Účty služeb a závislosti
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Azure DevOps Server můžete lépe spravovat, pokud rozumíte službám a několika účtům služeb, které každé nasazení Azure DevOps zahrnuje a na kterých každé nasazení závisí. V závislosti na tom, jak jste nainstalovali a nakonfigurovali Azure DevOps, můžou všechny tyto služby a účty služeb běžet na jednom počítači nebo na mnoha počítačích. Tím se změní některé aspekty správy nasazení. Pokud například součásti vašeho nasazení na straně serveru běží na více než jednom počítači, musíte zajistit, aby účty služby, které vaše nasazení používá, měly přístup a oprávnění, které potřebují ke správnému fungování.
Azure DevOps Server má účty služeb a služeb, které běží na následujících počítačích v nasazení:
- jakýkoli server, který hostuje jednu nebo více databází pro Azure DevOps Server
- libovolný server, který hostuje komponenty aplikační vrstvy pro Azure DevOps Server
- libovolný počítač se systémem Azure DevOps Server Proxy
- libovolný počítač sestavení
- libovolný zkušební počítač
Různé funkce Azure DevOps Server můžete nainstalovat a nasadit různými způsoby. Distribuce funkcí ve vašem nasazení určuje, jaké služby a účty služeb běží na fyzických počítačích. Kromě toho může být potřeba spravovat účty služeb pro softwarové programy, které jsou nakonfigurovány pro práci s Azure DevOps Server, například účty služeb pro SQL Server.
Service Accounts
I když Azure DevOps Server používá několik účtů služeb, můžete použít stejnou doménu nebo účet pracovní skupiny pro většinu nebo všechny z nich. Můžete například použít stejný účet Contoso\\Example
domény jako účet služby pro Azure DevOps Server (TFSService) a účet zdrojů dat pro SQL Server Reporting Services (TFSReports). Různé účty služeb však můžou vyžadovat různé úrovně oprávnění. Například TFSService musí mít oprávnění Přihlásit se jako služba a TFSReports musí mít oprávnění Povolit místní přihlášení . Pokud pro oba používáte stejný účet Contoso\\Example
, musíte mu udělit obě tato oprávnění. Kromě toho TFSService vyžaduje ke správnému fungování výrazně více oprávnění, než vyžaduje TFSReports , jak je uvedeno v tabulce dále v tomto tématu. Z bezpečnostních důvodů byste měli zvážit použití samostatných účtů pro tyto dva účty služby.
Důležité
Účet použitý k instalaci Azure DevOps Server nesmíte použít jako účet pro některý z těchto účtů služby.
Pokud jste nasadili Azure DevOps Server v doméně služby Active Directory, měli byste nastavit možnost Účet je citlivý a nelze ho delegovat pro účty služeb. Například v následující tabulce byste měli tuto možnost nastavit pro TFSService. Další informace o požadovaných účtech služby a zástupných názvech používaných v dokumentaci pro Azure DevOps Server najdete v tématu Účty vyžadované pro instalaci Azure DevOps Server v průvodci instalací pro Team Foundation. Další informace o delegování účtu ve službě Active Directory naleznete na následující stránce na webu společnosti Microsoft: Delegování autority ve službě Active Directory.
Vzhledem k tomu, že musíte spravovat několik účtů služby, odkazuje se na každý účet služby zástupným názvem, který identifikuje jeho funkci, jak je uvedeno v tabulce dále v tomto tématu. Zástupný název není skutečný název účtu, který používáte pro každý účet služby. Skutečný název účtu se liší v závislosti na vašem nasazení. V předchozím příkladu byl Contoso\\Example
účet použitý pro TFSService i TFSReports . Ve vlastním nasazení můžete vytvořit doménové účty s konkrétními názvy TFSService
a nebo TFSReports
můžete jako účet služby pro Team Foundation Server použít systémový účet Network Service.
Důležité
Pokud není výslovně uvedeno jinak, žádné skupiny ani účty v následující tabulce by neměly být členy skupiny Administrators na žádném ze serverů ve vašem nasazení Azure DevOps Server.
Následující tabulka uvádí většinu účtů služby, které se dají použít v nasazení Azure DevOps Server. Další účty služeb, které tu nejsou uvedené, najdete v tématu Oprávnění a skupiny, Účty služeb.
Účet služby pro
Zástupný název a použitelný typ účtu
Požadovaná oprávnění a členství ve skupinách
Poznámky
Azure DevOps Services
Account Service (CollectionName)
Žádné Tento účet se používá jenom v případě, že používáte hostované nasazení Azure DevOps.
Vytvoří se automaticky při vytváření organizace v Azure DevOps Services. Používá se, když klienti komunikují s hostovanou službou, a dá se zobrazit na stránce správy webového portálu.
Azure DevOps Server
TFSService: Může to být místní účet, doménový účet, místní služba v pracovní skupině nebo síťová služba v doméně.
Přihlášení jako služba na serveru aplikační vrstvy
Tento účet služby se používá pro všechny webové služby Azure DevOps. Pokud pro tento účet používáte účet domény, musí být členem domény, které všechny počítače v průběhu nasazení plně důvěřují.
Sestavení Team Foundation
TFSBuild, což může být místní účet, doménový účet nebo místní služba v pracovní skupině.
Přihlásit jako službu
Tento účet služby se používá při konfiguraci sestavení a při komunikaci informací o stavu sestavení mezi kontrolerem sestavení a agenty sestavení.
SQL Server Reporting Services
TFSReports, což může být místní účet, doménový účet nebo místní služba v pracovní skupině
Povolit místní přihlášení na serveru aplikační vrstvy a na serveru, na kterém běží SQL Server Reporting Services
TFSWareHouseDataReader na serveru sestav
Tento účet služby načítá data pro sestavy ze služby Reporting Services.
proxy Azure DevOps Server
TFSProxy, což může být místní účet, doménový účet, místní služba v pracovní skupině nebo síťová služba v doméně
Přihlásit jako službu
Používá se pro všechny služby proxy. Pokud pro tento účet používáte účet domény, musí být členem domény, které všechny počítače v průběhu nasazení plně důvěřují.
Testovací agent a kontroler testovacího agenta
TFSTest: Může to být místní účet, doménový účet nebo síťová služba v doméně.
Přihlásit jako službu
Používá se při komunikaci informací o testech mezi kontrolerem testovacího agenta a testovacím agentem.
Služby, které běží v rámci účtů služeb
Následující tabulka uvádí služby, které běží v rámci účtů služeb v místním nasazení Azure DevOps.
Název služby | Účet služby | Logická úroveň |
---|---|---|
Code Coverage Service | Tfsservice | aplikační vrstva |
webové služby Azure DevOps Server | Tfsservice | aplikační vrstva |
SQL Server Reporting Services (MSSQLSERVER nebo InstanceName, pokud používáte pojmenovanou instanci) | Místní systém nebo účet domény | aplikační vrstva |
Webová služba sestav | Místní systém, síťová služba nebo účet domény | aplikační vrstva |
Visual Studio Team Foundation Build Service Host (pokud je nainstalovaný Team Foundation Build) | TFSBuild | sestavení počítače |
Visual Studio Team Foundation – agent úlohy na pozadí | Tfsservice | aplikační vrstva |
Visual Studio Test Controller | TFSTest | libovolný počítač |
Visual Studio Test Agent | TFSTest | testovat počítač |
Analysis Server (MSSQLSERVER nebo InstanceName , pokud používáte pojmenovanou instanci) | Místní systém nebo účet domény | datová vrstva |
prohlížeč SQL Server | Místní služba nebo účet domény | datová vrstva |
SQL Server (MSSQLSERVER nebo InstanceName, pokud používáte pojmenovanou instanci) | Místní systém, síťová služba nebo účet domény | datová vrstva |
SQL Server Agent (MSSQLSERVER nebo InstanceName, pokud používáte pojmenovanou instanci) | Místní systém, síťová služba nebo účet domény | datová vrstva |
Account Service (CollectionName) | Automaticky | webová úroveň (jenom Azure DevOps Services) |
Další informace o účtech služeb pro SQL Server naleznete na následující stránce na webu společnosti Microsoft: SQL Server Books Online. Nejnovější informace o účtech služby Azure DevOps Server najdete v tématu Místní instalace a konfigurace Azure DevOps.
Poznámka
Pokud změníte účet služby pro Team Foundation Build, musíte se ujistit, že nový účet služby je členem skupiny Build Services. Musíte se také ujistit, že účet má oprávnění ke čtení a zápisu dočasných složek a ASP.NET dočasné složce. Podobně pokud změníte účet služby pro službu Proxy serveru Team Foundation Server, musíte se ujistit, že účet je členem příslušných skupin. Další informace najdete v tématu Konfigurace systému sestavení.
Otázky a odpovědi
Otázka: Jsou účty služeb přiřazené skupině na úrovni přístupu?
A: Ve výchozím nastavení se účty služeb přidávají do výchozí úrovně přístupu. Pokud nastavíte úroveň přístupu účastníka jako výchozí, musíte přidat účet služby Azure DevOps Server do skupiny Basic nebo Advanced.
Otázka: Vyžadují účty služeb licenci?
A: Ne. Účty služeb nevyžadují samostatnou licenci.
Otázka: Návody změnit heslo nebo účet pro účet služby?
A: Viz Změna účtu služby nebo hesla.