Configuración de grupos para su uso Azure DevOps local

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

La administración de usuarios en Azure DevOps Server es mucho más fácil si crea grupos Windows o Active Directory para ellos, especialmente si la implementación incluye SharePoint Foundation y SQL Server Reporting Services.

Usuarios, grupos y permisos en Azure DevOps Server implementaciones

Azure DevOps Server, SharePoint Products y SQL Server Reporting Services mantienen su propia información sobre grupos, usuarios y permisos. Para simplificar la administración de usuarios y permisos en estos programas, puede crear grupos de usuarios con requisitos de acceso similares en la implementación, conceder a esos grupos el acceso adecuado en los distintos programas de software y después simplemente agregar o quitar usuarios en cada grupo según sea necesario. Esto es mucho más fácil que mantener usuarios individuales o grupos de usuarios por separado en tres programas independientes.

Si el servidor está en un dominio de Active Directory, una opción consiste en crear grupos de Active Directory específicos para administrar los usuarios, como un grupo de desarrolladores y evaluadores para todos los proyectos de la colección de proyectos, o un grupo de usuarios que pueden crear y administrar proyectos en la colección. De forma similar, puede crear una cuenta de Active Directory para los servicios que no se pueden configurar para usar la cuenta del sistema Network Service como cuenta de servicio. Para ello, cree una cuenta de Active Directory para SharePoint Foundation que actúe como cuenta de origen de datos con acceso de lectura para los informes en SQL Server Reporting Services.

La opción predeterminada durante la instalación es usar la cuenta del sistema de servicio de red como cuenta de servicio para Azure DevOps Server y SQL Server. Si desea usar una cuenta concreta como cuenta de servicio por motivos de seguridad u otras razones, como una implementación escalada, puede hacerlo. Puede que también desee crear una cuenta de Active Directory específica para usarla como cuenta de servicio de SharePoint Foundation y como cuenta del lector de orígenes de datos de SQL Server Reporting Services.

Si el servidor está en un dominio de Active Directory pero no tiene permisos para crear grupos o cuentas de Active Directory, o si va a instalar el servidor en un grupo de trabajo en lugar de en un dominio, puede crear y usar grupos locales para administrar usuarios en SQL Server, SharePoint Foundation y Azure DevOps Server. De igual forma, puede crear una cuenta local para usarla como cuenta de servicio. Sin embargo, tenga presente que los grupos y cuentas locales no son tan sólidos como los grupos y cuentas de dominio. Por ejemplo, en caso de error del servidor, deberá volver a crear los grupos y cuentas desde cero en el nuevo servidor. Si usa grupos Active Directory cuentas, los grupos y cuentas se conservarán incluso si se produce un error en el servidor que hospeda Azure DevOps Server.

Por ejemplo, después de revisar los requisitos comerciales de la nueva implementación y los requisitos de seguridad con los administradores de proyectos, puede decidir crear tres grupos para administrar la mayoría de los usuarios de la implementación:

• Un grupo general para desarrolladores y evaluadores que participarán completamente en todos los proyectos de la colección de proyectos predeterminada. Este grupo contendrá a la mayoría de los usuarios. Puede nombrar a este grupo Proyecto _ de TFSContributores.

• Un grupo pequeño de administradores de proyectos que tendrán permisos para crear y administrar proyectos de la colección. Puede nombrar a este grupo Proyecto de _ TFSAdmins.

• Un grupo especial restringido de contratistas que solo tendrán acceso a uno de los proyectos. Es posible que asigne a este grupo el nombre TFS _ RestrictedAccess.

Más adelante, a medida que se expanda la implementación, puede que decida crear otros grupos.

Para crear un grupo en Active Directory

• Cree un grupo de seguridad que sea de tipo global, universal o de dominio local en Active Directory, la opción que mejor se adapte a sus necesidades empresariales. Por ejemplo, si el grupo debe contener usuarios de varios dominios, el tipo de grupo universal será el que más le convenga. Para obtener más información, vea Crear un nuevo grupo (Active Directory Domain Services).

Para crear un grupo local en el servidor

• Cree un grupo local y asígnele un nombre que identifique rápidamente su propósito. De forma predeterminada, cualquier grupo que cree tendrá los permisos equivalentes al grupo Usuarios predeterminado de ese equipo. Para obtener más información, vea Crear un grupo local.

Para crear una cuenta con el fin de usarla como cuenta de servicio en Active Directory

• Cree una cuenta en Active Directory, establezca la directiva de contraseñas según sus requisitos empresariales y asegúrese de que account is trusted for delegation (Cuenta de confianza para la delegación) esté seleccionada para la cuenta. Para obtener más información, vea Crear una nueva cuenta de usuario (Active Directory Domain Services) y Descripción de las cuentas de usuario (Active Directory Domain Services).

Para crear una cuenta local con el fin de usarla como cuenta de servicio en el servidor

• Cree una cuenta local para usarla como cuenta de servicio y, a continuación, modifique su pertenencia a grupo y otras propiedades en función de los requisitos de seguridad de su negocio. Para más información, consulte Creación de una cuenta de usuario local.

Pruebe esto a continuación

Q & A

P: ¿Puedo usar grupos para restringir el acceso a proyectos o características de Azure DevOps Server?

R: Sí, puede hacerlo. Puede crear grupos específicos para conceder o restringir el acceso para seleccionar características,funciones y proyectos , para administrar los niveles de acceso yotros propósitos.