Учетные записи служб и зависимости

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 — TFS 2013

Примечание

Предложение Azure DevOps Server раньше называлось Visual Studio Team Foundation Server.

Вы можете лучше управлять Visual Studio Team Foundation Server (TFS), если вы понимаете службы и несколько учетных записей служб, включенных в каждое развертывание TFS, и в зависимости от каждого развертывания. В зависимости от способа установки и настройки TFS все эти службы и учетные записи служб могут быть запущены на одном или нескольких компьютерах. Это влияет на определенные аспекты управления развертыванием. Например, если серверные компоненты развертывания запущены на нескольких компьютерах, необходимо убедиться, что учетные записи служб, используемые для развертывания, имеют необходимые уровни доступа и разрешения.

Team Foundation Server содержит службы и учетные записи служб, которые выполняются на следующих компьютерах в развертывании:

  • любой сервер, на котором размещается одна или несколько баз данных для Team Foundation Server
  • любой сервер, на котором размещаются компоненты уровня приложения для Team Foundation
  • любой компьютер, на котором работает прокси Team Foundation Server
  • любой компьютер построения;
  • любая тестовая машина;
  • любой компьютер, на котором выполняются один или несколько компонентов Visual Studio Lab Management

Различные компоненты TFS можно устанавливать и развертывать разными способами. Распределение функций в развертывании определяет, какие службы и учетные записи служб используются на каждом физическом компьютере. Кроме того, может потребоваться управление учетными записями служб для программного обеспечения, настроенного для работы с TFS, например учетные записи служб для продуктов SharePoint и SQL Server.

учетные записи служб;

Хотя TFS использует несколько учетных записей служб, можно использовать один домен или учетную запись рабочей группы для всех или большинства из них. Например, можно использовать одну учетную запись домена contoso example в \ качестве учетной записи службы для Team Foundation Server (TFSService) и учетной записи источников данных для SQL Server Reporting Services (TFSReports). Однако некоторые учетные записи служб могут требовать разрешений различных уровней. Например, TFSService должна иметь разрешение на вход в качестве службы , а TFSReports должно иметь разрешение локальный вход в систему . При использовании одной и той же учетной записи "Contoso \ example" для обоих этих разрешений необходимо предоставить им оба этих разрешения. Кроме того, для правильной работы TFSService требуется значительно больше разрешений, чем требуется для TFSReports , как показано в таблице ниже в этом разделе. В целях безопасности необходимо рассмотреть возможность использования отдельных учетных записей для этих двух учетных записей служб.

Важно!

Не следует использовать учетную запись, которая использовалась для установки Team Foundation Server в качестве учетной записи для любой из этих учетных записей служб.

Если вы развернули Team Foundation Server в домене Active Directory, то для учетных записей служб следует задать параметр учетная запись конфиденциальная и не может быть делегирована . Например, в следующей таблице необходимо задать этот параметр для TFSService. Дополнительные сведения о необходимых учетных записях служб и именах заполнителей, используемых в документации для Team Foundation Server, см. в разделе "учетные записи, необходимые для установки Team Foundation Server" руководства по установке Team Foundation. Дополнительные сведения о делегировании учетных записей в Active Directory см. на следующей странице веб-сайта Майкрософт: Делегирование полномочий в Active Directory.

Поскольку необходимо управлять несколькими учетными записями служб, каждая учетная запись службы обозначается заполнителем, который отражает ее назначение по списку ниже в данном разделе. Имя заполнителя не является фактическим именем учетной записи, используемым для каждой учетной записи службы. Фактическое имя учетной записи зависит от развертывания. В предыдущем примере учетная запись, используемая для TFSService и TFSReports , была "Contoso \ example". В собственном развертывании можно создать учетные записи домена с именами "TFSService" и "TFSReports" или использовать сетевую учетную запись в качестве учетной записи службы для Team Foundation Server.

Важно!

Если не указано иное, группы или учетные записи в следующей таблице не должны быть членами группы администраторов на любом из серверов в развертывании Team Foundation Server.

В следующей таблице приведены все учетные записи служб, которые могут использоваться в развертывании TFS:

Учетная запись службы Имя заполнителя и тип возможной учетной записи Требуемое разрешение и членство в группе Примечания
Учетная запись службы для Team Foundation Server TFSService, которая может быть локальной учетной записью, учетной записью домена, локальной службой в Рабочей группе или сетевой службой в домене. Вход в качестве службы на сервере уровня приложений
Группа администраторов фермы для любых веб-приложений SharePoint, которые Team Foundation Server uses1
TFSEXECROLE или, если эта роль не существует для базы данных, сочетание следующих ролей для всех баз данных, которые Team Foundation Server использует:
* db_owner
* db_create
Эта учетная запись службы используется для всех веб-служб для Team Foundation Server. Если в качестве данной учетной записи используется учетная запись домена, она должна быть членом домена, которому полностью доверяют все компьютеры в развертывании.
Учетная запись источников данных для SQL Server Reporting Services TFSReports, которая может быть локальной учетной записью, учетной записью домена или локальной службой в Рабочей группе Локальный Вход в систему на сервере уровня приложений и на сервере, на котором работает SQL Server Reporting Services
TFSWareHouseDataReader на сервере отчетов
Данная учетная запись службы получает данные для отчетов от служб отчетов.
Учетная запись службы для Team Foundation Build TFSBuild, который может быть локальной учетной записью, учетной записью домена или локальной службой в Рабочей группе Вход в систему в качестве службы. Данная учетная запись службы используется, когда построения настроены и информация о состоянии построения передается между контроллером построений и агентами построения.
Учетная запись службы для Lab Management Тфслаб. это может быть локальная учетная запись, учетная запись домена, локальная служба в Рабочей группе или сетевая служба в домене. Вход в систему в качестве службы. Эта учетная запись службы используется, когда сведения о Lab Management обмениваются данными между Team Foundation Server и агентом лаборатории, работающим на виртуальной машине.
Учетная запись службы для прокси Team Foundation Server Тфспрокси. это может быть локальная учетная запись, учетная запись домена, локальная служба в Рабочей группе или сетевая служба в домене. Вход в систему в качестве службы. Данная учетная запись службы используется для всех прокси-служб. Если в качестве данной учетной записи используется учетная запись домена, она должна быть членом домена, которому полностью доверяют все компьютеры в развертывании.
Учетная запись службы для агента тестирования и контроллера агентов тестирования Тфстест, который может быть локальной учетной записью, учетной записью домена или сетевой службой в домене. Вход в систему в качестве службы. Данная учетная запись службы используется, когда информация о тестах передается между контроллером агентов тестирования и агентом тестирования.
Учетные записи служб для веб-приложений SharePoint вебаппсервице Локальный вход в систему Необходимо добавить по крайней мере одну учетную запись службы для каждого веб-приложения SharePoint, настроенного для использования с Team Foundation Server. Эта учетная запись службы используется для создания порталов проектов и для включения функций панели мониторинга.
Учетная запись службы для Azure DevOps Services Служба учетных записей (CollectionName) Нет. Эта учетная запись используется только при использовании размещенного развертывания TFS. Она создается автоматически, ее можно просмотреть через страницу администрирования Team Web Access. Эта учетная запись службы создается автоматически при создании коллекции в Azure DevOps Services и используется, когда клиенты обмениваются данными с размещенной службой.

1 вы можете интегрировать развертывание с продуктами SharePoint без этого разрешения, но если учетная запись службы не является членом группы администраторов фермы, необходимо выполнить дополнительные действия. Дополнительные сведения см. в статье интеграция Team Foundation Server с продуктами SharePoint без прав администратора.

Службы, работающие под учетными записями служб

Следующие службы выполняются в учетных записях служб в развертывании Team Foundation Server:

Имя службы Учетная запись службы Логический уровень
Служба покрытия кода TFSService уровень приложений
Веб-службы Team Foundation Server TFSService уровень приложений
SQL Server Reporting Services (MSSQLSERVER или instanceName при использовании именованного экземпляра) Local System или доменная учетная запись уровень приложений
Веб-служба отчетов Локальная система, сетевая служба или учетная запись домена уровень приложений
Администрирование SharePoint (если продукты SharePoint установлены и настроены для использования с Team Foundation Server) Локальная система, сетевая служба или учетная запись домена уровень приложений
Таймер SharePoint (если продукты SharePoint установлены и настроены для использования с Team Foundation Server) Доменная учетная запись уровень приложений
Узел службы сборок Visual Studio Team Foundation (если установлена сборка Team Foundation) TFSBuild компьютер построения
Агент фоновых заданий Visual Studio Team Foundation TFSService уровень приложений
Контроллер тестирования Visual Studio тфстест любой компьютер
Агент тестирования Visual Studio тфстест тестовый компьютер
Сервер анализа данных (MSSQLSERVER или instanceName , если используется именованный экземпляр) Local System или доменная учетная запись уровень данных
Обозреватель SQL Server Локальная служба или доменная учетная запись уровень данных
SQL Server (MSSQLServer или instanceName при использовании именованного экземпляра) Локальная система, сетевая служба или учетная запись домена уровень данных
Агент SQL Server (MSSQLServer или instanceName при использовании именованного экземпляра) Локальная система, сетевая служба или учетная запись домена уровень данных
Служба учетных записей (CollectionName) Автоматически веб-уровень (только Azure DevOps Services)

Дополнительные сведения об учетных записях служб для SQL Server см. на следующей странице веб-сайта корпорации Майкрософт: Электронная документация на SQL Server. Самые последние сведения об учетных записях служб в Team Foundation см. в разделе Team Foundation Server установки.

Примечание

При изменении учетной записи службы для Team Foundation Build необходимо убедиться, что новая учетная запись службы является членом группы "службы сборок". Также необходимо убедиться, что учетная запись имеет разрешения на чтение и запись для папок временных файлов и временной папки ASP.NET. Аналогичным образом, если изменить учетную запись службы для прокси Team Foundation Server службы, необходимо убедиться, что учетная запись является членом соответствующих групп. Дополнительные сведения см. в разделе Настройка системы сборки.

Вопросы и ответы

Вопрос. Учетные записи служб назначаются группе уровня доступа?

Ответ . По умолчанию учетные записи служб добавляются к уровню доступа по умолчанию. Если вы сделаете заинтересованное лицо уровнем доступа по умолчанию, необходимо добавить учетную запись службы TFS в группу Basic или Advanced.

Вопрос. Для учетных записей служб требуется лицензия?

Ответ. Нет. Для учетных записей служб не требуется отдельная лицензия.

Вопрос. Разделы справки изменить пароль или учетную запись службы?