Учетные записи служб и зависимости

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Вы можете лучше управлять Azure DevOps Server, если вы понимаете службы и несколько учетных записей служб, которые включают каждое развертывание Azure DevOps и от которых зависит каждое развертывание. В зависимости от того, как вы установили и настроили Azure DevOps, эти службы и учетные записи служб могут выполняться на одном компьютере или могут работать на многих компьютерах. Это изменяет определенные аспекты управления развертыванием. Например, если серверные компоненты развертывания выполняются на нескольких компьютерах, необходимо убедиться, что учетные записи службы используют доступ и разрешения, необходимые для правильной работы.

Azure DevOps Server содержит службы и учетные записи служб, которые выполняются на следующих компьютерах в развертывании:

  • любой сервер, на котором размещена одна или несколько баз данных для Azure DevOps Server
  • любой сервер, на котором размещены компоненты уровня приложений для Azure DevOps Server
  • любой компьютер, на котором запущен прокси-сервер Azure DevOps Server
  • любой компьютер сборки
  • любой тестовый компьютер

Вы можете устанавливать и развертывать различные функции Azure DevOps Server различными способами. Распределение функций в развертывании определяет, какие службы и учетные записи служб выполняются на физических компьютерах. Кроме того, может потребоваться управлять учетными записями служб для программных программ, настроенных для работы с Azure DevOps Server, например учетными записями служб для SQL Server.

учетные записи служб;

Хотя Azure DevOps Server использует несколько учетных записей служб, вы можете использовать одну и ту же учетную запись домена или рабочей группы для большинства или всех этих учетных записей. Например, можно использовать ту же учетную запись домена, что и учетную запись службы для Azure DevOps Server (TFSService) и учетную запись Contoso\\Example источников данных для служб SQL Server Reporting Services (TFSReports). Однако для разных учетных записей служб могут потребоваться разные уровни разрешений. Например, TFSService должен иметь разрешение на вход в качестве службы , а TFSReports должен иметь разрешение на локальный вход. Если для обоих учетных записей используется одна и та же учетная запись Contoso\\Example , необходимо предоставить им оба этих разрешения. Кроме того, TFSService требует значительно больше разрешений для правильной работы, чем те, которые требуют TFSReports , как показано в таблице далее в этом разделе. В целях безопасности следует рассмотреть возможность использования отдельных учетных записей для этих двух учетных записей служб.

Внимание

Не следует использовать учетную запись, которая использовалась для установки Azure DevOps Server в качестве учетной записи для любой из этих учетных записей служб.

Если вы развернули сервер Azure DevOps в домене Active Directory, необходимо задать учетную запись конфиденциальной и не может быть делегирована для учетных записей служб. Например, в следующей таблице следует задать этот параметр для TFSService. Дополнительные сведения о необходимых учетных записях служб и именах заполнителей, используемых в документации по Azure DevOps Server, см. в разделе "Учетные записи, необходимые для установки Azure DevOps Server" в руководстве по установке Team Foundation. Дополнительные сведения о делегировании учетных записей в Active Directory см. на следующей странице на веб-сайте Майкрософт: делегирование центра в Active Directory.

Так как необходимо управлять несколькими учетными записями служб, каждая учетная запись службы называется именем заполнителя, который идентифицирует ее функцию, как указано в таблице далее в этом разделе. Имя заполнителя не является фактическим именем учетной записи, используемой для каждой учетной записи службы. Фактическое имя учетной записи зависит от развертывания. В предыдущем примере учетная запись, используемая для TFSService и TFSReports , была Contoso\\Example. В собственном развертывании можно создать учетные записи домена с определенными именами TFSService и TFSReportsили использовать сетевую службу системной учетной записи в качестве учетной записи службы Team Foundation Server.

Внимание

Если не указано в противном случае, группы или учетные записи в следующей таблице не должны быть членами группы "Администраторы" на любом из серверов в развертывании Azure DevOps Server.

В следующей таблице перечислены большинство учетных записей служб, которые могут использоваться в развертывании Azure DevOps Server. Дополнительные учетные записи служб, не перечисленные здесь, см. в разделе "Разрешения и группы" учетных записей служб.

Учетная запись службы для

Имя заполнителя и тип используемой учетной записи

Обязательное разрешение и членство в группах

Примечания


Azure DevOps Services

Служба учетных записей (CollectionName)

Нет. Эта учетная запись используется только в том случае, если используется размещенное развертывание Azure DevOps.

Автоматически создается при создании организации в Azure DevOps Services. Он используется, когда клиенты взаимодействуют с размещенной службой и могут просматриваться на странице администрирования веб-портала.

Azure DevOps Server

TFSService: может быть локальной учетной записью, учетной записью домена, локальной службой в рабочей группе или сетевой службой в домене.

Вход в систему как услуга на сервере уровня приложений

Эта учетная запись службы используется для всех веб-служб Azure DevOps. Если вы используете учетную запись домена для этой учетной записи, она должна быть членом домена, который все компьютеры на протяжении всего развертывания полностью доверяют.

построение Team Foundation

TFSBuild, которая может быть локальной учетной записью, учетной записью домена или локальной службой в рабочей группе

Вход в систему в качестве службы.

Эта учетная запись службы используется при настройке сборок и при обмене данными о состоянии сборки между контроллером сборки и агентами сборки.

Службы SQL Server Reporting Services

TFSReports, которая может быть локальной учетной записью, учетной записью домена или локальной службой в рабочей группе

Разрешить вход локально на сервере уровня приложений и на сервере под управлением SQL Server Reporting Services
TFSWareHouseDataReader на сервере отчетов

Эта учетная запись службы получает данные для отчетов из служб Reporting Services.

Прокси-сервер Azure DevOps Server

TFSProxy, которая может быть локальной учетной записью, учетной записью домена, локальной службой в рабочей группе или сетевой службой в домене.

Вход в систему в качестве службы.

Используется для всех прокси-служб. Если вы используете учетную запись домена для этой учетной записи, она должна быть членом домена, который все компьютеры на протяжении всего развертывания полностью доверяют.

Контроллер агента тестирования и агента тестирования

TFSTest: может быть локальной учетной записью, учетной записью домена или сетевой службой в домене.

Вход в систему в качестве службы.

Используется при обмене данными о тестах между контроллером агента тестирования и агентом тестирования.


Службы, которые выполняются под учетными записями служб

В следующей таблице перечислены службы, которые выполняются под учетными записями служб в локальном развертывании Azure DevOps.

Имя службы Учетная запись службы Логический уровень
Служба покрытия кода TFSService уровень приложений
Веб-службы Azure DevOps Server TFSService уровень приложений
СЛУЖБЫ SQL Server Reporting Services (MSSQLSERVER или InstanceName при использовании именованного экземпляра) Локальная система или учетная запись домена уровень приложений
Веб-служба отчетов Локальная система, сетевая служба или учетная запись домена уровень приложений
Узел службы сборки Visual Studio Team Foundation (если сборка Team Foundation установлена) TFSBuild компьютер сборки
Агент фоновых заданий Visual Studio Team Foundation TFSService уровень приложений
Контроллер тестирования Visual Studio TFSTest любой компьютер
Агент тестирования Visual Studio TFSTest тестовый компьютер
Сервер анализа (MSSQLSERVER или InstanceName , если используется именованный экземпляр) Локальная система или учетная запись домена Уровень данных
Обозреватель SQL Server Локальная служба или учетная запись домена Уровень данных
SQL Server (MSSQLSERVER или InstanceName при использовании именованного экземпляра) Локальная система, сетевая служба или учетная запись домена Уровень данных
агент SQL Server (MSSQLSERVER или InstanceName при использовании именованного экземпляра) Локальная система, сетевая служба или учетная запись домена Уровень данных
Служба учетных записей (CollectionName) Автоматически веб-уровень (только Azure DevOps Services)

Дополнительные сведения о учетных записях служб для SQL Server см. на следующей странице на веб-сайте Майкрософт: электронная документация по SQL Server. Последние сведения о учетных записях службы Azure DevOps Server см. в статье "Установка и настройка Azure DevOps в локальной среде".

Примечание.

При изменении учетной записи службы для Team Foundation Build необходимо убедиться, что новая учетная запись службы входит в группу "Службы сборки". Кроме того, необходимо убедиться, что у учетной записи есть разрешения на чтение и запись временных папок и временную папку ASP.NET. Аналогичным образом, если изменить учетную запись службы для службы прокси-сервера Team Foundation Server, необходимо убедиться, что учетная запись входит в соответствующие группы. Дополнительные сведения см. в разделе "Настройка системы сборки".

Вопросы и ответы

Вопрос. Назначены ли учетные записи служб группе уровней доступа?

Ответ. По умолчанию учетные записи служб добавляются на уровень доступа по умолчанию. Если вы делаете заинтересованных лиц уровнем доступа по умолчанию, необходимо добавить учетную запись службы Azure DevOps Server в группу "Базовый" или "Дополнительно".

Вопрос. Требуется ли лицензия для учетных записей служб?

Ответ. Нет. Для учетных записей служб не требуется отдельная лицензия.

Вопрос. Разделы справки изменить пароль или учетную запись для учетной записи службы?

Ответ. См. раздел "Изменение учетной записи службы" или пароля