Konta usług i zależności

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 — TFS 2013

Uwaga

Azure DevOps Server wcześniej nosiła nazwę Visual Studio Team Foundation Server.

Możesz lepiej zarządzać Azure DevOps Server, jeśli rozumiesz usługi i kilka kont usług, które obejmuje każde wdrożenie usługi Azure DevOps i od których zależy każde wdrożenie. W zależności od sposobu instalacji i konfiguracji usługi Azure DevOps te usługi i konta usług mogą być uruchamiane na jednym komputerze lub na wielu komputerach. Zmienia to pewne aspekty zarządzania wdrożeniem. Jeśli na przykład składniki wdrożenia po stronie serwera działają na więcej niż jednym komputerze, należy się upewnić, że konta usług używane przez wdrożenie mają dostęp i uprawnienia wymagane do poprawnego działania.

Azure DevOps Server usług i kont usług, które są uruchamiane na następujących komputerach we wdrożeniu:

  • dowolny serwer, który hostuje co najmniej jedną Azure DevOps Server
  • dowolny serwer, który hostuje składniki warstwy aplikacji dla Azure DevOps Server
  • dowolny komputer z uruchomionym Azure DevOps Server proxy
  • dowolny komputer kompilacji
  • dowolna maszyna testowa

Różne funkcje usługi można instalować i wdrażać Azure DevOps Server na różne sposoby. Dystrybucja funkcji we wdrożeniu określa, jakie usługi i konta usług są uruchamiane na fizycznej komputerach. Ponadto może być konieczne zarządzanie kontami usług dla programów skonfigurowanych do pracy z programem Azure DevOps Server, takich jak konta usług dla SQL Server.

Konta usług

Chociaż Azure DevOps Server korzysta z kilku kont usług, dla większości lub wszystkich kont można użyć tego samego konta domeny lub grupy roboczej. Na przykład można użyć tego samego konta domeny, co konto usługi dla usługi Azure DevOps Server (TFSService) i konta źródeł danych dla usługi Contoso\\Example SQL Server Reporting Services (TFSReports). Jednak różne konta usług mogą wymagać różnych poziomów uprawnień. Na przykład usługa TFSService musi mieć uprawnienie Logowanie jako usługa, a raporty TFSReport muszą mieć uprawnienie Zezwalaj na logowanie lokalne. Jeśli używasz tego samego konta dla obu tych kont, musisz przyznać do niego Contoso\\Example oba te uprawnienia. Ponadto usługa TFSService wymaga znacznie większej liczby uprawnień do prawidłowego działania niż te, których wymaga TFSReports, jak pokazano w tabeli w dalszej części tego tematu. Ze względów bezpieczeństwa należy rozważyć użycie oddzielnych kont dla tych dwóch kont usług.

Ważne

Nie można używać konta, które zostało użyte do zainstalowania Azure DevOps Server jako konta dla jednego z tych kont usług.

Jeśli wdrożono usługę Azure DevOps Server domenie usługi Active Directory, należy ustawić opcję Konto jest poufne i nie można jej delegować dla kont usług. Na przykład w poniższej tabeli należy ustawić tę opcję dla usługi TFSService. Więcej informacji o wymaganych kontach usług i nazwach symboli zastępczych używanych w dokumentacji programu Azure DevOps Server można znaleźć w temacie "Accountsrequired for installation of Azure DevOps Server" (Kontawymagane do instalacji programu Azure DevOps Server) w przewodniku instalacji programu Team Foundation. Aby uzyskać więcej informacji na temat delegowania konta w usłudze Active Directory, zobacz następującą stronę w witrynie sieci Web firmy Microsoft: Delegowanie urzędu w usłudze Active Directory.

Ponieważ musisz zarządzać kilkoma kontami usług, każde konto usługi jest określane za pomocą nazwy symbolu zastępczego identyfikującej jego funkcję, jak podano w tabeli w dalszej części tego tematu. Nazwa symbolu zastępczego nie jest rzeczywistą nazwą konta, które jest dla każdego konta usługi. Rzeczywista nazwa konta różni się w zależności od wdrożenia. W poprzednim przykładzie konto używane zarówno dla serwera TFSService, jak i TFSReports to Contoso\\Example . We własnym wdrożeniu można utworzyć konta domeny o określonych nazwach i lub użyć usługi sieciowej konta systemowego jako konta usługi dla TFSService TFSReports Team Foundation Server.

Ważne

Jeśli nie określono inaczej, żadne grupy lub konta w poniższej tabeli nie powinny być członkami grupy Administratorzy na dowolnym serwerze we wdrożeniu usługi Azure DevOps Server.

W poniższej tabeli wymieniono większość kont usług, które mogą być używane we wdrożeniu Azure DevOps Server. Aby uzyskać dodatkowe konta usług, których nie wymieniono w tym miejscu, zobacz Uprawnienia i grupy, Konta usług.

Konto usługi dla usługi

Nazwa symbolu zastępczego i typ konta, z których można korzystać

Wymagane uprawnienie i członkostwo w grupie

Uwagi


Usługa Azure DevOps Services

Usługa konta (CollectionName)

Brak. To konto jest używane tylko w przypadku korzystania z hostowanych wdrożeń Azure DevOps.

Jest tworzony automatycznie podczas tworzenia organizacji w Azure DevOps Services. Jest on używany, gdy klienci komunikują się z hostowaną usługą i można go wyświetlać za pośrednictwem strony administracyjnej portalu internetowego.

Azure DevOps Server

TFSService: może być kontem lokalnym, kontem domeny, usługą lokalną w grupie roboczej lub usługą sieciową w domenie

Logowanie jako usługa na serwerze warstwy aplikacji

To konto usługi jest używane dla wszystkich Azure DevOps internetowych. Jeśli używasz konta domeny dla tego konta, musi być ono członkiem domeny, która jest w pełni zaufana dla wszystkich komputerów w całym wdrożeniu.

Team Foundation Build

TFSBuild, który może być kontem lokalnym, kontem domeny lub usługą lokalną w grupie roboczej

Logowanie jako usługa

To konto usługi jest używane podczas konfigurowania kompilacji i gdy informacje o stanie kompilacji są przekazywane między kontrolerem kompilacji a agentami kompilacji.

SQL Server Reporting Services

TFSReports, który może być kontem lokalnym, kontem domeny lub usługą lokalną w grupie roboczej

Zezwalaj na logowanie lokalne na serwerze warstwy aplikacji i na serwerze, na którym działa SQL Server Reporting Services
TfSWareHouseDataReader na serwerze raportów

To konto usługi pobiera dane dla raportów z usług Reporting Services.

Azure DevOps Server proxy

TFSProxy, który może być kontem lokalnym, kontem domeny, usługą lokalną w grupie roboczej lub usługą sieciową w domenie

Logowanie jako usługa

Używany dla wszystkich usług serwera proxy. Jeśli używasz konta domeny dla tego konta, musi być ono członkiem domeny, która jest w pełni zaufana dla wszystkich komputerów w całym wdrożeniu.

Agent testowy i kontroler agenta testowego

TFSTest: może być kontem lokalnym, kontem domeny lub usługą sieciową w domenie.

Logowanie jako usługa

Używany, gdy informacje o testach są przekazywane między kontrolerem agenta testowego a agentem testowym.

SharePoint aplikacji internetowych

WebAppService

Zezwalaj na logowanie lokalne

Musisz dodać co najmniej jedno konto usługi dla każdej SharePoint internetowej skonfigurowanej do użycia z Team Foundation Server. To konto usługi służy do tworzenia portali projektu i włączania funkcji pulpitu nawigacyjnego. Wdrożenie można zintegrować z usługą SharePoint Products bez tego uprawnienia, ale należy wykonać dodatkowe czynności, jeśli konto usługi nie jest członkiem grupy Administratorzy farmy. Aby uzyskać więcej informacji, zobacz Integrate Team Foundation Server with SharePoint Products Without Administrative Permissions(Integracja aplikacji z SharePoint Products Without Administrative Permissions ).

Lab Management

TFSLab, które może być kontem lokalnym, kontem domeny, usługą lokalną w grupie roboczej lub usługą sieciową w domenie

Logowanie jako usługa

To konto usługi jest używane, gdy informacje o Lab Management są przekazywane między Team Foundation Server a agentem laboratorium uruchomionym na maszynie wirtualnej.


Usługi uruchamiane w ramach kont usług

W poniższej tabeli wymieniono usługi, które są uruchamiane w ramach kont usług w środowisku lokalnym Azure DevOps wdrożenia.

Nazwa usługi Konto usługi Warstwa logiczna
Usługa pokrycia kodu Tfsservice warstwa aplikacji
Azure DevOps Server web services Tfsservice warstwa aplikacji
SQL Server Reporting Services (MSSQLSERVER lub InstanceName, jeśli używasz nazwanego wystąpienia) System lokalny lub konto domeny warstwa aplikacji
Usługa sieci Web raportów System lokalny, usługa sieciowa lub konto domeny warstwa aplikacji
SharePoint administracyjnej (jeśli SharePoint Products jest zainstalowana i skonfigurowana do użycia z Team Foundation Server) System lokalny, usługa sieciowa lub konto domeny warstwa aplikacji
SharePoint czasomierza (jeśli SharePoint Products jest zainstalowane i skonfigurowane do użycia z Team Foundation Server) Konto domeny warstwa aplikacji
Visual Studio Team Foundation Build Service Host (jeśli zainstalowano kompilację Team Foundation Build) TFSBuild kompilowanie komputera
Visual Studio team foundation background job agent Tfsservice warstwa aplikacji
Visual Studio Test Controller TFSTest dowolny komputer
Visual Studio Test Agent TFSTest komputer testowy
Analysis Server (MSSQLSERVER lub InstanceName, jeśli używasz nazwanego wystąpienia) System lokalny lub konto domeny warstwa danych
SQL Server przeglądarki Usługa lokalna lub konto domeny warstwa danych
SQL Server (MSSQLSERVER lub InstanceName, jeśli używasz nazwanego wystąpienia) System lokalny, usługa sieciowa lub konto domeny warstwa danych
SQL Server Agent (MSSQLSERVER lub InstanceName, jeśli używasz nazwanego wystąpienia) System lokalny, usługa sieciowa lub konto domeny warstwa danych
Usługa konta (CollectionName) Automatyczny warstwa internetowa (tylko Azure DevOps Services)

Aby uzyskać więcej informacji na temat kont usług SQL Server, zobacz następującą stronę w witrynie internetowej firmy Microsoft: SQL Server Books Online. Aby uzyskać najnowsze informacje o kontach Azure DevOps Server, zobacz Instalowanie i konfigurowanie Azure DevOps lokalnych.

Uwaga

Jeśli zmienisz konto usługi dla kompilacji Team Foundation Build, upewnij się, że nowe konto usługi jest członkiem grupy Build Services. Należy również upewnić się, że konto ma uprawnienia do odczytu/zapisu do folderów tymczasowych i ASP.NET folderu tymczasowego. Podobnie w przypadku zmiany konta usługi dla usługi Team Foundation Server proxy, należy się upewnić, że konto jest członkiem odpowiednich grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie systemu kompilacji.

Pytania i odpowiedzi

Pytanie: czy konta usług są przypisane do grupy poziomu dostępu?

A: Domyślnie konta usług są dodawane do domyślnego poziomu dostępu. W przypadku ustawienia domyślnego poziomu dostępu Uczestnik projektu należy dodać konto usługi Azure DevOps Server do grupy Podstawowa lub Zaawansowana.

Pytanie: czy konta usług wymagają licencji?

A: Nr. Konta usług nie wymagają oddzielnej licencji.

Pytanie: Jak mogę zmienić hasło lub konto dla konta usługi?

A: Zobacz Zmienianie konta usługi lub hasła