设置用于本地 Azure DevOps 的组

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

备注

Azure DevOps Server 以前名为 Visual Studio Team Foundation Server。

如果为其创建 Windows 或 Active Directory 组,则在 Azure DevOps Server 中管理用户要容易得多,特别是在部署包括 SharePoint Foundation 和 SQL Server Reporting Services 的情况下。

Azure DevOps Server 部署中的用户、组和权限

Azure DevOps Server、SharePoint 产品和 SQL Server Reporting Services 都维护其自己的有关组、用户和权限的信息。 若要使在这些程序中管理用户和权限变得更加简单,您可使用部署中的类似访问要求创建用户组,在不同的软件程序中向这些组提供相应的访问权限,然后根据需要在组中添加或移除用户。 这比在三个不同的程序中单独保留各个用户或用户组要容易得多。

如果您的服务器位于 Active Directory 域中,则一种选择是创建特定的 Active Directory 组来管理您的用户,例如项目集合中所有项目的一组开发人员和测试人员,或可以在集合中创建和管理项目的一组用户。 同样,您可为不能配置为使用 Network Service 系统帐户作为服务帐户的服务创建一个 Active Directory 帐户。 为此,请为 SharePoint Foundation 创建一个 Active Directory 帐户,作为 SQL Server Reporting Services 中报表的读取访问数据源帐户。

重要

如果你决定在 Azure DevOps Server 中使用 Active Directory 组,请考虑创建其用途专用于 Azure DevOps Server 中的用户管理的特定组。 使用以前为其他目的而创建的现有组,特别是在这些组不熟悉 Azure DevOps Server 的情况下,当成员身份更改以支持某个其他功能时,这会导致意外的用户后果。

在安装过程中,默认选择是使用 Network service 系统帐户作为 Azure DevOps Server 和 SQL Server 的服务帐户。 如果要为安全起见或其他原因(如扩展部署)使用特定帐户作为服务帐户,则可这样做。 您也许还想创建一个特定的 Active Directory 帐户用作 SharePoint Foundation 的服务帐户,并用作 SQL Server Reporting Services 的数据源读取器帐户。

如果你的服务器在 Active Directory 域中,但你无权创建 Active Directory 组或帐户,或者如果要在工作组而不是域中安装服务器,则可以创建和使用本地组来管理跨 SQL Server、SharePoint Foundation 和 Azure DevOps Server 的用户。 同样,您可创建一个本地帐户用作服务帐户。 但是,请记住本地组和帐户不如域组和帐户可靠。 例如,在出现服务器故障的情况下,您需要在新服务器上从头开始重新创建组和帐户。 如果使用 Active Directory 组和帐户,即使承载 Azure DevOps Server 的服务器发生故障,也会保留这些组和帐户。

例如,在与项目经理一起评审新部署的业务要求和安全要求之后,您可决定创建三个组来管理部署中的大部分用户:

  • 适用于将完全参与默认项目集合中所有项目的开发人员和测试人员的常规组。 此组将包含大部分用户。 可以将此组命名为 TFS _ ProjectContributors。

  • 一小组有权在集合中创建和管理项目的项目管理员。 可以将此组命名为 TFS _ ProjectAdmins。

  • 一个特殊的、受限的承包商组,这些承包商仅对其中一个项目具有访问权限。 可以将此组命名为 TFS _ RestrictedAccess。

之后,随着部署扩展,您可能会决定创建其他组。

创建 Active Directory 组

  • 在 Active Directory 中创建一个属于本地域、全局或通用组的安全组,以最好地满足您的业务需求。 例如,如果此组需要包含来自多个域的用户,则通用组类型将最适合您的需求。 有关详细信息,请参阅 创建新组 (Active Directory 域服务)

在服务器上创建本地组

  • 创建一个本地组并为其指定可以快速识别其用途的名称。 默认情况下,您创建的任何组将具有与该计算机上“用户”默认组等效的权限。 有关详细信息,请参阅 创建本地组

在 Active Directory 中创建一个帐户用作服务帐户

在服务器上创建一个本地帐户用作服务帐户

  • 创建一个本地帐户用作服务帐户,然后根据业务的安全需求修改其组成员资格以及其他属性。 有关详细信息,请参阅 创建本地用户帐户

接下来尝试此操作

问题解答

问:我是否可以使用组来限制对 Azure DevOps Server 中项目或功能的访问?

答: 可以。 你可以创建特定的组,以便 授予或限制对所选功能、功能和项目的访问权限,以 管理访问级别和其他目的。