Einrichten von Gruppen für die Verwendung in Azure DevOps lokalen Umgebung

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Hinweis

Azure DevOps Server wurde zuvor als Visual Studio Team Foundation Server bezeichnet.

Die Verwaltung von Benutzern in Azure DevOps Server ist viel einfacher, wenn Sie Windows- oder Active Directory-Gruppen für sie erstellen, insbesondere, wenn Ihre Bereitstellung SharePoint Foundation und SQL Server Reporting Services.

Benutzer, Gruppen und Berechtigungen in Azure DevOps Server Bereitstellungen

Azure DevOps Server, SharePoint Products und SQL Server Reporting Services verwalten ihre eigenen Informationen zu Gruppen, Benutzern und Berechtigungen. Um das Verwalten von Benutzern und Berechtigungen für diese Programme einfacher zu machen, können Sie Benutzergruppen mit ähnlichen Zugriffsanforderungen in der Bereitstellung erstellen und diesen Gruppen die erforderlichen Zugriffsberechtigungen für die verschiedenen Softwareprogramme erteilen und dann einfach nach Bedarf Benutzer zur Gruppe hinzufügen oder Benutzer aus einer Gruppe entfernen. Dies ist deutlich einfacher als einzelne Benutzer oder Benutzergruppen separat in drei verschiedenen Programmen zu verwalten.

Wenn sich Ihr Server in einer Active Directory-Domäne befindet, können Sie bestimmte Active Directory-Gruppen erstellen, um Ihre Benutzer zu verwalten, z. B. eine Gruppe von Entwicklern und Testern für alle Projekte in der Projektsammlung oder eine Gruppe von Benutzern, die Projekte in der Sammlung erstellen und verwalten können. Entsprechend können Sie ein Active Directory-Konto für Dienste erstellen, das nicht für die Verwendung des Netzwerkdienst-Systemkontos als Dienstkonto konfiguriert werden kann. Erstellen Sie dazu ein Active Directory-Konto für SharePoint Foundation und als Datenquellenkonto mit Lesezugriff für Berichte in SQL Server Reporting Services.

Wichtig

Wenn Sie Sich für die Verwendung von Active Directory-Gruppen in Azure DevOps Server, sollten Sie erwägen, bestimmte Gruppen zu erstellen, deren Zweck der Benutzerverwaltung in Azure DevOps Server. Die Verwendung bereits vorhandener Gruppen, die für einen anderen Zweck erstellt wurden, insbesondere dann, wenn sie von anderen Personen verwaltet werden, die mit Azure DevOps Server nicht vertraut sind, kann zu unerwarteten Folgen für Benutzer führen, wenn sich die Mitgliedschaft ändert, um eine andere Funktion zu unterstützen.

Die Standardauswahl während der Installation ist die Verwendung des Netzwerkdienst-Systemkontos als Dienstkonto für Azure DevOps Server und SQL Server. Sie können ein bestimmtes Konto aus Sicherheitsgründen oder anderen Gründen als Dienstkonto verwenden, z. B. eine erweiterte Bereitstellung. Sie können auch ein spezifisches Active Directory-Konto erstellen, um es als Dienstkonto für SharePoint Foundation und als Datenquellen-Leserkonto für SQL Server Reporting Services zu verwenden.

Wenn sich Ihr Server in einer Active Directory-Domäne befindet, Sie aber nicht über Berechtigungen zum Erstellen von Active Directory-Gruppen oder -Konten verfügen, oder wenn Sie Ihren Server in einer Arbeitsgruppe statt in einer Domäne installieren, können Sie lokale Gruppen erstellen und verwenden, um Benutzer in SQL Server, SharePoint Foundation und Azure DevOps Server zu verwalten. Entsprechend können Sie ein lokales Konto erstellen, um es als Dienstkonto zu verwenden. Beachten Sie jedoch, dass lokale Gruppen und Konten weniger stabil als Domänengruppen und -konten sind. Bei einem Serverfehler müssten Sie beispielsweise die Gruppen und Konten auf dem neuen Server vollkommen neu erstellen. Wenn Sie Active Directory-Gruppen und -Konten verwenden, werden die Gruppen und Konten auch dann beibehalten, wenn der Hostserver Azure DevOps Server ist.

Nach Überprüfen der Geschäftsanforderungen für die neue Bereitstellung und der Sicherheitsforderungen mit den Projektmanagern können Sie z. B. entscheiden, drei Gruppen zum Verwalten der Mehrzahl an Benutzern in der Bereitstellung zu erstellen:

  • Eine allgemeine Gruppe für Entwickler und Tester, die vollständig an allen Projekten in der Standardprojektsammlung teilnehmen. Diese Gruppe enthält die Mehrzahl der Benutzer. Sie können dieser Gruppe den Namen TFS _ ProjectContributors geben.

  • Eine kleine Gruppe von Projektadministratoren, die über Berechtigungen zum Erstellen und Verwalten von Projekten in der Auflistung verfügen. Sie können dieser Gruppe den Namen TFS _ ProjectAdmins geben.

  • Eine spezielle, eingeschränkte Gruppe von Vertragsnehmern, die lediglich über den Zugriff auf eines der Projekte verfügen. Sie können dieser Gruppe den Namen TFS _ RestrictedAccess geben.

Später, wenn die Bereitstellung erweitert wird, entscheiden Sie sich möglicherweise dazu, andere Gruppen zu erstellen.

So erstellen Sie eine Gruppe in Active Directory

  • Erstellen Sie entsprechend Ihren geschäftlichen Anforderungen eine Sicherheitsgruppe, die eine lokale Domäne, eine globale Gruppe oder eine universelle Gruppe in Active Directory ist. Wenn die Gruppe beispielsweise Benutzer aus mehreren Domänen enthalten soll, erfüllt eine universelle Gruppe Ihre Anforderungen am besten. Weitere Informationen finden Sie unter Erstellen einer neuen Gruppe (Active Directory Domain Services).

So erstellen Sie eine lokale Gruppe auf dem Server

  • Erstellen Sie eine lokale Gruppe, und weisen Sie ihr einen Namen zu, aus dem ihr Zweck unmittelbar hervorgeht. Standardgemäß hat jede Gruppe, die Sie erstellen, die gleichen Berechtigungen der Benutzerstandardgruppe auf dem entsprechenden Computer. Weitere Informationen finden Sie unter Erstellen einer lokalen Gruppe.

So erstellen Sie ein Konto, das als Dienstkonto in Active Directory verwendet wird

So erstellen Sie ein lokales Konto, das als Dienstkonto auf dem Server verwendet wird

  • Erstellen Sie ein lokales Konto, das als Dienstkonto verwendet werden soll, und ändern Sie dann die Gruppenmitgliedschaft und andere Eigenschaften des Kontos entsprechend den Sicherheitsanforderungen Ihres Unternehmens. Weitere Informationen finden Sie unter Erstellen eines lokalen Benutzerkontos.

Versuchen Sie dies als Nächstes:

Fragen und Antworten

F: Kann ich Gruppen verwenden, um den Zugriff auf Projekte oder Features in Azure DevOps Server?

A: Ja, das ist möglich. Sie können bestimmte Gruppen zum Gewähren oder Einschränken des Zugriffs auf ausgewählte Features,Funktionen und Projekte erstellen, um Zugriffsebenen undandere Zwecke zu verwalten.