Comptes de service et dépendances

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Vous pouvez mieux gérer Azure DevOps Server si vous comprenez les services et plusieurs comptes de service que chaque déploiement d’Azure DevOps inclut et sur lequel chaque déploiement dépend. Selon la façon dont vous avez installé et configuré Azure DevOps, ces services et comptes de service peuvent tous s’exécuter sur un seul ordinateur, ou ils peuvent s’exécuter sur de nombreux ordinateurs. Cela modifie certains aspects de la gestion de votre déploiement. Par exemple, si les composants côté serveur de votre déploiement s’exécutent sur plusieurs ordinateurs, vous devez vous assurer que les comptes de service utilisés par votre déploiement disposent de l’accès et des autorisations dont ils ont besoin pour fonctionner correctement.

Azure DevOps Server dispose de services et de comptes de service qui s’exécutent sur les ordinateurs suivants dans un déploiement :

  • tout serveur qui héberge une ou plusieurs bases de données pour Azure DevOps Server
  • n’importe quel serveur qui héberge les composants de la couche Application pour Azure DevOps Server
  • tout ordinateur exécutant le proxy de serveur Azure DevOps
  • n’importe quel ordinateur de build
  • n’importe quel ordinateur de test

Vous pouvez installer et déployer différentes fonctionnalités d’Azure DevOps Server de différentes manières. La distribution des fonctionnalités de votre déploiement détermine les services et comptes de service qui s’exécutent sur les ordinateurs physiques. En outre, vous devrez peut-être gérer les comptes de service pour les programmes logiciels configurés pour fonctionner avec Azure DevOps Server, tels que les comptes de service pour SQL Server.

Comptes de service

Bien qu’Azure DevOps Server utilise plusieurs comptes de service, vous pouvez utiliser le même compte de domaine ou de groupe de travail pour la plupart ou l’ensemble d’entre eux. Par exemple, vous pouvez utiliser le même compte Contoso\\Example de domaine que le compte de service pour Azure DevOps Server (TFSService) et le compte de sources de données pour SQL Server Reporting Services (TFSReports). Toutefois, différents comptes de service peuvent nécessiter différents niveaux d’autorisation. Par exemple, TFSService doit disposer de l’autorisation Se connecter en tant que service , et TFSReports doit disposer de l’autorisation Autoriser l’ouverture de session localement . Si vous utilisez le même compte Contoso\\Example pour les deux, vous devez lui accorder ces deux autorisations. En outre, TFSService nécessite beaucoup plus d’autorisations pour fonctionner correctement que celles requises par TFSReports , comme le montre la table plus loin dans cette rubrique. À des fins de sécurité, vous devez envisager d’utiliser des comptes distincts pour ces deux comptes de service.

Important

Vous ne devez pas utiliser le compte utilisé pour installer Azure DevOps Server comme compte pour l’un de ces comptes de service.

Si vous avez déployé Azure DevOps Server dans un domaine Active Directory, vous devez définir le compte comme étant sensible et ne peut pas être délégué pour les comptes de service. Par exemple, dans le tableau suivant, vous devez définir cette option pour TFSService. Pour plus d’informations sur les comptes de service et les noms d’espaces réservés requis utilisés dans la documentation d’Azure DevOps Server, consultez la rubrique « Comptes requis pour l’installation d’Azure DevOps Server » dans le guide d’installation de Team Foundation. Pour plus d’informations sur la délégation de compte dans Active Directory, consultez la page suivante sur le site Web Microsoft : Délégation de l’autorité dans Active Directory.

Étant donné que vous devez gérer plusieurs comptes de service, chaque compte de service est désigné par un nom d’espace réservé qui identifie sa fonction, comme indiqué dans la table plus loin dans cette rubrique. Le nom de l’espace réservé n’est pas le nom réel du compte que vous utilisez pour chaque compte de service. Le nom réel du compte varie en fonction de votre déploiement. Dans l’exemple précédent, le compte utilisé pour TFSService et TFSReports était Contoso\\Example. Dans votre propre déploiement, vous pouvez créer des comptes de domaine avec les noms spécifiques et TFSService TFSReports, ou vous pouvez utiliser le service réseau de compte système comme compte de service pour Team Foundation Server.

Important

Sauf indication contraire, aucun groupe ou compte du tableau suivant ne doit être membre du groupe Administrateurs sur l’un des serveurs de votre déploiement d’Azure DevOps Server.

Le tableau suivant répertorie la plupart des comptes de service qui peuvent être utilisés dans un déploiement d’Azure DevOps Server. Pour obtenir des comptes de service supplémentaires non répertoriés ici, consultez Autorisations et groupes, Comptes de service.

Compte de service pour

Nom de l’espace réservé et type de compte utilisable

Autorisation requise et appartenance au groupe

Notes


Azure DevOps Services

Service de compte (CollectionName)

Aucune. Ce compte est utilisé uniquement si vous utilisez un déploiement hébergé d’Azure DevOps.

Est automatiquement créé pour vous lorsque vous créez une organisation dans Azure DevOps Services. Il est utilisé lorsque les clients communiquent avec le service hébergé et peuvent être consultés via la page d’administration du portail web.

Azure DevOps Server

TFSService : peut être un compte local, un compte de domaine, un service local dans un groupe de travail ou un service réseau dans un domaine

Ouvrir une session en tant que service sur le serveur de la couche Application

Ce compte de service est utilisé pour tous les services web Azure DevOps. Si vous utilisez un compte de domaine pour ce compte, il doit être membre d’un domaine que tous les ordinateurs tout au long du déploiement approuvent entièrement.

Team Foundation Build

TFSBuild, qui peut être un compte local, un compte de domaine ou un service local dans un groupe de travail

Ouvrir une session en tant que service

Ce compte de service est utilisé lorsque les builds sont configurées et lorsque les informations d’état de build sont communiquées entre le contrôleur de build et les agents de build.

SQL Server Reporting Services

TFSReports, qui peut être un compte local, un compte de domaine ou un service local dans un groupe de travail

Autoriser la connexion localement sur le serveur de la couche Application et sur le serveur exécutant SQL Server Reporting Services
TFSWareHouseDataReader sur le serveur de rapports

Ce compte de service récupère des données pour les rapports de Reporting Services.

Proxy de serveur Azure DevOps

TFSProxy, qui peut être un compte local, un compte de domaine, un service local dans un groupe de travail ou un service réseau dans un domaine

Ouvrir une session en tant que service

Utilisé pour tous les services proxy. Si vous utilisez un compte de domaine pour ce compte, il doit être membre d’un domaine que tous les ordinateurs tout au long du déploiement approuvent entièrement.

Agent de test et contrôleur d’agent de test

TFSTest : peut être un compte local, un compte de domaine ou un service réseau dans un domaine.

Ouvrir une session en tant que service

Utilisé lorsque des informations sur les tests sont communiquées entre le contrôleur de l’agent de test et l’agent de test.


Services qui s’exécutent sous des comptes de service

Le tableau suivant répertorie les services qui s’exécutent sous des comptes de service dans un déploiement Azure DevOps local.

Nom du service Compte de service Niveau logique
Service de couverture du code TFSService Couche Application
Azure DevOps Server Web Services TFSService Couche Application
SQL Server Reporting Services (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local ou compte de domaine Couche Application
Service web de rapport Système local, service réseau ou compte de domaine Couche Application
Visual Studio Team Foundation Build Service Host (si Team Foundation Build est installé) TFSBuild build computer
Agent de travail en arrière-plan Visual Studio Team Foundation TFSService Couche Application
Visual Studio Test Controller TFSTest n’importe quel ordinateur
Visual Studio Test Agent TFSTest ordinateur de test
Analysis Server (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local ou compte de domaine Niveau de données
SQL Server Browser Service local ou compte de domaine Niveau de données
SQL Server (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local, service réseau ou compte de domaine Niveau de données
SQL Server Agent (MSSQLSERVER ou InstanceName si vous utilisez une instance nommée) Système local, service réseau ou compte de domaine Niveau de données
Service de compte (CollectionName) Automatique niveau web (Azure DevOps Services uniquement)

Pour plus d’informations sur les comptes de service pour SQL Server, consultez la page suivante sur le site Web Microsoft : Documentation en ligne de SQL Server. Pour obtenir les informations les plus récentes sur les comptes de service Azure DevOps Server, consultez Installer et configurer Azure DevOps localement.

Remarque

Si vous modifiez le compte de service pour Team Foundation Build, vous devez vous assurer que le nouveau compte de service est membre du groupe Build Services. Vous devez également vous assurer que le compte dispose d’autorisations en lecture/écriture dans les dossiers temporaires et dans le dossier temporaire ASP.NET. De même, si vous modifiez le compte de service pour le service Proxy Team Foundation Server, vous devez vous assurer que le compte est membre des groupes appropriés. Pour plus d’informations, consultez Configurer votre système de build.

Questions & réponses

Q : Les comptes de service sont-ils affectés à un groupe de niveau d’accès ?

R : Par défaut, les comptes de service sont ajoutés au niveau d’accès par défaut. Si vous définissez le niveau d’accès par défaut des parties prenantes, vous devez ajouter le compte de service Azure DevOps Server au groupe De base ou Avancé.

Q : Les comptes de service nécessitent-ils une licence ?

R : Non. Les comptes de service ne nécessitent pas de licence distincte.

Q : Comment faire modifier le mot de passe ou le compte d’un compte de service ?

R : Voir Modifier le compte de service ou le mot de passe