Konta usług i zależności
Azure DevOps Server 2022 r. | Azure DevOps Server 2020 r. | Azure DevOps Server 2019 r.
Możesz lepiej zarządzać Azure DevOps Server, jeśli rozumiesz usługi i kilka kont usług, które obejmuje każde wdrożenie usługi Azure DevOps i od którego zależy każde wdrożenie. W zależności od sposobu instalowania i konfigurowania usługi Azure DevOps te usługi i konta usług mogą być uruchamiane na jednym komputerze lub mogą działać na wielu komputerach. Spowoduje to zmianę niektórych aspektów zarządzania wdrożeniem. Jeśli na przykład składniki wdrożenia po stronie serwera są uruchamiane na więcej niż jednym komputerze, musisz upewnić się, że konta usług używane przez wdrożenie mają dostęp i uprawnienia wymagane do poprawnego działania.
Azure DevOps Server ma usługi i konta usług uruchomione na następujących komputerach we wdrożeniu:
- dowolny serwer hostujący co najmniej jedną bazę danych dla Azure DevOps Server
- dowolny serwer hostujący składniki warstwy aplikacji dla Azure DevOps Server
- dowolny komputer z uruchomionym serwerem proxy Azure DevOps Server
- dowolny komputer kompilacji
- dowolna maszyna testowa
Różne funkcje Azure DevOps Server można zainstalować i wdrożyć na różne sposoby. Dystrybucja funkcji we wdrożeniu określa, jakie usługi i konta usług działają na których komputerach fizycznych. Ponadto może być konieczne zarządzanie kontami usług dla programów oprogramowania skonfigurowanych do pracy z Azure DevOps Server, takich jak konta usług dla SQL Server.
Konta usług
Chociaż Azure DevOps Server używa kilku kont usług, można użyć tego samego konta domeny lub grupy roboczej dla większości lub wszystkich z nich. Można na przykład użyć tego samego konta domeny co konto Contoso\\Example usługi dla Azure DevOps Server (TFSService) i konta źródeł danych dla SQL Server Reporting Services (TFSReports). Jednak różne konta usług mogą wymagać różnych poziomów uprawnień. Na przykład tfSService musi mieć uprawnienie Logowanie jako usługa , a serwera TFSReports muszą mieć uprawnienie Zezwalaj na logowanie lokalne . Jeśli używasz tego samego konta Contoso\\Example dla obu, musisz przyznać mu oba te uprawnienia. Ponadto usługa TFSService wymaga znacznie większej liczby uprawnień do poprawnego działania niż wymagane przez serwer TFSReports , ponieważ w dalszej części tego tematu przedstawiono tabelę. W celach zabezpieczających należy rozważyć użycie oddzielnych kont dla tych dwóch kont usług.
Ważne
Nie można użyć konta, które zostało użyte do zainstalowania Azure DevOps Server jako konta dla jednego z tych kont usług.
Jeśli wdrożono Azure DevOps Server w domenie usługi Active Directory, należy ustawić opcję Konto jest poufne i nie można jej delegować dla kont usług. Na przykład w poniższej tabeli należy ustawić tę opcję dla serwera TFSService. Aby uzyskać więcej informacji na temat wymaganych kont usług i nazw zastępczych używanych w dokumentacji Azure DevOps Server zobacz temat "Konta wymagane do instalacji Azure DevOps Server" w przewodniku instalacji dla programu Team Foundation. Aby uzyskać więcej informacji na temat delegowania kont w usłudze Active Directory, zobacz następującą stronę w witrynie sieci Web firmy Microsoft: Delegowanie urzędu w usłudze Active Directory.
Ponieważ musisz zarządzać kilkoma kontami usług, każde konto usługi jest określane za pomocą nazwy zastępczej, która identyfikuje jego funkcję, jak wymieniono w tabeli w dalszej części tego tematu. Nazwa symbolu zastępczego nie jest rzeczywistą nazwą konta używanego dla każdego konta usługi. Rzeczywista nazwa konta różni się w zależności od wdrożenia. W poprzednim przykładzie konto używane zarówno dla serwera TFSService , jak i serwera TFSReports miało wartość Contoso\\Example. We własnym wdrożeniu możesz utworzyć konta domeny z określonymi TFSService nazwami i TFSReports, lub możesz użyć konta sieciowego konta systemowego jako konta usługi dla serwera Team Foundation Server.
Ważne
O ile nie określono inaczej, żadne grupy lub konta w poniższej tabeli nie powinny być członkami grupy Administratorzy na żadnym z serwerów we wdrożeniu Azure DevOps Server.
W poniższej tabeli wymieniono większość kont usług, które mogą być używane we wdrożeniu Azure DevOps Server. Aby uzyskać dodatkowe konta usług, których nie ma na liście, zobacz Uprawnienia i grupy, Konta usług.
Konto usługi dla
Nazwa symbolu zastępczego i typ konta do użycia
Wymagane uprawnienia i członkostwo w grupie
Uwagi
Usługa Azure DevOps Services
Usługa konta (CollectionName)
Brak. To konto jest używane tylko w przypadku korzystania z hostowanego wdrożenia usługi Azure DevOps.
Jest tworzony automatycznie podczas tworzenia organizacji w Azure DevOps Services. Jest on używany, gdy klienci komunikują się z hostowaną usługą i mogą być wyświetlani za pośrednictwem strony administracyjnej portalu internetowego.
Azure DevOps Server
TFSService: może być kontem lokalnym, kontem domeny, usługą lokalną w grupie roboczej lub usługą sieciową w domenie
Logowanie jako usługa na serwerze warstwy aplikacji
To konto usługi jest używane dla wszystkich usług internetowych Usługi Azure DevOps. Jeśli używasz konta domeny dla tego konta, musi być członkiem domeny, którą wszystkie komputery w całym wdrożeniu w pełni ufają.
Team Foundation Build
TFSBuild, który może być kontem lokalnym, kontem domeny lub usługą lokalną w grupie roboczej
Logowanie w trybie usługi
To konto usługi jest używane podczas konfigurowania kompilacji i przekazywania informacji o stanie kompilacji między kontrolerem kompilacji a agentami kompilacji.
SQL Server Reporting Services
TFSReports, które może być kontem lokalnym, kontem domeny lub usługą lokalną w grupie roboczej
Zezwalaj na logowanie lokalne na serwerze warstwy aplikacji i na serwerze z systemem SQL Server Reporting Services
TFSWareHouseDataReader na serwerze raportów
To konto usługi pobiera dane dla raportów z usług Reporting Services.
serwer proxy Azure DevOps Server
TFSProxy, które może być kontem lokalnym, kontem domeny, usługą lokalną w grupie roboczej lub usługą sieciową w domenie
Logowanie w trybie usługi
Używane dla wszystkich usług proxy. Jeśli używasz konta domeny dla tego konta, musi być członkiem domeny, którą wszystkie komputery w całym wdrożeniu w pełni ufają.
Agent testowy i kontroler agenta testowego
TFSTest: może być kontem lokalnym, kontem domeny lub usługą sieciową w domenie.
Logowanie w trybie usługi
Używane, gdy informacje o testach są przekazywane między kontrolerem agenta testowego a agentem testowym.
Usługi, które są uruchamiane na kontach usług
W poniższej tabeli wymieniono usługi uruchamiane w ramach kont usług w lokalnym wdrożeniu usługi Azure DevOps.
| Nazwa usługi | Konto usługi | Warstwa logiczna |
|---|---|---|
| Usługa pokrycia kodu | Tfsservice | warstwa aplikacji |
| usługi sieci Web Azure DevOps Server | Tfsservice | warstwa aplikacji |
| SQL Server Reporting Services (MSSQLSERVER lub InstanceName, jeśli używasz nazwanego wystąpienia) | System lokalny lub konto domeny | warstwa aplikacji |
| Usługa sieci Web raportów | System lokalny, usługa sieciowa lub konto domeny | warstwa aplikacji |
| Host usługi kompilacji programu Visual Studio Team Foundation (jeśli kompilacja team foundation jest zainstalowana) | TFSBuild | komputer kompilacji |
| Agent zadania w tle programu Visual Studio Team Foundation | Tfsservice | warstwa aplikacji |
| Visual Studio Test Controller | TFSTest | dowolny komputer |
| Visual Studio Test Agent | TFSTest | komputer testowy |
| Analysis Server (MSSQLSERVER lub InstanceName , jeśli używasz nazwanego wystąpienia) | System lokalny lub konto domeny | warstwa danych |
| przeglądarka SQL Server | Usługa lokalna lub konto domeny | warstwa danych |
| SQL Server (MSSQLSERVER lub InstanceName, jeśli używasz nazwanego wystąpienia) | System lokalny, usługa sieciowa lub konto domeny | warstwa danych |
| SQL Server Agent (MSSQLSERVER lub InstanceName, jeśli jest używane nazwane wystąpienie) | System lokalny, usługa sieciowa lub konto domeny | warstwa danych |
| Usługa konta (CollectionName) | Automatyczny | warstwa internetowa (tylko Azure DevOps Services) |
Aby uzyskać więcej informacji na temat kont usług dla SQL Server, zobacz następującą stronę w witrynie internetowej firmy Microsoft: SQL Server Books Online. Aby uzyskać najnowsze informacje o kontach usługi Azure DevOps Server, zobacz Instalowanie i konfigurowanie lokalnej usługi Azure DevOps.
Uwaga
Jeśli zmienisz konto usługi dla programu Team Foundation Build, musisz upewnić się, że nowe konto usługi jest członkiem grupy Usług kompilacji. Należy również upewnić się, że konto ma uprawnienia do odczytu/zapisu do folderów tymczasowych i folderu tymczasowego ASP.NET. Podobnie, jeśli zmienisz konto usługi serwera proxy serwera Team Foundation Server, musisz upewnić się, że konto jest członkiem odpowiednich grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie systemu kompilacji.
Pytania i odpowiedzi
Pyt.: Czy konta usług są przypisane do grupy poziomu dostępu?
A: Domyślnie konta usług są dodawane do domyślnego poziomu dostępu. Jeśli ustawisz opcję Uczestnik projektu jako domyślny poziom dostępu, musisz dodać konto usługi Azure DevOps Server do grupy Podstawowa lub Zaawansowana.
Pyt.: Czy konta usług wymagają licencji?
A: Nr. Konta usług nie wymagają oddzielnej licencji.
Pyt.: Jak mogę zmienić hasło lub konto dla konta usługi?
A: Zobacz Zmienianie konta usługi lub hasła