變更 Azure DevOps Server的服務帳戶或密碼
Azure DevOps Server 2022 |Azure DevOps Server 2020 |Azure DevOps Server 2019
您可以變更服務帳戶或用於該帳戶的密碼,協助改善 Azure DevOps Server 的安全性。 Azure DevOps Server 會在服務帳戶的內容中執行服務,例如其 Web 服務和 Team Foundation Background Job Agent。
Azure DevOps Server 檔會將此服務帳戶稱為 TFSService,但除非您特別建立具有該名稱的帳戶,否則這不是帳戶的實際名稱。 Azure DevOps Server 會儲存做為其服務帳戶之實際帳戶名稱的記錄。 透過變更此記錄,您就可以指派要當做服務帳戶的不同帳戶。 您也可以變更該帳戶的密碼。 不論您變更帳戶、密碼或這兩者,都將與部署中的其他元件保持同步。 例如,如果 Active Directory 網域原則要求所有密碼定期到期,您可以在密碼變更時更新服務帳戶的密碼資訊,Azure DevOps Server。
注意
Azure DevOps Server 及其公用程式無法建立新的本機或網域帳戶作為 TFSService 使用,而且無法更新工作組或網域中該帳戶的密碼。 相反地,這些公用程式會更新記錄,使其符合新的認證。 如果您的部署包含一個以上的應用層伺服器,您必須使用服務帳戶或其密碼的任何變更,手動更新每部伺服器。
如需 Azure DevOps Server 中服務帳戶的詳細資訊,請參閱 Azure DevOps Server 中的服務帳戶和相依性。 如需安裝所需帳戶的詳細資訊,包括 Azure DevOps Server的服務帳戶,請參閱服務帳戶需求。
必要條件
- 若要執行這些程式,您必須是 Azure DevOps 應用層伺服器上的 Administrators 群組成員,以及裝載 Azure DevOps 組態資料庫之伺服器和實例上系統管理員群組的成員,以及裝載 Azure DevOps 之組態資料庫的 SQL Server 實例。 如需詳細資訊,請參閱 Azure DevOps Server 架構和 Azure DevOps Server 的許可權參考。
若要遵循命令列程式,您可能需要開啟提升許可權的 [命令提示字元] 視窗。 開啟命令提示字元的操作功能表,然後選取 [ 以系統管理員身分執行]。 如需詳細資訊,請參閱使用者帳戶控制。
變更服務帳戶的密碼
若要變更 TFSService 的密碼,您必須登入 Azure DevOps 應用層伺服器,並使用 Azure DevOps 的管理控制台,或開啟 [命令提示字元] 視窗,並使用 TFSConfig 命令行公用程式。 如果您的部署包含多個應用層伺服器,您必須在每部伺服器上執行這項工作,以保持帳戶資訊同步。
注意
根據您的部署設定,您可能需要在完成程序之後重新啟動 Internet Information Services (IIS) ,變更才會生效。
使用管理主控台來變更密碼
在裝載應用層的伺服器上,開啟 Azure DevOps 的管理控制台。
如需詳細資訊,請參閱開啟 Azure DevOps Server 管理主控台 。
在控制台中,展開伺服器名稱,然後選取 [應用層]。
在 [應用層] 窗格中,選取 [ 更新帳戶密碼]。
[ 更新帳戶密碼] 視窗隨即開啟。
注意
如果您使用系統帳戶作為服務帳戶,當您選取 [ 更新帳戶密碼] 時,將會看到錯誤訊息。 您不需要變更該帳戶的密碼。 系統帳戶沒有使用者可管理的密碼。
在 [ 密碼] 中輸入新密碼,然後選取 [ 確定]。
[ 變更服務帳戶 ] 視窗隨即開啟。
等候所有狀態消息在 [ 狀態] 中完成,然後選取 [ 關閉]。
注意
此流程可能需要幾分鐘的時間。
使用 TFSConfig 公用程式來變更密碼
在應用層伺服器上,開啟 [命令提示字元] 視窗,並將目錄變更為包含 TFSConfig 公用程式的目錄。
根據預設,此公用程式位於 Drive:\Program Files\TFS 12.0\Tools 中。
在命令行中,輸入 TFSConfig 帳戶 /UpdatePassword /accountType:ApplicationTier /account:AccountName/password:NewPassword,然後按 ENTER。
您必須指定服務帳戶的名稱 (AccountName) 和帳戶 (NewPassword) 的密碼。
指派不同的帳戶做為服務帳戶
若要將 Azure DevOps Server 設定為使用不同的帳戶作為 Azure DevOps 的服務帳戶,您可以使用管理控制台或 TFSConfig 命令行公用程式。 如果您的部署包含多個應用層伺服器,您必須在每部伺服器上執行這項工作,以保持帳戶資訊同步。 使用任一公用程式來進行變更之前,請考慮下列問題:
- 您必須選擇屬於系統帳戶或工作組或網域成員的新帳戶,此部署 Azure DevOps Server的每部計算機都信任該帳戶。
- 設定公用程式會將 登入即服務 許可權授與新服務帳戶。 不過,如果另一個服務仍使用該帳戶,公用程式不會撤銷先前用來作為服務帳戶的帳戶的此許可權。 如果舊帳戶不再需要該許可權給仍在使用中的服務,您可能想要手動從舊帳戶移除該許可權。
如需詳細資訊,請參閱 Add the Log on as a service right to an account (將作為服務登入的權限新增至帳戶)。
- 在完成程序之後,您可能需要重新啟動 IIS,變更才會生效。
- TFSConfig 公用程式只會變更在舊帳戶下執行的服務。
使用管理主控台來變更服務帳戶
在裝載應用層的伺服器上,開啟 Azure DevOps 的管理控制台。
在控制台中,展開伺服器名稱,然後選取 [應用層]。
在 [ 應用層] 窗格中,選取 [ 變更帳戶]。
[ 更新服務帳戶 ] 視窗隨即開啟。
請執行下列其中一個步驟:
若要使用系統帳戶,請選取 [ 使用系統帳戶],然後從下拉式清單中選取系統帳戶。
如果您的伺服器是 Active Directory 網域的成員,則使用之服務帳戶的預設選項是 Network Service。 如果您的伺服器是工作群組的成員,則預設選項會是 Local Service。 根據部署的詳細數據,預設選擇可能是唯一可用的選擇。
注意
系統帳戶沒有使用者可管理的密碼。 如果您使用系統帳戶作為 TFSService,則不應該在密碼欄位中輸入密碼。
若要使用網域或工作組帳戶,請選取 [ 使用使用者帳戶],在 [帳戶 名稱] 中輸入帳戶的名稱,然後在 [ 密碼] 中輸入該帳戶的密碼。
選取 [確定]。
[ 變更服務帳戶 ] 視窗隨即開啟。
等候所有狀態消息在 [ 狀態] 中完成,然後選取 [ 關閉]。
注意
此流程可能需要幾分鐘的時間。
使用 TFSConfig 公用程式來變更服務帳戶
在應用層伺服器上,開啟 [命令提示字元] 視窗,並將目錄變更為包含 TFSConfig 公用程式的目錄。
根據預設,此公用程式位於 Drive:\Program Files\TFS 12.0\Tools 中。
在命令行中,輸入 TFSConfig Accounts /change /accountType:ApplicationTier /account:AccountName/password:NewPassword,然後按 ENTER。
如需詳細資訊,請參閱 Accounts 命令。