Nastavení skupin pro použití v místním prostředí Azure DevOps
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Správa uživatelů v Azure DevOps Server je mnohem jednodušší, pokud pro ně vytvoříte skupiny Windows nebo Active Directory, zejména pokud vaše nasazení zahrnuje SQL Server Reporting Services.
Uživatelé, skupiny a oprávnění v nasazeních Azure DevOps Server
Azure DevOps Server a SQL Server Reporting Services si udržují vlastní informace o skupinách, uživatelích a oprávněních. Pokud chcete zjednodušit správu uživatelů a oprávnění v těchto programech, můžete v nasazení vytvořit skupiny uživatelů s podobnými požadavky na přístup, udělit těmto skupinám odpovídající přístup v různých softwarových programech a pak podle potřeby uživatele do skupiny jednoduše přidat nebo do skupiny odebrat. To je mnohem jednodušší než údržba jednotlivých uživatelů nebo skupin uživatelů samostatně ve třech samostatných programech.
Pokud je váš server v doméně služby Active Directory, jednou z možností je vytvořit konkrétní skupiny služby Active Directory pro správu uživatelů, například skupinu vývojářů a testerů pro všechny projekty v kolekci projektů nebo skupinu uživatelů, kteří můžou vytvářet a spravovat projekty v kolekci. Podobně můžete vytvořit účet Služby Active Directory pro služby, které nelze nakonfigurovat tak, aby jako účet služby používaly systémový účet síťové služby. Uděláte to tak, že vytvoříte účet Služby Active Directory pro účet zdroje dat s přístupem pro čtení pro sestavy v SQL Server Reporting Services.
Důležité
Pokud se rozhodnete používat skupiny služby Active Directory v Azure DevOps Server, zvažte vytvoření konkrétních skupin, jejichž účelem je správa uživatelů v Azure DevOps Server. Použití dříve existujících skupin, které byly vytvořeny pro jiný účel, zejména pokud je spravují jiní uživatelé, kteří nejsou obeznámeni s Azure DevOps Server, může vést k neočekávaným uživatelským důsledkům, pokud se členství změní na podporu některé jiné funkce.
Výchozí volbou během instalace je použít systémový účet síťové služby jako účet služby pro Azure DevOps Server a SQL Server. Pokud chcete použít konkrétní účet jako účet služby pro účely zabezpečení nebo z jiných důvodů, jako je nasazení se škálováním na více instancí, můžete. Můžete také vytvořit konkrétní účet služby Active Directory, který se použije jako účet služby pro účet čtenáře zdroje dat pro SQL Server Reporting Services.
Pokud je váš server v doméně služby Active Directory, ale nemáte oprávnění k vytváření skupin nebo účtů služby Active Directory nebo pokud server instalujete do pracovní skupiny místo domény, můžete vytvářet a používat místní skupiny ke správě uživatelů v různých SQL Server a Azure DevOps Server. Podobně můžete vytvořit místní účet, který se použije jako účet služby. Mějte ale na paměti, že místní skupiny a účty nejsou tak robustní jako doménové skupiny a účty. Například v případě selhání serveru byste museli znovu vytvořit skupiny a účty od začátku na novém serveru. Pokud používáte skupiny a účty služby Active Directory, skupiny a účty se zachovají i v případě, že server hostující Azure DevOps Server selže.
Například po kontrole obchodních požadavků na nové nasazení a požadavků na zabezpečení s projektovými manažery se můžete rozhodnout vytvořit tři skupiny pro správu většiny uživatelů v nasazení:
Obecná skupina pro vývojáře a testery, kteří se budou plně účastnit všech projektů ve výchozí kolekci projektů. Tato skupina bude obsahovat většinu uživatelů. Tuto skupinu můžete pojmenovat TFS_ProjectContributors.
Malá skupina správců projektů, kteří budou mít oprávnění k vytváření a správě projektů v kolekci. Tuto skupinu můžete pojmenovat TFS_ProjectAdmins.
Speciální, omezená skupina dodavatelů, kteří budou mít přístup pouze k jednomu z projektů. Tuto skupinu můžete pojmenovat TFS_RestrictedAccess.
Později se s rozšířením nasazení můžete rozhodnout vytvořit další skupiny.
Vytvoření skupiny ve službě Active Directory
- Vytvořte skupinu zabezpečení, která je místní doménou, globální nebo univerzální skupinou ve službě Active Directory, jak nejlépe vyhovuje vašim obchodním potřebám. Pokud například skupina potřebuje obsahovat uživatele z více než jedné domény, bude univerzální typ skupiny nejlépe vyhovovat vašim potřebám. Další informace najdete v tématu Vytvoření nové skupiny (Active Directory Domain Services).
Vytvoření místní skupiny na serveru
- Vytvořte místní skupinu a pojmenujte ji tak, aby rychle identifikovala její účel. Ve výchozím nastavení bude mít každá skupina, kterou vytvoříte, ekvivalentní oprávnění výchozí skupiny Uživatelé na tomto počítači. Další informace najdete v tématu Vytvoření místní skupiny.
Vytvoření účtu, který se použije jako účet služby ve službě Active Directory
- Vytvořte účet ve službě Active Directory, nastavte zásady hesel podle vašich obchodních požadavků a ujistěte se, že je pro účet vybraný účet důvěryhodný pro delegování . Další informace najdete v tématech Vytvoření nového uživatelského účtu (Active Directory Domain Services) a Principy uživatelských účtů (Active Directory Domain Services).
Vytvoření místního účtu, který se použije jako účet služby na serveru
- Vytvořte místní účet, který použijete jako účet služby, a pak upravte jeho členství ve skupině a další vlastnosti podle požadavků na zabezpečení pro vaši firmu. Další informace najdete v tématu Vytvoření místního uživatelského účtu.
Zkuste to příště.
Otázky a odpovědi
Otázka: Můžu pomocí skupin omezit přístup k projektům nebo funkcím v Azure DevOps Server?
A: Ano, můžete. Můžete vytvořit konkrétní skupiny pro udělení nebo omezení přístupu k vybraným funkcím, funkcím a projektům, ke správě úrovní přístupu a dalším účelům.