenten der Anwendungsebene für die Azure DevOps Server
  • alle Computer, auf denen der Azure DevOps Server ausgeführt wird
  • Auf einem Buildcomputer.
  • Auf einem Testcomputer.

Sie können verschiedene Features von Azure DevOps Server auf verschiedene Weise installieren und bereitstellen. Die Verteilung von Funktionen in der Bereitstellung bestimmt, welche Dienste und Dienstkonten auf welchen physischen Computern ausgeführt werden. Darüber hinaus müssen Sie möglicherweise die Dienstkonten für Softwareprogramme verwalten, die für die Arbeit mit Azure DevOps Server konfiguriert sind, z. B. die Dienstkonten für SQL Server.

Dienstkonten

Obwohl Azure DevOps Server mehrere Dienstkonten verwendet, können Sie für die meisten oder alle Konten dasselbe Domänen- oder Arbeitsgruppenkonto verwenden. Beispielsweise können Sie dasselbe Domänenkonto wie das Dienstkonto für Azure DevOps Server ( TFSService ) und das Datenquellenkonto für SQL Server Reporting Services Contoso\\Example (TFSReports) verwenden. Andere Dienstkonten können jedoch andere Berechtigungsstufen erfordern. Beispielsweise muss TFSService über die Berechtigung Anmelden als Dienst und TFSReports über die Berechtigung Lokale Anmeldung zulassen verfügen. Wenn Sie dasselbe Konto für beide verwenden, müssen Sie ihm Contoso\\Example beide Berechtigungen erteilen. Darüber hinaus benötigt TFSService deutlich mehr Berechtigungen, um ordnungsgemäß zu funktionieren, als TFSReports erfordert, wie in der Tabelle weiter unten in diesem Thema gezeigt. Aus Sicherheitsgründen sollten Sie erwägen, separate Konten für diese beiden Dienstkonten zu verwenden.

Wichtig

Sie dürfen das Konto, das zum Installieren von Azure DevOps Server wurde, nicht als Konto für eines dieser Dienstkonten verwenden.

Wenn Sie die Azure DevOps Server in einer Active Directory-Domäne bereitgestellt haben, sollten Sie die Option Konto ist vertraulich und kann nicht delegiert werden für Dienstkonten festlegen. In der folgenden Tabelle sollten Sie beispielsweise diese Option für TFSService festlegen. Weitere Informationen zu erforderlichen Dienstkonten und Platzhalternamen, die in der Dokumentation für Azure DevOps Server verwendet werden, finden Sie im Thema"Fürdie Installation von Azure DevOps Server erforderliche Konten" im Installationshandbuch für Team Foundation. Weitere Informationen zur Kontodelegierung in Active Directory finden Sie auf der folgenden Seite auf der Microsoft-Website: Delegating Authority in Active Directory.

Da Sie mehrere Dienstkonten verwalten müssen, wird auf jedes Dienstkonto durch einen Platzhalternamen verwiesen, der die entsprechende Funktion angibt, wie in der Tabelle weiter unten in diesem Thema aufgeführt. Der Platzhaltername ist nicht der tatsächliche Name des Kontos, das Sie für jedes Dienstkonto verwenden. Der tatsächliche Name des Kontos ist von der Bereitstellung abhängig. Im vorherigen Beispiel wurde sowohl für TFSService als auch für TFSReports das Konto Contoso\\Example verwendet. In Ihrer eigenen Bereitstellung können Sie Domänenkonten mit den spezifischen Namen und erstellen, oder Sie verwenden das Systemkonto Netzwerkdienst als Dienstkonto TFSService TFSReports für Team Foundation Server.

Wichtig

Sofern nicht anders angegeben, sollten keine Gruppen oder Konten in der folgenden Tabelle Mitglieder der Gruppe Administratoren auf einem der Server in Ihrer Bereitstellung von Azure DevOps Server.

In der folgenden Tabelle sind die meisten Dienstkonten aufgeführt, die möglicherweise in einer Bereitstellung von Azure DevOps Server. Weitere Dienstkonten, die hier nicht aufgeführt sind, finden Sie unter Berechtigungen und Gruppen, Dienstkonten.

Dienstkonto für

Platzhaltername und verwendbarer Kontotyp

Erforderliche Berechtigung und Gruppenmitgliedschaft

Hinweise


Azure DevOps Services

Kontodienst (CollectionName)

Keine. Dieses Konto wird nur verwendet, wenn Sie eine gehostete Bereitstellung von Azure DevOps.

Wird automatisch für Sie erstellt, wenn Sie eine Organisation in Azure DevOps Services. Er wird verwendet, wenn Clients mit dem gehosteten Dienst kommunizieren, und kann über die Verwaltungsseite des Webportals angezeigt werden.

Azure DevOps Server

TFSService: Kann ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne sein.

Anmelden als Dienst auf dem Server der Anwendungsebene

Dieses Dienstkonto wird für alle Webdienste Azure DevOps verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.

Team Foundation Build

TFSBuild, das ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe sein kann

Anmelden als Dienst

Dieses Dienstkonto wird verwendet, wenn Builds konfiguriert und Buildstatusinformationen zwischen dem Buildcontroller und den Build-Agents übermittelt werden.

SQL Server Reporting Services

TFSReports: Ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe

Lokales Anmelden auf dem Server auf Anwendungsebene und auf dem Server, auf dem ausgeführt wird, SQL Server Reporting Services
TFSWareHouseDataReader auf dem Berichtsserver

Dieses Dienstkonto ruft Daten für Berichte aus Reporting Services ab.

Azure DevOps Server Proxy

TFSProxy: Ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne

Anmelden als Dienst

Wird für alle Proxydienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.

Test-Agent und Test-Agent-Controller

TFSTest: Kann ein lokales Konto, ein Domänenkonto oder ein Netzwerkdienst in einer Domäne sein.

Anmelden als Dienst

Wird verwendet, wenn Informationen zu Tests zwischen dem Test-Agent-Controller und dem Test-Agent kommuniziert werden.

SharePoint Webanwendungen

WebAppService

Lokale Anmeldung zulassen

Sie müssen mindestens ein Dienstkonto für jede SharePoint-Webanwendung hinzufügen, die Sie für die Verwendung mit Team Foundation Server. Dieses Dienstkonto wird verwendet, um Projektportale zu erstellen und Dashboardfunktionen zu aktivieren. Sie können Ihre Bereitstellung ohne diese Berechtigung in SharePoint Products integrieren. Sie müssen jedoch zusätzliche Schritte ausführen, wenn das Dienstkonto kein Mitglied der Gruppe Farmadministratoren ist. Weitere Informationen finden Sie unter Integrieren von Team Foundation Server in SharePoint Ohne Administratorberechtigungen.

Lab Management

TFSLab: Ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne

Anmelden als Dienst

Dieses Dienstkonto wird verwendet, wenn Informationen zu Lab Management zwischen Team Foundation Server und dem Lab-Agent kommuniziert werden, der auf einem virtuellen Computer ausgeführt wird.


Dienste, die unter Dienstkonten ausgeführt werden.

In der folgenden Tabelle sind die Dienste aufgeführt, die unter Dienstkonten in einer lokalen bereitstellungsbasierten Azure DevOps werden.

Dienstname Dienstkonto Logische Ebene
Codeabdeckungsdienst TFSService Anwendungsebene
Azure DevOps Server Webdienste TFSService Anwendungsebene
SQL Server Reporting Services (MSSQLSERVER oder InstanceName bei Verwendung einer benannten Instanz) Lokales System oder ein Domänenkonto Anwendungsebene
Berichtswebdienst Lokales System, Netzwerkdienst oder ein Domänenkonto Anwendungsebene
SharePoint Administration (wenn SharePoint Products installiert und für die Verwendung mit Team Foundation Server) Lokales System, Netzwerkdienst oder ein Domänenkonto Anwendungsebene
SharePoint Timer (wenn SharePoint Products installiert und für die Verwendung mit Team Foundation Server) Domänenkonto Anwendungsebene
Visual Studio Team Foundation Build Service Host (wenn Team Foundation Build installiert ist) TFSBuild Buildcomputer
Visual Studio Team Foundation-Hintergrundauftrags-Agent TFSService Anwendungsebene
Visual Studio Test Controller TFSTest Beliebiger Computer
Visual Studio Test Agent TFSTest Testcomputer
Analysis-Server (MSSQLSERVER oder InstanceName, wenn Sie eine benannte Instanz verwenden) Lokales System oder ein Domänenkonto Datenebene
SQL Server-Browser Lokaler Dienst oder ein Domänenkonto Datenebene
SQL Server (MSSQLSERVER oder InstanceName bei Verwendung einer benannten Instanz) Lokales System, Netzwerkdienst oder ein Domänenkonto Datenebene
SQL Server-Agent (MSSQLSERVER oder InstanceName bei Verwendung einer benannten Instanz) Lokales System, Netzwerkdienst oder ein Domänenkonto Datenebene
Kontodienst (CollectionName) Automatisch Webebene (nur Azure DevOps Services)

Weitere Informationen zu Dienstkonten für SQL Server finden Sie auf der folgenden Seite auf der Microsoft-Website: SQL Server-Online.) Die neuesten Informationen zu Azure DevOps Server-Dienstkonten finden Sie unter Installieren und Konfigurieren Azure DevOps lokalen.

Hinweis

Wenn Sie das Dienstkonto für Team Foundation Build ändern, müssen Sie sicherstellen, dass das neue Dienstkonto Mitglied der Gruppe Build Services ist. Vergewissern Sie sich auch, dass das Konto über Lese-/Schreibberechtigungen für die temporären Ordner und den temporären ASP.NET-Ordner verfügt. Ebenso müssen Sie beim Ändern des Dienstkontos für den Team Foundation Server-Proxydienst sicherstellen, dass das Konto Mitglied der entsprechenden Gruppen ist. Weitere Informationen finden Sie unter Konfigurieren des Buildsystems.

Q & A

F: Sind Dienstkonten einer Gruppe auf der Zugriffsgruppe zugewiesen?

Eine: Standardmäßig werden Dienstkonten der Standardzugriffsebene hinzugefügt. Wenn Sie "Stakeholder" als Standardzugriffsebene festlegen, müssen Sie Azure DevOps Server Dienstkonto der Gruppe "Basic" oder "Erweitert" hinzufügen.

F: Benötigen Dienstkonten eine Lizenz?

A: Nein. Für Dienstkonten ist keine separate Lizenz erforderlich.

F: Gewusst wie Kennwort oder Konto für ein Dienstkonto ändern?

Eine: Weitere Informationen finden Sie unter Ändern des Dienstkontos oder Kennworts.