Cambio de la cuenta de servicio o la contraseña de Azure DevOps Server

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Puede ayudar a mejorar la seguridad de Azure DevOps Server cambiando su cuenta de servicio o la contraseña usada para esa cuenta. Azure DevOps Server ejecuta servicios como sus servicios web y el Agente de trabajo en segundo plano de Team Foundation en el contexto de una cuenta de servicio.

La documentación de Azure DevOps Server hace referencia a esta cuenta de servicio como TFSService, aunque no es el nombre real de la cuenta a menos que cree específicamente una cuenta con ese nombre. Azure DevOps Server almacena un registro del nombre de la cuenta real que se usa como cuenta de servicio. Al cambiar el registro, puede asignar una cuenta diferente para que actúe como cuenta de servicio. También puede cambiar la contraseña de esa cuenta. Tanto si cambia la cuenta, la contraseña como ambas, permanece sincronizada con otros componentes de la implementación. Por ejemplo, si una directiva de dominio de Active Directory requiere que todas las contraseñas expiren periódicamente, puede actualizar la información de contraseña de la cuenta de servicio en Azure DevOps Server cuando cambie esa contraseña.

Nota:

Azure DevOps Server y sus utilidades no pueden crear una nueva cuenta de dominio o local para usarla como TFSService y no pueden actualizar la contraseña de esa cuenta en el grupo de trabajo o en el dominio. En su lugar, las utilidades actualizan los registros para que coincidan con las nuevas credenciales. Si la implementación incluye más de un servidor de nivel de aplicación, debe actualizar manualmente cada servidor con cualquier cambio en la cuenta de servicio o su contraseña.

Para más información sobre las cuentas de servicio en Azure DevOps Server, consulte Cuentas de servicio y dependencias en Azure DevOps Server. Para más información sobre las cuentas necesarias para la instalación, incluida la cuenta de servicio de Azure DevOps Server, consulte Requisitos de la cuenta de servicio.

Requisitos previos

Para seguir un procedimiento de línea de comandos, es posible que tenga que abrir una ventana del símbolo del sistema con privilegios elevados. Abra el menú contextual del símbolo del sistema y seleccione Ejecutar como administrador. Para más información, vea User Account Control (Control de cuentas de usuario).

Cambiar la contraseña de la cuenta de servicio

Para cambiar la contraseña de TFSService, debe iniciar sesión en el servidor de nivel de aplicación para Azure DevOps y usar la consola de administración para Azure DevOps, o abrir una ventana del símbolo del sistema y usar la utilidad de línea de comandos TFSConfig. Si la implementación incluye más de un servidor de nivel de aplicación, debe realizar esta tarea en cada servidor para mantener sincronizada la información de la cuenta.

Nota:

En función de la configuración de implementación, es posible que tenga que reiniciar Internet Information Services (IIS) después de completar el procedimiento antes de que los cambios surtan efecto.

Uso de la consola de administración para cambiar la contraseña

  1. Abra la consola de administración de Azure DevOps en el servidor que hospeda el nivel de aplicación.

    Para más información, consulte Abrir la consola de administración del servidor de Azure DevOps.

  2. En la consola, expanda el nombre del servidor y seleccione Nivel de aplicación.

  3. En el panel Nivel de aplicación, seleccione Actualizar contraseña de cuenta.

    Se abre la ventana Actualizar contraseña de cuenta.

    Nota:

    Si usó una cuenta del sistema como cuenta de servicio, verá un mensaje de error al seleccionar Actualizar contraseña de cuenta. No es necesario cambiar la contraseña de esa cuenta. Las cuentas del sistema no tienen contraseñas administradas por el usuario.

  4. Escriba la nueva contraseña en Contraseña y, a continuación, seleccione Aceptar.

    Se abre la ventana Cambiar cuenta de servicio.

  5. Espere a que se completen todos los mensajes de estado en Estado y, a continuación, seleccione Cerrar.

    Nota:

    Este proceso puede tardar unos minutos.

Usar la utilidad TFSConfig para cambiar la contraseña

  1. En el servidor de nivel de aplicación, abra una ventana del símbolo del sistema y cambie los directorios al directorio que contiene la utilidad TFSConfig .

    De forma predeterminada, esta utilidad se encuentra en Unidad:\Archivos de programa\TFS 12.0\Tools.

  2. En la línea de comandos, escriba CUENTAS TFSConfig /UpdatePassword /accountType:ApplicationTier /account:AccountName /password:NewPassword y presione ENTRAR.

  3. Debe especificar tanto el nombre de la cuenta de servicio (AccountName) como la contraseña de la cuenta (NewPassword).

Asignar una cuenta diferente como cuenta de servicio

Para configurar Azure DevOps Server para que use una cuenta diferente como cuenta de servicio para Azure DevOps, puede usar la consola de administración o la utilidad de línea de comandos TFSConfig . Si la implementación incluye más de un servidor de nivel de aplicación, debe realizar esta tarea en cada servidor para mantener sincronizada la información de la cuenta. Antes de usar cualquiera de las utilidades para realizar el cambio, tenga en cuenta los siguientes problemas:

  • Debe elegir una cuenta nueva que sea una cuenta del sistema o un miembro de un grupo de trabajo o dominio de confianza para todos los equipos de esta implementación de Azure DevOps Server.
  • Las utilidades de configuración conceden permiso de inicio de sesión como servicio a la nueva cuenta de servicio. Sin embargo, las utilidades no revocan este permiso de la cuenta usada anteriormente como cuenta de servicio, si otro servicio sigue usando esa cuenta. Si la cuenta anterior ya no necesita ese permiso para el servicio para el que todavía está en uso, es posible que desee quitar manualmente ese permiso de la cuenta anterior.

Para obtener más información, consulte Incorporación del inicio de sesión como servicio a una cuenta.

  • Es posible que tenga que reiniciar IIS después de completar el procedimiento antes de que los cambios surtan efecto.
  • La utilidad TFSConfig solo cambia los servicios que se ejecutan en la cuenta antigua.

Uso de la consola de administración para cambiar la cuenta de servicio

  1. Abra la consola de administración de Azure DevOps en el servidor que hospeda el nivel de aplicación.

  2. En la consola, expanda el nombre del servidor y seleccione Nivel de aplicación.

  3. En el panel Nivel de aplicación, seleccione Cambiar cuenta.

    Se abre la ventana Actualizar cuenta de servicio.

  4. Realice uno de estos pasos:

    1. Para usar una cuenta del sistema, seleccione Usar una cuenta del sistema y, a continuación, seleccione una cuenta del sistema en la lista desplegable.

      Si el servidor es miembro de un dominio de Active Directory, la opción predeterminada para que la cuenta del sistema la use sea Servicio de red. Si el servidor es miembro de un grupo de trabajo, la opción predeterminada es Servicio local. En función de los detalles de la implementación, la opción predeterminada puede ser la única opción disponible.

      Nota:

      Las cuentas del sistema no tienen contraseñas administradas por el usuario. Si usa una cuenta del sistema como TFSService, no debe escribir una contraseña en el campo contraseña.

    2. Para usar un dominio o una cuenta de grupo de trabajo, seleccione Usar una cuenta de usuario, escriba el nombre de la cuenta en Nombre de cuenta y, a continuación, escriba la contraseña de esa cuenta en Contraseña.

  5. Seleccione Aceptar.

    Se abre la ventana Cambiar cuenta de servicio.

  6. Espere a que se completen todos los mensajes de estado en Estado y, a continuación, seleccione Cerrar.

    Nota:

    Este proceso puede tardar unos minutos.

Uso de la utilidad TFSConfig para cambiar la cuenta de servicio

  1. En el servidor de nivel de aplicación, abra una ventana del símbolo del sistema y cambie los directorios al directorio que contiene la utilidad TFSConfig .

    De forma predeterminada, esta utilidad se encuentra en Unidad:\Archivos de programa\TFS 12.0\Tools.

  2. En la línea de comandos, escriba TFSConfig Accounts /change /accountType:ApplicationTier /account:AccountName /password:NewPassword y presione ENTRAR.

    Para obtener más información, vea Comando Cuentas.