Zmienianie konta usługi lub hasła dla Azure DevOps Server

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

Możesz zwiększyć bezpieczeństwo Azure DevOps Server, zmieniając jego konto usługi lub hasło używane dla tego konta. Azure DevOps Server uruchamia usługi, takie jak usługi internetowe i agent zadań w tle Team Foundation w kontekście konta usługi.

Dokumentacja Azure DevOps Server odnosi się do tego konta usługi jako TFSService, chociaż nie jest to rzeczywista nazwa konta, chyba że specjalnie utworzysz konto o tej nazwie. Azure DevOps Server przechowuje rekord nazwy rzeczywistego konta, które jest używane jako konto usługi. Zmieniając rekord, możesz przypisać inne konto do działania jako konto usługi. Możesz również zmienić hasło dla tego konta. Bez względu na to, czy zmienisz konto, hasło, czy oba te elementy, będziesz synchronizować się z innymi składnikami we wdrożeniu. Jeśli na przykład zasady domeny usługi Active Directory wymagają okresowego wygaśnięcia wszystkich haseł, można zaktualizować informacje o haśle dla konta usługi w Azure DevOps Server po zmianie hasła.

Uwaga

Azure DevOps Server i jego narzędzia nie mogą utworzyć nowego konta lokalnego lub domeny do użycia jako TFSService i nie mogą zaktualizować hasła dla tego konta w grupie roboczej lub domenie. Zamiast tego narzędzia aktualizują rekordy, aby odpowiadały nowym poświadczeniu. Jeśli wdrożenie obejmuje więcej niż jeden serwer warstwy aplikacji, należy ręcznie zaktualizować każdy serwer przy użyciu wszelkich zmian na koncie usługi lub jego haśle.

Aby uzyskać więcej informacji na temat kont usług w Azure DevOps Server, zobacz Konta usług i zależności w Azure DevOps Server. Aby uzyskać więcej informacji na temat kont wymaganych do instalacji, w tym konta usługi dla Azure DevOps Server, zobacz Wymagania dotyczące konta usługi.

Wymagania wstępne

Aby wykonać procedurę wiersza polecenia, może być konieczne otwarcie okna wiersza polecenia z podwyższonym poziomem uprawnień. Otwórz menu kontekstowe wiersza polecenia i wybierz pozycję Uruchom jako administrator. Aby uzyskać więcej informacji, zobacz Kontrola konta użytkownika.

Zmienianie hasła konta usługi

Aby zmienić hasło usługi TFSService, musisz zalogować się do serwera warstwy aplikacji dla Azure DevOps i użyć konsoli administracyjnej do Azure DevOps lub otworzyć okno wiersza polecenia i użyć narzędzia wiersza polecenia TFSConfig. Jeśli wdrożenie obejmuje więcej niż jeden serwer warstwy aplikacji, należy wykonać to zadanie na każdym serwerze, aby zachować synchronizację informacji o koncie.

Uwaga

W zależności od konfiguracji wdrożenia może być konieczne ponowne uruchomienie Internet Information Services (IIS) po wykonaniu procedury, zanim zmiany zaczną obowiązywać.

Zmienianie hasła za pomocą konsoli administracyjnej

  1. Otwórz konsolę administracyjną Azure DevOps na serwerze, który hostuje warstwę aplikacji.

    Aby uzyskać więcej informacji, zobacz Otwieranie konsoli administracyjnej Azure DevOps Server .

  2. W konsoli rozwiń nazwę serwera i wybierz pozycję Warstwa aplikacji.

  3. W okienku Warstwa aplikacji wybierz pozycję Aktualizuj hasło konta.

    Zostanie otwarte okno Aktualizowanie hasła konta .

    Uwaga

    Jeśli jako konto usługi użyto konta systemowego, po wybraniu pozycji Aktualizuj hasło do konta zostanie wyświetlony komunikat o błędzie. Nie trzeba zmieniać hasła tego konta. Konta systemowe nie mają haseł zarządzanych przez użytkownika.

  4. Wprowadź nowe hasło w polu Hasło, a następnie wybierz przycisk OK.

    Zostanie otwarte okno Zmienianie konta usługi .

  5. Poczekaj na ukończenie wszystkich komunikatów o stanie w obszarze Stan, a następnie wybierz pozycję Zamknij.

    Uwaga

    Ten proces może potrwać kilka minut.

Zmienianie hasła za pomocą narzędzia TFSConfig

  1. Na serwerze warstwy aplikacji otwórz okno wiersza polecenia i zmień katalogi na katalog zawierający narzędzie TFSConfig .

    Domyślnie to narzędzie znajduje się w folderze Drive:\Program Files\TFS 12.0\Tools.

  2. W wierszu polecenia wprowadź ciąg TFSConfig Accounts /UpdatePassword /accountType:ApplicationTier /account:AccountName/password:NewPassword, a następnie naciśnij klawisz ENTER.

  3. Musisz określić zarówno nazwę konta usługi (AccountName), jak i hasło konta (NewPassword).

Przypisywanie innego konta jako konta usługi

Aby skonfigurować Azure DevOps Server użyć innego konta jako konta usługi dla Azure DevOps, możesz użyć konsoli administracyjnej lub narzędzia wiersza polecenia TFSConfig. Jeśli wdrożenie obejmuje więcej niż jeden serwer warstwy aplikacji, należy wykonać to zadanie na każdym serwerze, aby zachować synchronizację informacji o koncie. Przed użyciem dowolnego narzędzia do wprowadzenia zmiany należy wziąć pod uwagę następujące problemy:

  • Należy wybrać nowe konto, które jest kontem systemowym lub członkiem grupy roboczej lub domeny, która jest zaufana przez każdy komputer w tym wdrożeniu Azure DevOps Server.
  • Narzędzia konfiguracji przyznają uprawnienie Logowanie jako usługa nowemu kontu usługi. Jednak narzędzia nie odwołują tego uprawnienia z konta użytego wcześniej jako konto usługi, jeśli inna usługa nadal używa tego konta. Jeśli stare konto nie potrzebuje już tego uprawnienia dla usługi, dla której jest ona nadal używana, możesz ręcznie usunąć to uprawnienie ze starego konta.

Aby uzyskać więcej informacji, zobacz Dodawanie logowania jako usługi bezpośrednio do konta.

  • Po wykonaniu procedury przed wprowadzeniem zmian może być konieczne ponowne uruchomienie usług IIS.
  • Narzędzie TFSConfig zmienia tylko te usługi, które są uruchamiane na starym koncie.

Zmienianie konta usługi przy użyciu konsoli administracyjnej

  1. Otwórz konsolę administracyjną Azure DevOps na serwerze, który hostuje warstwę aplikacji.

  2. W konsoli rozwiń nazwę serwera i wybierz pozycję Warstwa aplikacji.

  3. W okienku Warstwa aplikacji wybierz pozycję Zmień konto.

    Zostanie otwarte okno Aktualizowanie konta usługi .

  4. Wykonaj jedną z następujących czynności:

    1. Aby użyć konta systemowego, wybierz pozycję Użyj konta systemowego, a następnie wybierz konto systemowe z listy rozwijanej.

      Jeśli serwer jest członkiem domeny usługi Active Directory, domyślnym wyborem dla konta systemowego do użycia jest usługa sieciowa. Jeśli serwer jest członkiem grupy roboczej, domyślnym wyborem jest usługa lokalna. W zależności od szczegółów wdrożenia wybór domyślny może być jedynym dostępnym wyborem.

      Uwaga

      Konta systemowe nie mają haseł zarządzanych przez użytkownika. Jeśli używasz konta systemowego jako serwera TFSService, nie należy wprowadzać hasła w polu hasła.

    2. Aby użyć domeny lub konta grupy roboczej, wybierz pozycję Użyj konta użytkownika, wprowadź nazwę konta w polu Nazwa konta, a następnie wprowadź hasło dla tego konta w polu Hasło.

  5. Wybierz przycisk OK.

    Zostanie otwarte okno Zmienianie konta usługi .

  6. Poczekaj na ukończenie wszystkich komunikatów o stanie w obszarze Stan, a następnie wybierz pozycję Zamknij.

    Uwaga

    Ten proces może potrwać kilka minut.

Zmienianie konta usługi za pomocą narzędzia TFSConfig

  1. Na serwerze warstwy aplikacji otwórz okno wiersza polecenia i zmień katalogi na katalog zawierający narzędzie TFSConfig .

    Domyślnie to narzędzie znajduje się w folderze Drive:\Program Files\TFS 12.0\Tools.

  2. W wierszu polecenia wprowadź ciąg TFSConfig Accounts /change /accountType:ApplicationTier /account:AccountName/password:NewPassword, a następnie naciśnij klawisz ENTER.

    Aby uzyskać więcej informacji, zobacz Polecenie Accounts.