服務帳戶與相依性

Azure DevOps Server 2022 |Azure DevOps Server 2020 |Azure DevOps Server 2019

如果您瞭解每個 Azure DevOps 部署所包含的服務和數個服務帳戶，以及每個部署相依於的服務帳戶，您可以更妥善地管理 Azure DevOps Server。 視您安裝及設定 Azure DevOps 的方式而定，這些服務和服務帳戶可能全部在一部電腦上執行，或可能會在許多電腦上執行。 這將會變更管理部署的某些層面。 例如，如果部署的伺服器端元件會在一部以上的電腦上執行，就必須確保您的部署所使用的服務帳戶擁有正常運作所需的存取及使用權限。

Azure DevOps Server 具有在部署中的下列電腦上執行的服務和服務帳戶：

• 裝載一或多個資料庫的任何伺服器 Azure DevOps Server
• 裝載應用層元件的任何伺服器 Azure DevOps Server
• 任何執行 Azure DevOps Server Proxy 的電腦
• 任何組建電腦
• 任何測試電腦

您可以透過各種方式安裝及部署 Azure DevOps Server 的不同功能。 您在部署中的功能分配會決定要在哪些實體電腦上執行哪些服務和服務帳戶。 此外，您可能需要針對設定為使用 Azure DevOps Server 的軟體程式管理服務帳戶，例如 SQL Server的服務帳戶。

服務帳戶

雖然 Azure DevOps Server 使用數個服務帳戶，但您可以針對大部分或全部帳戶使用相同的網域或工作組帳戶。 例如，您可以使用與 Azure DevOps Server (TFSService) 的服務帳戶相同的網域帳戶Contoso\\Example，以及 SQL Server Reporting Services (TFSReports) 的數據源帳戶。 不過，不同的服務帳戶也需要不同的使用權限層級。 例如， TFSService 必須具有 「以服務方式登入」 許可權， 而 TFSReports 必須具有 「允許本機登入 」許可權。 如果您針對這兩者使用相同的帳戶 Contoso\\Example ，則必須授與這兩個許可權。 此外， TFSService 需要比 TFSReports 所需的許可權更能正確運作，如本主題稍後的表格所示。 為了安全性目的，您應考慮對這兩個服務帳戶使用不同的帳戶。

重要

您不得使用用來安裝 Azure DevOps Server 的帳戶作為其中一個服務帳戶的帳戶。

如果您已在 Active Directory 網域中部署 Azure DevOps Server，您應該設定帳戶是機密的，而且無法委派服務帳戶的選項。 例如，在下表中，您應該為 TFSService 設定該選項。 For more information about required service accounts and placeholder names used in documentation for Azure DevOps Server see the topic "Accounts required for installation of Azure DevOps Server" in the installation guide for Team Foundation. 如需 Active Directory 中帳戶委派的詳細資訊，請參閱 Microsoft 網站上的下列頁面： 在 Active Directory 中委派授權單位。

因為您必須管理數個服務帳戶，所以每個服務帳戶都由預留位置名稱參照以指示其功能，如本主題後面的表格所示。 預留位置名稱不是您用於每個服務帳戶的實際帳戶名稱。 帳戶的實際帳戶名稱會根據您的部署而有所不同。 在上述範例中，用於 TFSService 和 TFSReports 的 帳戶是 Contoso\\Example。 在您自己的部署中，您可以建立具有 和 TFSReports特定名稱的TFSService網域帳戶，或者您可以使用系統帳戶網路服務作為 Team Foundation Server 的服務帳戶。

重要

除非另有明確說明，否則下表中沒有任何群組或帳戶應該是部署 Azure DevOps Server 中任何伺服器上的 Administrators 群組成員。

下表列出大部分可能用於部署 Azure DevOps Server 的服務帳戶。 如需此處未列出的其他服務帳戶，請參閱 許可權和群組、服務帳戶。

服務帳戶

預留位置名稱和可用帳戶類型

必要的使用權限和群組成員資格

注意事項

---

Azure DevOps Services

Account Service (CollectionName)

無。 只有在您使用 Azure DevOps 的託管部署時，才會使用此帳戶。

當您在 Azure DevOps Services 中建立組織時，會自動為您建立。 當用戶端與託管服務通訊，而且可以透過入口網站管理頁面檢視時，就會使用它。

測試代理程式和測試代理程式控制器

TFSTest：可以是網域中的本機帳戶、網域帳戶或網路服務。

登入為服務

在測試代理程式控制器與測試代理程式之間通訊測試的相關信息時使用。

---

服務帳戶下執行的服務

下表列出在內部部署 Azure DevOps 部署中的服務帳戶下執行的服務。

服務名稱	服務帳戶	邏輯層
程式碼涵蓋範圍服務	TFSService	應用程式層
Azure DevOps Server Web 服務	TFSService	應用程式層
如果使用具名實例 ，SQL Server Reporting Services (MSSQLSERVER 或 InstanceName)	本機系統或網域帳戶	應用程式層
報告 Web 服務	本機系統、網路服務或網域帳戶	應用程式層
如果已安裝 Team Foundation Build) ，Visual Studio Team Foundation Build Service Host (	TFSBuild	組建電腦
Visual Studio Team Foundation 背景工作代理程式	TFSService	應用程式層
Visual Studio Test Controller	TFSTest	任何電腦
Visual Studio Test Agent	TFSTest	測試電腦
如果您使用具名實例，Analysis Server (MSSQLSERVER 或 InstanceName)	本機系統或網域帳戶	資料層
SQL Server Browser	本機服務或網域帳戶	資料層
如果使用具名實例，SQL Server (MSSQLSERVER 或 InstanceName)	本機系統、網路服務或網域帳戶	資料層
如果使用具名實例 SQL Server Agent (MSSQLSERVER 或 InstanceName)	本機系統、網路服務或網域帳戶	資料層
Account Service (CollectionName)	自動	僅限 web 層 (Azure DevOps Services)

如需 SQL Server 服務帳戶的詳細資訊，請參閱 Microsoft 網站上的下列頁面：SQL Server 在線叢書。 如需有關 Azure DevOps Server 服務帳戶的最新資訊，請參閱安裝和設定 Azure DevOps 內部部署。

注意

如果您變更 Team Foundation Build 的服務帳戶，您必須確定新的服務帳戶是 Build Services 群組的成員。 您也必須確定此帳戶對暫存資料夾、以及 ASP.NET 暫存資料夾具有讀取/寫入權限。 同樣地，如果您變更 Team Foundation Server Proxy 服務的服務帳戶，您必須確定該帳戶是適當群組的成員。 如需詳細資訊，請參閱 設定您的組建系統。

問答集

問：服務帳戶會指派給存取層級群組嗎？

答： 根據預設，服務帳戶會新增至預設存取層級。 如果您讓專案關係人成為預設存取層級，則必須將 Azure DevOps Server 服務帳戶新增至基本或進階群組。

問：服務帳戶需要授權嗎？

答：否。 服務帳戶不需要個別的授權。

問：如何? 變更服務帳戶的密碼或帳戶？

答： 請參閱 變更服務帳戶或密碼

相關文章

• 變更 SQL Server Reporting Services 服務帳戶或密碼
• 變更 Azure DevOps 的服務帳戶或密碼