Účty služeb a závislosti

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Azure DevOps Server můžete lépe spravovat, pokud rozumíte službám a několika účtům služeb, které každé nasazení Azure DevOps zahrnuje a na kterém každé nasazení závisí. V závislosti na tom, jak jste nainstalovali a nakonfigurovali Azure DevOps, můžou všechny tyto služby a účty služeb běžet na jednom počítači nebo můžou běžet na mnoha počítačích. Tím se změní určité aspekty správy nasazení. Pokud například součásti nasazení na straně serveru běží na více než jednom počítači, musíte zajistit, aby účty služeb, které vaše nasazení používá, měly přístup a oprávnění, která vyžadují, aby fungovaly správně.

Azure DevOps Server obsahuje služby a účty služeb, které běží na následujících počítačích v nasazení:

  • jakýkoli server, který je hostitelem jedné nebo více databází pro Azure DevOps Server
  • jakýkoli server, který je hostitelem součástí aplikační vrstvy pro Azure DevOps Server
  • jakýkoli počítač se spuštěným proxy serverem Azure DevOps
  • libovolný počítač sestavení
  • jakýkoli testovací počítač

Různé způsoby můžete nainstalovat a nasadit různé funkce Azure DevOps Serveru. Distribuce funkcí ve vašem nasazení určuje, jaké služby a účty služeb běží na kterých fyzických počítačích. Kromě toho možná budete muset spravovat účty služeb pro softwarové programy, které jsou nakonfigurované pro práci s Azure DevOps Serverem, jako jsou účty služeb pro SQL Server.

Service Accounts

I když Azure DevOps Server používá několik účtů služeb, můžete použít stejnou doménu nebo účet pracovní skupiny pro většinu nebo všechny z nich. Můžete například použít stejný účet Contoso\\Example domény jako účet služby pro Azure DevOps Server (TFSService) i účet zdrojů dat pro službu SQL Server Reporting Services (TFSReports). Různé účty služeb ale můžou vyžadovat různé úrovně oprávnění. Například TFSService musí mít oprávnění k přihlášení jako služby a TFSReports musí mít oprávnění Povolit místně. Pokud pro oba používáte stejný účet Contoso\\Example , musíte mu udělit obě tato oprávnění. Kromě toho TFSService vyžaduje, aby správně fungovalo mnohem více oprávnění než ty, které TFSReports vyžaduje, jak ukazuje tabulka dále v tomto tématu. Pro účely zabezpečení byste měli zvážit použití samostatných účtů pro tyto dva účty služeb.

Důležité

Účet, který jste použili k instalaci Azure DevOps Serveru, nesmíte použít jako účet pro některý z těchto účtů služeb.

Pokud jste nasadili Azure DevOps Server v doméně Active Directory, měli byste nastavit, aby účet byl citlivý a pro účty služeb není možné delegovat možnost. V následující tabulce byste například měli nastavit tuto možnost pro TFSService. Další informace o požadovaných účtech služeb a zástupných názvech používaných v dokumentaci k Azure DevOps Serveru najdete v tématu Účty požadované pro instalaci Azure DevOps Serveru v průvodci instalací pro Team Foundation. Další informace o delegování účtu ve službě Active Directory naleznete na následující stránce na webu společnosti Microsoft: Delegování autority ve službě Active Directory.

Vzhledem k tomu, že je nutné spravovat několik účtů služby, odkazuje každý účet služby na zástupný název, který identifikuje jeho funkci, jak je uvedeno v tabulce dále v tomto tématu. Zástupný název není skutečným názvem účtu, který používáte pro každý účet služby. Skutečný název účtu se liší v závislosti na vašem nasazení. V předchozím příkladu byl Contoso\\Exampleúčet použitý pro TFSService i TFSReports . Ve vlastním nasazení můžete vytvořit účty domény s konkrétními názvy TFSService a TFSReportsnebo můžete jako účet služby pro Team Foundation Server použít službu Network Service systémového účtu.

Důležité

Pokud není výslovně uvedeno jinak, nesmí být žádné skupiny ani účty v následující tabulce členy skupiny Administrators na žádném ze serverů ve vašem nasazení Azure DevOps Serveru.

Následující tabulka uvádí většinu účtů služeb, které se můžou použít při nasazení Azure DevOps Serveru. Další účty služeb, které tu nejsou uvedené, najdete v tématu Oprávnění a skupiny, Účty služeb.

Účet služby pro

Zástupný název a použitelný typ účtu

Požadovaná oprávnění a členství ve skupinách

Poznámky


Služby Azure DevOps

Account Service (CollectionName)

Nezaokrouhlovat. Tento účet se používá jenom v případě, že používáte hostované nasazení Azure DevOps.

Automaticky se pro vás vytvoří při vytváření organizace v Azure DevOps Services. Používá se, když klienti komunikují s hostovanou službou a dají se zobrazit prostřednictvím stránky pro správu webového portálu.

Azure DevOps Server

TFSService: může být místní účet, účet domény, místní služba v pracovní skupině nebo síťová služba v doméně.

Přihlášení jako služba na serveru aplikační vrstvy

Tento účet služby se používá pro všechny webové služby Azure DevOps. Pokud pro tento účet používáte účet domény, musí být členem domény, které všechny počítače v celém nasazení plně důvěřují.

Sestavení Team Foundation

TFSBuild, což může být místní účet, účet domény nebo místní služba v pracovní skupině

Přihlásit jako službu

Tento účet služby se používá při konfiguraci sestavení a při komunikaci informací o stavu sestavení mezi kontrolerem sestavení a agenty sestavení.

SQL Server Reporting Services

TFSReports, což může být místní účet, účet domény nebo místní služba v pracovní skupině

Povolte místní přihlášení na serveru aplikační vrstvy a na serveru, na kterém běží SQL Server Reporting Services
TFSWareHouseDataReader na serveru sestav.

Tento účet služby načte data pro sestavy ze služby Reporting Services.

Proxy serveru Azure DevOps

TFSProxy, což může být místní účet, účet domény, místní služba v pracovní skupině nebo síťová služba v doméně

Přihlásit jako službu

Používá se pro všechny proxy služby. Pokud pro tento účet používáte účet domény, musí být členem domény, které všechny počítače v celém nasazení plně důvěřují.

Testovací agent a kontroler testovacího agenta

TFSTest: může být místní účet, účet domény nebo síťová služba v doméně.

Přihlásit jako službu

Používá se při komunikaci informací o testech mezi kontrolerem testovacího agenta a testovacím agentem.


Služby, které běží v rámci účtů služeb

Následující tabulka uvádí služby, které běží pod účty služeb v místním nasazení Azure DevOps.

Název služby Účet služby Logická úroveň
Služba pokrytí kódu TFSService aplikační vrstva
Webové služby Azure DevOps Serveru TFSService aplikační vrstva
SQL Server Reporting Services (MSSQLSERVER nebo InstanceName , pokud používá pojmenovanou instanci) Místní systém nebo účet domény aplikační vrstva
Webová služba sestav Místní systém, síťová služba nebo účet domény aplikační vrstva
Visual Studio Team Foundation Build Service Host (pokud je nainstalovaný Team Foundation Build) TFSBuild sestavení počítače
Visual Studio Team Foundation – agent úlohy na pozadí TFSService aplikační vrstva
Visual Studio Test Controller TFSTest jakýkoli počítač
Visual Studio Test Agent TFSTest testovací počítač
Analysis Server (MSSQLSERVER nebo InstanceName , pokud používáte pojmenovanou instanci) Místní systém nebo účet domény datová vrstva
Prohlížeč SQL Serveru Místní služba nebo účet domény datová vrstva
SQL Server (MSSQLSERVER nebo InstanceName , pokud používá pojmenovanou instanci) Místní systém, síťová služba nebo účet domény datová vrstva
Agent SQL Serveru (MSSQLSERVER nebo InstanceName , pokud používá pojmenovanou instanci) Místní systém, síťová služba nebo účet domény datová vrstva
Account Service (CollectionName) Automatic (Automaticky) webová úroveň (pouze Azure DevOps Services)

Další informace o účtech služeb pro SQL Server naleznete na následující stránce na webu společnosti Microsoft: SQL Server Books Online. Nejnovější informace o účtech služby Azure DevOps Server najdete v tématu Instalace a konfigurace azure DevOps místně.

Poznámka:

Pokud změníte účet služby pro Team Foundation Build, musíte se ujistit, že je nový účet služby členem skupiny Build Services. Musíte také zajistit, aby měl účet oprávnění ke čtení a zápisu dočasných složek a ASP.NET dočasné složce. Podobně pokud změníte účet služby pro službu Proxy serveru Team Foundation Server, musíte se ujistit, že je účet členem příslušných skupin. Další informace najdete v tématu Konfigurace systému sestavení.

Otázky a odpovědi

Otázka: Jsou účty služeb přiřazené ke skupině na úrovni přístupu?

A: Ve výchozím nastavení se účty služeb přidají na výchozí úroveň přístupu. Pokud nastavíte úroveň přístupu účastníka jako výchozí, musíte přidat účet služby Azure DevOps Server do skupiny Basic nebo Advanced.

Otázka: Vyžadují účty služeb licenci?

Odpověď: Ne. Účty služeb nevyžadují samostatnou licenci.

Otázka: Návody změnit heslo nebo účet účtu služby?

A: Viz Změna účtu služby nebo hesla