Configurare i gruppi da usare in Azure DevOps locale

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

La gestione degli utenti in Azure DevOps Server è molto più semplice se si creano gruppi di Windows o Active Directory, in particolare se la distribuzione include SQL Server Reporting Services.

Utenti, gruppi e autorizzazioni nelle distribuzioni di Azure DevOps Server

Azure DevOps Server e SQL Server Reporting Services tutti mantengono le proprie informazioni sui gruppi, gli utenti e le autorizzazioni. Per semplificare la gestione degli utenti e delle autorizzazioni in questi programmi, è possibile creare dei gruppi di utenti con requisiti di accesso simili nella distribuzione, concedere loro l'accesso appropriato nei diversi programmi software e quindi aggiungere o rimuovere gli utenti da un gruppo in base alle necessità. Questa soluzione risulta molto più semplice che gestire i singoli utenti o gruppi di utenti separatamente nei tre diversi programmi.

Se il server si trova in un dominio di Active Directory, un'opzione consiste nel creare gruppi di Active Directory specifici per gestire gli utenti, ad esempio un gruppo di sviluppatori e tester per tutti i progetti nella raccolta di progetti o un gruppo di utenti che possono creare e amministrare progetti nella raccolta. Analogamente, è possibile creare un account Active Directory per i servizi che non possono essere configurati per utilizzare l'account di sistema Servizio di rete come account del servizio. A tale scopo, creare un account Active Directory per l'account origine dati di accesso in lettura per i report in SQL Server Reporting Services.

Importante

Se si decide di usare i gruppi di Active Directory in Azure DevOps Server, prendere in considerazione la creazione di uno specifico scopo dedicato alla gestione degli utenti in Azure DevOps Server. L'uso di gruppi esistenti precedentemente creati per un altro scopo, in particolare se vengono gestiti da altri utenti che non hanno familiarità con Azure DevOps Server, possono causare conseguenze impreviste dell'utente quando l'appartenenza cambia per supportare alcune altre funzioni.

La scelta predefinita durante l'installazione consiste nell'usare l'account di sistema del servizio di rete come account del servizio per Azure DevOps Server e SQL Server. Se lo si desidera, è possibile utilizzare un account specifico come account del servizio per scopi di sicurezza o altri motivi, ad esempio per una distribuzione ridimensionata orizzontalmente. È anche possibile creare un account Active Directory specifico da usare come account del servizio per l'account lettore origine dati per SQL Server Reporting Services.

Se il server si trova in un dominio di Active Directory, ma non si dispone delle autorizzazioni per creare gruppi o account di Active Directory o se si installa il server in un gruppo di lavoro anziché in un dominio, è possibile creare e usare gruppi locali per gestire gli utenti in SQL Server e Azure DevOps Server. Analogamente, è possibile creare un account locale da utilizzare come account del servizio. Tuttavia, tenere presente che gli account e i gruppi locali non sono affidabili quanto gli account e i gruppi di dominio. Ad esempio, nel caso di un guasto al server, questi gruppi e account dovranno essere creati nuovamente nel nuovo server. Se si usano gruppi e account di Active Directory, i gruppi e gli account verranno mantenuti anche se il server che ospita Azure DevOps Server ha esito negativo.

Ad esempio, dopo avere esaminato i requisiti aziendali per la nuova distribuzione e i requisiti di sicurezza con i responsabili del progetto, è possibile decidere di creare tre gruppi per gestire la maggior parte degli utenti nella distribuzione:

  • Gruppo generale per sviluppatori e tester che partecipano completamente a tutti i progetti nella raccolta di progetti predefinita. Questo gruppo conterrà la maggior parte degli utenti. Questo gruppo potrebbe essere denominato TFS_ProjectContributors.

  • Un gruppo ristretto di amministratori di progetto che disporranno delle autorizzazioni per creare e gestire i progetti nella raccolta. Questo gruppo potrebbe essere denominato TFS_ProjectAdmins.

  • Uno speciale gruppo limitato di soggetti che potranno accedere solo a uno dei progetti. Questo gruppo potrebbe essere denominato TFS_RestrictedAccess.

Successivamente, con l'espansione della distribuzione, si potrebbe decidere di creare altri gruppi.

Per creare un gruppo in Active Directory

  • Creare un gruppo di sicurezza che sia un gruppo di dominio locale, globale o universale in Active Directory, a seconda delle esigenze aziendali. Ad esempio, se il gruppo deve contenere utenti di più domini, il tipo di gruppo universale sarà la soluzione più adatta. Per altre informazioni, vedere Creare un nuovo gruppo (Active Directory Domain Services).

Per creare un gruppo locale nel server

  • Creare un gruppo locale e assegnargli un nome che ne identifichi rapidamente lo scopo. Per impostazione predefinita, qualsiasi gruppo creato disporrà di autorizzazioni equivalenti a quelle del gruppo predefinito Utenti per quel computer. Per altre informazioni, vedere Creare un gruppo locale.

Per creare un account da utilizzare come account del servizio in Active Directory

Per creare un account locale da utilizzare come account del servizio nel server

  • Creare un account locale da utilizzare come account del servizio, quindi modificarne l'appartenenza a un gruppo e altre proprietà a seconda dei requisiti di sicurezza aziendali. Per altre informazioni, vedere Creare un account utente locale.

Successiva attività da provare

Domande e risposte

D: È possibile usare i gruppi per limitare l'accesso ai progetti o alle funzionalità in Azure DevOps Server?

Un: Sì, puoi. È possibile creare gruppi specifici per concedere o limitare l'accesso per selezionare funzionalità, funzioni e progetti, per gestire i livelli di accesso e altri scopi.