Konfigurowanie grup do użycia w środowisku lokalnym usługi Azure DevOps
Azure DevOps Server 2022 r. | Azure DevOps Server 2020 r. | Azure DevOps Server 2019 r.
Zarządzanie użytkownikami w Azure DevOps Server jest znacznie łatwiejsze w przypadku tworzenia grup systemu Windows lub Active Directory, szczególnie jeśli wdrożenie obejmuje SQL Server Reporting Services.
Użytkownicy, grupy i uprawnienia we wdrożeniach Azure DevOps Server
Azure DevOps Server i SQL Server Reporting Services wszystkie utrzymują własne informacje o grupach, użytkownikach i uprawnieniach. Aby ułatwić zarządzanie użytkownikami i uprawnieniami w tych programach, można tworzyć grupy użytkowników z podobnymi wymaganiami dostępu we wdrożeniu, przyznać tym grupom odpowiedni dostęp w różnych programach oprogramowania, a następnie po prostu dodać lub usunąć użytkowników z grupy zgodnie z potrzebami. Jest to znacznie łatwiejsze niż utrzymywanie poszczególnych użytkowników lub grup użytkowników oddzielnie w trzech oddzielnych programach.
Jeśli serwer znajduje się w domenie usługi Active Directory, jedną z opcji jest utworzenie określonych grup usługi Active Directory do zarządzania użytkownikami, takich jak grupa deweloperów i testerów dla wszystkich projektów w kolekcji projektów lub grupa użytkowników, którzy mogą tworzyć i administrować projektami w kolekcji. Podobnie można utworzyć konto usługi Active Directory dla usług, których nie można skonfigurować do używania konta systemowego usługi sieciowej jako konta usługi. W tym celu utwórz konto usługi Active Directory dla konta źródła danych dostępu do odczytu dla raportów w SQL Server Reporting Services.
Ważne
Jeśli zdecydujesz się używać grup usługi Active Directory w Azure DevOps Server, rozważ utworzenie określonych grup, których celem jest zarządzanie użytkownikami w Azure DevOps Server. Użycie wcześniej istniejących grup, które zostały utworzone w innym celu, szczególnie jeśli są zarządzane przez inne osoby, które nie znają Azure DevOps Server, mogą prowadzić do nieoczekiwanych konsekwencji użytkownika, gdy zmiany członkostwa w celu obsługi niektórych innych funkcji.
Domyślnym wyborem podczas instalacji jest użycie konta systemu usługi sieciowej jako konta usługi dla Azure DevOps Server i SQL Server. Jeśli chcesz użyć określonego konta jako konta usługi do celów zabezpieczeń lub innych powodów, takich jak wdrożenie skalowane w poziomie, możesz. Możesz również utworzyć określone konto usługi Active Directory do użycia jako konto usługi dla konta czytelnika źródła danych dla SQL Server Reporting Services.
Jeśli serwer znajduje się w domenie usługi Active Directory, ale nie masz uprawnień do tworzenia grup lub kont usługi Active Directory lub jeśli instalujesz serwer w grupie roboczej zamiast domeny, możesz utworzyć i użyć grup lokalnych do zarządzania użytkownikami w SQL Server i Azure DevOps Server. Podobnie możesz utworzyć konto lokalne do użycia jako konto usługi. Należy jednak pamiętać, że lokalne grupy i konta nie są tak niezawodne, jak grupy domen i konta. Na przykład w przypadku awarii serwera należy ponownie utworzyć grupy i konta od podstaw na nowym serwerze. Jeśli używasz grup i kont usługi Active Directory, grupy i konta zostaną zachowane, nawet jeśli serwer hostuje Azure DevOps Server zakończy się niepowodzeniem.
Na przykład po przejrzeniu wymagań biznesowych dotyczących nowego wdrożenia i wymagań dotyczących zabezpieczeń z menedżerami projektów możesz zdecydować się na utworzenie trzech grup do zarządzania większością użytkowników we wdrożeniu:
Grupa ogólna dla deweloperów i testerów, którzy będą w pełni uczestniczyć we wszystkich projektach w domyślnej kolekcji projektów. Ta grupa będzie zawierać większość użytkowników. Tę grupę można nazwać TFS_ProjectContributors.
Mała grupa administratorów projektów, którzy będą mieli uprawnienia do tworzenia projektów i zarządzania nimi w kolekcji. Tę grupę można nazwać TFS_ProjectAdmins.
Specjalna, ograniczona grupa wykonawców, którzy będą mieli dostęp tylko do jednego z projektów. Możesz nazwać tę grupę TFS_RestrictedAccess.
Później, w miarę rozszerzania wdrożenia, możesz zdecydować się na utworzenie innych grup.
Aby utworzyć grupę w usłudze Active Directory
- Utwórz grupę zabezpieczeń, która jest domeną lokalną, globalną lub uniwersalną grupą w usłudze Active Directory, zgodnie z najlepszymi potrzebami biznesowymi. Jeśli na przykład grupa musi zawierać użytkowników z więcej niż jednej domeny, typ grupy uniwersalnej najlepiej odpowiada Twoim potrzebom. Aby uzyskać więcej informacji, zobacz Tworzenie nowej grupy (Active Directory Domain Services).
Aby utworzyć grupę lokalną na serwerze
- Utwórz grupę lokalną i nadaj jej nazwę, która szybko zidentyfikuje swój cel. Domyślnie każda utworzona grupa będzie miała równoważne uprawnienia domyślnej grupy Użytkownicy na tym komputerze. Aby uzyskać więcej informacji, zobacz Tworzenie grupy lokalnej.
Aby utworzyć konto do użycia jako konto usługi w usłudze Active Directory
- Utwórz konto w usłudze Active Directory, ustaw zasady haseł zgodnie z wymaganiami biznesowymi i upewnij się, że konto jest zaufane dla delegowania dla konta. Aby uzyskać więcej informacji, zobacz Tworzenie nowego konta użytkownika (Active Directory Domain Services) i Opis kont użytkowników (Active Directory Domain Services).
Aby utworzyć konto lokalne do użycia jako konto usługi na serwerze
- Utwórz konto lokalne do użycia jako konto usługi, a następnie zmodyfikuj jego członkostwo w grupie i inne właściwości zgodnie z wymaganiami dotyczącymi zabezpieczeń firmy. Aby uzyskać więcej informacji, zobacz Tworzenie konta użytkownika lokalnego.
Spróbuj wykonać tę następną próbę
Pytania i odpowiedzi
Pyt.: Czy mogę użyć grup w celu ograniczenia dostępu do projektów lub funkcji w Azure DevOps Server?
A: Tak, możesz. Możesz utworzyć określone grupy do udzielania lub ograniczania dostępu do wybranych funkcji, funkcji i projektów w celu zarządzania poziomami dostępu i innymi celami.