Şirket içi Azure DevOps'ta kullanılacak grupları ayarlama
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Azure DevOps Server'de kullanıcıları yönetmek, özellikle dağıtımınız SQL Server Reporting Services içeriyorsa, onlar için Windows veya Active Directory grupları oluşturursanız çok daha kolaydır.
Azure DevOps Server dağıtımlarındaki kullanıcılar, gruplar ve izinler
Azure DevOps Server ve SQL Server Reporting Services, gruplar, kullanıcılar ve izinler hakkında kendi bilgilerini korur. Bu programlarda kullanıcıları ve izinleri yönetmeyi kolaylaştırmak için dağıtımda benzer erişim gereksinimlerine sahip kullanıcı grupları oluşturabilir, bu gruplara farklı yazılım programlarında uygun erişim verebilir ve ardından gerektiğinde kullanıcıları bir gruba ekleyebilir veya gruptan kaldırabilirsiniz. Bu, tek tek kullanıcıları veya kullanıcı gruplarını üç ayrı programda ayrı ayrı tutmaktan çok daha kolaydır.
Sunucunuz bir Active Directory etki alanındaysa, bir seçenek, proje koleksiyonundaki tüm projeler için bir grup geliştirici ve test edici veya koleksiyonda proje oluşturup yönetebilen bir grup kullanıcı gibi kullanıcılarınızı yönetmek için belirli Active Directory grupları oluşturmaktır. Benzer şekilde, hizmet hesabı olarak Ağ Hizmeti sistem hesabını kullanacak şekilde yapılandırılmayan hizmetler için bir Active Directory hesabı oluşturabilirsiniz. Bunu yapmak için, SQL Server Reporting Services raporları için okuma erişimli veri kaynağı hesabı için bir Active Directory hesabı oluşturun.
Önemli
Azure DevOps Server'da Active Directory gruplarını kullanmaya karar verirseniz, amacı Azure DevOps Server'da kullanıcı yönetimine ayrılmış belirli gruplar oluşturmayı göz önünde bulundurun. Daha önce başka bir amaçla oluşturulmuş grupların kullanılması, özellikle de Azure DevOps Server tanımayan kişiler tarafından yönetiliyorsa, üyelik başka bir işlevi destekleyecek şekilde değiştiğinde beklenmeyen kullanıcı sonuçlarına yol açabilir.
Yükleme sırasında varsayılan seçenek, ağ hizmeti sistem hesabını Azure DevOps Server ve SQL Server için hizmet hesabı olarak kullanmaktır. Belirli bir hesabı güvenlik amacıyla veya ölçeği genişletilmiş dağıtım gibi başka nedenlerle hizmet hesabı olarak kullanmak istiyorsanız, bunu yapabilirsiniz. Ayrıca, SQL Server Reporting Services için veri kaynağı okuyucu hesabının hizmet hesabı olarak kullanmak üzere belirli bir Active Directory hesabı oluşturmak isteyebilirsiniz.
Sunucunuz bir Active Directory etki alanındaysa ancak Active Directory grupları veya hesapları oluşturma izniniz yoksa veya sunucunuzu etki alanı yerine bir çalışma grubuna yüklüyorsanız, SQL Server genelinde kullanıcıları yönetmek için yerel gruplar oluşturup kullanabilir ve Azure DevOps Server. Benzer şekilde, hizmet hesabı olarak kullanmak üzere yerel bir hesap oluşturabilirsiniz. Ancak, yerel grupların ve hesapların etki alanı grupları ve hesapları kadar sağlam olmadığını unutmayın. Örneğin, bir sunucu hatası durumunda, grupları ve hesapları yeni sunucuda sıfırdan yeniden oluşturmanız gerekir. Active Directory gruplarını ve hesaplarını kullanıyorsanız, Azure DevOps Server barındıran sunucu başarısız olsa bile gruplar ve hesaplar korunur.
Örneğin, yeni dağıtım için iş gereksinimlerini ve proje yöneticileriyle güvenlik gereksinimlerini gözden geçirdikten sonra, dağıtımdaki kullanıcıların çoğunu yönetmek için üç grup oluşturmaya karar vekleyebilirsiniz:
Varsayılan proje koleksiyonundaki tüm projelere tam olarak katılacak geliştiriciler ve test edenler için genel bir grup. Bu grup kullanıcıların çoğunu içerecektir. Bu grubu TFS_ProjectContributors adlandırabilirsiniz.
Koleksiyonda proje oluşturma ve yönetme izinlerine sahip olacak küçük bir proje yöneticisi grubu. Bu grubu TFS_ProjectAdmins adlandırabilirsiniz.
Projelerden yalnızca birine erişebilen özel, kısıtlı bir yüklenici grubu. Bu grubu TFS_RestrictedAccess adlandırabilirsiniz.
Daha sonra, dağıtım genişledikçe başka gruplar oluşturmaya karar vekleyebilirsiniz.
Active Directory'de grup oluşturmak için
- Active Directory'de yerel etki alanı, genel veya evrensel bir grup olan bir güvenlik grubu oluşturun; iş gereksinimlerinizi en iyi şekilde karşılar. Örneğin, grubun birden fazla etki alanındaki kullanıcıları içermesi gerekiyorsa, evrensel grup türü gereksinimlerinize en uygun olacaktır. Daha fazla bilgi için bkz. Yeni Grup Oluşturma (Active Directory Domain Services).
Sunucuda yerel grup oluşturmak için
- Yerel bir grup oluşturun ve amacını hızla belirleyecek bir ad verin. Varsayılan olarak, oluşturduğunuz tüm gruplar o bilgisayardaki Kullanıcılar varsayılan grubunun eşdeğer izinlerine sahip olur. Daha fazla bilgi için bkz. Yerel grup oluşturma.
Active Directory'de hizmet hesabı olarak kullanılacak bir hesap oluşturmak için
- Active Directory'de bir hesap oluşturun, parola ilkesini iş gereksinimlerinize göre ayarlayın ve hesap için temsilci seçme için hesaba güvenildiğinden emin olun. Daha fazla bilgi için bkz. Yeni Kullanıcı Hesabı Oluşturma (Active Directory Domain Services) ve Kullanıcı Hesaplarını Anlama (Active Directory Domain Services).
Sunucuda hizmet hesabı olarak kullanılacak yerel bir hesap oluşturmak için
- Hizmet hesabı olarak kullanılacak yerel bir hesap oluşturun ve ardından grup üyeliğini ve diğer özelliklerini işletmenizin güvenlik gereksinimlerine göre değiştirin. Daha fazla bilgi için bkz. Yerel kullanıcı hesabı oluşturma.
Bunu bir sonraki adımda deneyin
Soru-Cevap
S: Azure DevOps Server'daki projelere veya özelliklere erişimi kısıtlamak için grupları kullanabilir miyim?
A: Evet, yapabilirsiniz. Belirli özelliklere, işlevlere ve projelere erişim vermek veya erişimi kısıtlamak,erişim düzeylerini ve diğer amaçları yönetmek için belirli gruplar oluşturabilirsiniz.