Comptes de service et dépendances

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018-TFS 2013

Notes

Azure DevOps Server a été précédemment nommé Visual Studio Team Foundation Server.

Vous pouvez mieux gérer Visual Studio Team Foundation Server (TFS) si vous comprenez les services et plusieurs comptes de service que chaque déploiement de TFS comprend et dont chaque déploiement dépend. Selon la façon dont vous avez installé et configuré TFS, tous ces services et comptes de service peuvent s'exécuter sur un seul ou plusieurs ordinateurs. Ceci modifie certains aspects de la gestion de votre déploiement. Par exemple, si les composants côté serveur de votre déploiement s'exécutent sur plusieurs ordinateurs, vous devez vous assurer que les comptes de service que votre déploiement utilise disposent de l'accès et des autorisations nécessaires pour fonctionner correctement.

Team Foundation Server dispose de services et de comptes de service qui s’exécutent sur les ordinateurs suivants dans un déploiement :

  • tout serveur qui héberge une ou plusieurs bases de données pour Team Foundation Server
  • tout serveur qui héberge des composants de la couche application pour Team Foundation
  • tout ordinateur exécutant Team Foundation Server Proxy
  • tout ordinateur de build ;
  • tout ordinateur de test ;
  • tout ordinateur qui exécute un ou plusieurs composants de Visual Studio Lab Management

Vous pouvez installer et déployer différentes fonctionnalités de TFS de différentes manières. La distribution des fonctionnalités dans votre déploiement détermine les services et comptes de service exécutés sur les ordinateurs physiques. En outre, vous devrez peut-être gérer les comptes de service pour les logiciels qui sont configurés pour fonctionner avec TFS, tels que les comptes de service pour les produits et les SQL Server SharePoint.

Comptes de service

Bien que TFS utilise plusieurs comptes de service, vous pouvez utiliser le même compte de domaine ou de groupe de travail pour la plupart ou l'intégralité d'entre eux. Par exemple, vous pouvez utiliser le même compte de domaine « Contoso \ example » comme compte de service pour Team Foundation Server (TFSSERVICE) et le compte de sources de données pour SQL Server Reporting Services (TFSReports). Toutefois, différents comptes de service peuvent requérir différents niveaux d'autorisation. Par exemple, TFSSERVICE doit disposer de l’autorisation ouvrir une session en tant que service et TFSReports doit disposer de l’autorisation permettre l’ouverture d’une session locale . Si vous utilisez le même compte « Contoso \ Example » pour les deux, vous devez lui accorder ces deux autorisations. En outre, TFSSERVICE nécessite beaucoup plus d’autorisations pour fonctionner correctement que TFSReports , comme le montre le tableau plus loin dans cette rubrique. Pour des raisons de sécurité, vous devez envisager d'utiliser des comptes séparés pour ces deux comptes de service.

Important

Vous ne devez pas utiliser le compte qui a été utilisé pour installer Team Foundation Server comme compte pour l’un de ces comptes de service.

Si vous avez déployé Team Foundation Server dans un domaine Active Directory, vous devez définir l’option le compte est sensible et ne peut pas être délégué pour les comptes de service. Par exemple, dans le tableau suivant, vous devez définir cette option pour TFSSERVICE. Pour plus d’informations sur les comptes de service et les noms d’espaces réservés requis utilisés dans la documentation pour Team Foundation Server, consultez la rubrique «comptes requis pour l’installation de Team Foundation Server» dans le Guide d’installation de Team Foundation. Pour plus d’informations sur la délégation de compte dans Active Directory, consultez la page suivante sur le site Web Microsoft : délégation de l’autorité dans Active Directory.

Étant donné que vous devez gérer plusieurs comptes de service, il est fait référence à chaque compte de service par un nom qui identifie sa fonction, comme répertorié dans le tableau plus loin dans cette rubrique. Le nom n'est pas le nom réel du compte que vous utilisez pour chaque compte de service. Le nom réel du compte dépend de votre déploiement. Dans l’exemple précédent, le compte utilisé pour TFSSERVICE et TFSReports était « Contoso \ example ». Dans votre propre déploiement, vous pouvez créer des comptes de domaine avec les noms spécifiques « TFSService » et « TFSReports », ou vous pouvez utiliser le compte système service réseau comme compte de service pour Team Foundation Server.

Important

Sauf indication contraire, aucun groupe ou compte dans le tableau suivant ne doit être membre du groupe Administrateurs sur l’un des serveurs de votre déploiement de Team Foundation Server.

Le tableau affiche tous les comptes de service que vous pouvez utiliser dans un déploiement de TFS :

Compte Service Account Nom et type de compte utilisable Autorisation obligatoire et appartenance au groupe Notes
Compte de service pour Team Foundation Server TFSSERVICE, qui peut être un compte local, un compte de domaine, un service local dans un groupe de travail ou un service réseau dans un domaine Ouvrir une session en tant que service sur le serveur de couche application
Groupe administrateurs de batterie pour toutes les applications Web SharePoint qui Team Foundation Server uses1
TFSExecRole, ou si ce rôle n’existe pas pour la base de données, une combinaison des rôles suivants pour toutes les bases de données que Team Foundation Server utilise :
* db_owner
* db_create
Ce compte de service est utilisé pour tous les services Web pour Team Foundation Server. Si vous utilisez un compte de domaine pour ce compte, ce doit être membre d'un domaine que tous les ordinateurs dans tout le déploiement approuvent pleinement.
Compte de sources de données pour SQL Server Reporting Services TFSReports, qui peut être un compte local, un compte de domaine ou un service local dans un groupe de travail Autoriser l’ouverture d’une session locale sur le serveur de couche application et sur le serveur qui exécute SQL Server Reporting Services
TfsWarehouseDataReader sur le serveur de rapports
Ce compte de service extrait des données pour les rapports à partir de Reporting Services.
Compte de service pour Team Foundation Build TFSBuild, qui peut être un compte local, un compte de domaine ou un service local dans un groupe de travail Ouvrir une session en tant que service Ce compte de service est utilisé lorsque les builds sont configurées et lorsque les informations d'état de la build sont communiquées entre le contrôleur de build et les agents de build.
Compte de service pour Lab Management TFSLab, qui peut être un compte local, un compte de domaine, un service local dans un groupe de travail ou un service réseau dans un domaine Ouvrir une session en tant que service Ce compte de service est utilisé lorsque des informations sur Lab Management sont communiquées entre Team Foundation Server et l’agent Lab qui s’exécute sur un ordinateur virtuel.
Compte de service pour Team Foundation Server Proxy TFSPROXY, qui peut être un compte local, un compte de domaine, un service local dans un groupe de travail ou un service réseau dans un domaine Ouvrir une session en tant que service Ce compte de service est utilisé pour tous les services proxy. Si vous utilisez un compte de domaine pour ce compte, ce doit être membre d'un domaine que tous les ordinateurs dans tout le déploiement approuvent pleinement.
Compte de service pour l'agent de test et le contrôleur d'agent de test TFSTest, qui peut être un compte local, un compte de domaine ou un service réseau dans un domaine. Ouvrir une session en tant que service Ce compte de service est utilisé lorsque les informations sur les tests sont communiquées entre le contrôleur d'agent de test et l'agent de test.
Comptes de service pour les applications Web SharePoint WebAppService Autoriser l’ouverture d’une session locale Vous devez ajouter au moins un compte de service pour chaque application Web SharePoint que vous configurez pour une utilisation avec Team Foundation Server. Ce compte de service est utilisé pour créer des portails de projet et activer la fonctionnalité de tableau de bord.
Compte de service pour Azure DevOps Services Service de compte (CollectionName) Aucun Ce compte est utilisé uniquement si vous utilisez un déploiement hébergé de TFS. Il est automatiquement créé pour vous et peut être affiché par le biais de la page d'administration de Team Web Access. Ce compte de service est créé automatiquement lorsque vous créez un regroupement dans Azure DevOps Services, et est utilisé lorsque les clients communiquent avec le service hébergé.

1 vous pouvez intégrer votre déploiement aux produits SharePoint sans cette autorisation, mais vous devez effectuer des étapes supplémentaires si le compte de service n’est pas membre du groupe administrateurs de batterie. Pour plus d’informations, consultez intégrer des Team Foundation Server avec des produits SharePoint sans autorisations d’administration.

Services qui s'exécutent sous des comptes de service

Les services suivants s’exécutent sous des comptes de service dans un déploiement de Team Foundation Server :

Nom du service Compte de service Couche logique
Service de couverture du code TFSService ce niveau d'application
Services Web Team Foundation Server TFSService ce niveau d'application
SQL Server Reporting Services (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local ou compte de domaine ce niveau d'application
Service Web Report Server Système local, Service réseau ou un compte de domaine ce niveau d'application
Administration de SharePoint (si les produits SharePoint sont installés et configurés pour être utilisés avec Team Foundation Server) Système local, Service réseau ou un compte de domaine ce niveau d'application
Minuteur SharePoint (si les produits SharePoint sont installés et configurés pour être utilisés avec Team Foundation Server) Compte du domaine ce niveau d'application
Hôte de service Visual Studio Team Foundation Build (si Team Foundation Build est installé) Fichier ordinateur de build
Agent de travail en arrière-plan Visual Studio Team Foundation TFSService ce niveau d'application
Visual Studio Test Controller TFSTest tout ordinateur
Visual Studio Test Agent TFSTest ordinateur de test
Analysis Server (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local ou compte de domaine couche Données
SQL Server Browser Service local ou compte de domaine couche Données
SQL Server (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local, Service réseau ou un compte de domaine couche Données
SQL Server Agent (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local, Service réseau ou un compte de domaine couche Données
Service de compte (CollectionName) Automatique niveau Web (Azure DevOps Services uniquement)

Pour plus d’informations sur les comptes de service pour SQL Server, consultez la page suivante sur le site Web de Microsoft : documentation en ligne de SQL Server. Pour obtenir les informations les plus récentes sur les comptes de service dans Team Foundation, consultez le Guide d’installation de Team Foundation Server.

Notes

Si vous modifiez le compte de service pour Team Foundation Build, vous devez vous assurer que le nouveau compte de service est membre du groupe Build services. Vous devez également vous assurer que le compte dispose d'autorisations en lecture/écriture vers les dossiers temporaires et le dossier temporaire ASP.NET. De même, si vous modifiez le compte de service pour le service Team Foundation Server Proxy, vous devez vous assurer que le compte est membre des groupes appropriés. Pour plus d’informations, consultez configurer votre système de génération.

Questions et réponses

Q : Des comptes de service sont-ils affectés à un groupe de niveau d'accès ?

R : Par défaut, les comptes de service sont ajoutés au niveau d’accès par défaut. Si vous définissez Stakeholder (partie prenante) comme niveau d'accès par défaut, vous devez ajouter le compte de service TFS au groupe de base ou avancé.

Q : Les comptes de service nécessitent-ils une licence ?

R : Non. Les comptes de service ne nécessitent pas de licence distincte.

Q : Comment modifier le mot de passe ou le compte pour un compte de service ?