Freigeben über

Ändern des Dienstkontos oder kennworts für Azure DevOps Server

  • Artikel

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Sie können die Sicherheit von Azure DevOps Server verbessern, indem Sie sein Dienstkonto oder das für dieses Konto verwendete Kennwort ändern. Azure DevOps Server führt Dienste wie seine Webdienste und den Team Foundation Background Job Agent im Kontext eines Dienstkontos aus.

Die Azure DevOps Server-Dokumentation bezieht sich auf dieses Dienstkonto als TFSService, obwohl dies nicht der tatsächliche Name des Kontos ist, es sei denn, Sie erstellen ein Konto mit diesem Namen ausdrücklich. Azure DevOps Server speichert einen Datensatz des Namens des tatsächlichen Kontos, das als Dienstkonto verwendet wird. Durch Ändern des Datensatzes können Sie ein anderes Konto zuweisen, das als Dienstkonto fungiert. Sie können auch das Kennwort für dieses Konto ändern. Unabhängig davon, ob Sie das Konto, das Kennwort oder beides ändern, bleiben Sie mit anderen Komponenten in Ihrer Bereitstellung synchronisiert. Wenn beispielsweise eine Active Directory-Domänenrichtlinie erfordert, dass alle Kennwörter regelmäßig ablaufen, können Sie die Kennwortinformationen für das Dienstkonto in Azure DevOps Server aktualisieren, wenn sich dieses Kennwort ändert.

Hinweis

Azure DevOps Server und seine Dienstprogramme können kein neues lokales oder Domänenkonto erstellen, das als TFSService verwendet werden kann, und sie können das Kennwort für dieses Konto in der Arbeitsgruppe oder in der Domäne nicht aktualisieren. Stattdessen aktualisieren die Dienstprogramme die Datensätze so, dass sie mit den neuen Anmeldeinformationen übereinstimmen. Wenn Ihre Bereitstellung mehrere Anwendungsebenenserver enthält, müssen Sie jeden Server manuell mit änderungen am Dienstkonto oder seinem Kennwort aktualisieren.

Weitere Informationen zu Dienstkonten in Azure DevOps Server finden Sie unter Dienstkonten und Abhängigkeiten in Azure DevOps Server. Weitere Informationen zu den für die Installation erforderlichen Konten, einschließlich des Dienstkontos für Azure DevOps Server, finden Sie unter Dienstkontoanforderungen.

Voraussetzungen

  • Um diese Verfahren auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem Azure DevOps-Anwendungsebenenserver und ein Mitglied der Sysadmin-Gruppe auf dem Server und der Instanz von SQL Server sein, die die Konfigurationsdatenbank für Azure DevOps hosten. Weitere Informationen finden Sie unter Azure DevOps Server-Architektur und Berechtigungsreferenz für Azure DevOps Server.

Um einer Befehlszeilenprozedur zu folgen, müssen Sie möglicherweise ein Eingabeaufforderungsfenster mit erhöhten Rechten öffnen. Öffnen Sie das Kontextmenü für die Eingabeaufforderung, und wählen Sie "Als Administrator ausführen" aus. Weitere Informationen finden Sie unter Benutzerkontensteuerung.

Ändern des Kennworts des Dienstkontos

Um das Kennwort von TFSService zu ändern, müssen Sie sich bei dem Anwendungsebenenserver für Azure DevOps anmelden und entweder die Verwaltungskonsole für Azure DevOps verwenden oder ein Eingabeaufforderungsfenster öffnen und das Befehlszeilenprogramm TFSConfig verwenden. Wenn Ihre Bereitstellung mehrere Anwendungsebenenserver enthält, müssen Sie diese Aufgabe auf jedem Server ausführen, um die Kontoinformationen zu synchronisieren.

Hinweis

Je nach Bereitstellungskonfiguration müssen Sie möglicherweise Internetinformationsdienste (IIS) neu starten, nachdem Sie das Verfahren abgeschlossen haben, bevor die Änderungen wirksam werden.

Verwenden der Verwaltungskonsole zum Ändern des Kennworts

  1. Öffnen Sie die Verwaltungskonsole für Azure DevOps auf dem Server, auf dem die Anwendungsebene gehostet wird.

    Weitere Informationen finden Sie unter Öffnen der Azure DevOps Server-Verwaltungskonsole .

  2. Erweitern Sie in der Konsole den Servernamen, und wählen Sie "Anwendungsebene" aus.

  3. Wählen Sie im Bereich "Anwendungsebene" die Option "Kontokennwort aktualisieren" aus.

    Das Fenster "Kontokennwort aktualisieren" wird geöffnet.

    Hinweis

    Wenn Sie ein Systemkonto als Dienstkonto verwendet haben, wird beim Auswählen des Kontokennworts eine Fehlermeldung angezeigt. Sie müssen das Kennwort dieses Kontos nicht ändern. Systemkonten verfügen nicht über vom Benutzer verwaltete Kennwörter.

  4. Geben Sie das neue Kennwort in "Kennwort" ein, und wählen Sie dann "OK" aus.

    Das Fenster "Dienstkonto ändern" wird geöffnet.

  5. Warten Sie, bis alle Statusmeldungen im Status abgeschlossen sind, und wählen Sie dann "Schließen" aus.

    Hinweis

    Dieser Prozess kann einige Minuten in Anspruch nehmen.

Verwenden des TFSConfig-Hilfsprogramms zum Ändern des Kennworts

  1. Öffnen Sie auf dem Anwendungsebenenserver ein Eingabeaufforderungsfenster, und ändern Sie Verzeichnisse in das Verzeichnis, das das TFSConfig-Hilfsprogramm enthält.

    Dieses Hilfsprogramm befindet sich standardmäßig unter "Drive:\Program Files\TFS 12.0\Tools".

  2. Geben Sie in der Befehlszeile TFSConfig-Konten /UpdatePassword /accountType:ApplicationTier /account:AccountName /password:NewPassword ein, und drücken Sie dann die EINGABETASTE.

  3. Sie müssen sowohl den Namen des Dienstkontos (AccountName) als auch das Kennwort des Kontos (NewPassword) angeben.

Zuweisen eines anderen Kontos als Dienstkonto

Um Azure DevOps Server so zu konfigurieren, dass es ein anderes Konto als Dienstkonto für Azure DevOps verwendet, können Sie entweder die Verwaltungskonsole oder das Befehlszeilenprogramm TFSConfig verwenden. Wenn Ihre Bereitstellung mehrere Anwendungsebenenserver enthält, müssen Sie diese Aufgabe auf jedem Server ausführen, um die Kontoinformationen zu synchronisieren. Bevor Sie eines der Hilfsprogramme verwenden, um die Änderung vorzunehmen, sollten Sie die folgenden Probleme berücksichtigen:

  • Sie müssen ein neues Konto auswählen, das entweder ein Systemkonto oder ein Mitglied einer Arbeitsgruppe oder Domäne ist, die von jedem Computer in dieser Bereitstellung von Azure DevOps Server als vertrauenswürdig eingestuft wird.
  • Die Konfigurationshilfsprogramme gewähren dem neuen Dienstkonto die Berechtigung "Anmelden als Dienst ". Die Dienstprogramme widerrufen diese Berechtigung jedoch nicht von dem Konto, das zuvor als Dienstkonto verwendet wurde, wenn ein anderer Dienst dieses Konto weiterhin verwendet. Wenn das alte Konto diese Berechtigung für den Dienst, für den es noch verwendet wird, nicht mehr benötigt, sollten Sie diese Berechtigung möglicherweise manuell aus dem alten Konto entfernen.

Weitere Informationen finden Sie unter Hinzufügen der Anmeldung als Dienst direkt zu einem Konto.

  • Möglicherweise müssen Sie IIS neu starten, nachdem Sie das Verfahren abgeschlossen haben, bevor die Änderungen wirksam werden.
  • Das TFSConfig-Hilfsprogramm ändert nur die Dienste, die unter dem alten Konto ausgeführt werden.

Verwenden der Verwaltungskonsole zum Ändern des Dienstkontos

  1. Öffnen Sie die Verwaltungskonsole für Azure DevOps auf dem Server, auf dem die Anwendungsebene gehostet wird.

  2. Erweitern Sie in der Konsole den Servernamen, und wählen Sie "Anwendungsebene" aus.

  3. Wählen Sie im Bereich "Anwendungsebene" die Option "Konto ändern" aus.

    Das Fenster "Dienstkonto aktualisieren" wird geöffnet.

  4. Führen Sie einen der folgenden Schritte aus:

    1. Um ein Systemkonto zu verwenden, wählen Sie "Systemkonto verwenden" und dann in der Dropdownliste ein Systemkonto aus.

      Wenn Ihr Server Mitglied einer Active Directory-Domäne ist, ist die Standardauswahl für das zu verwendende Systemkonto der Netzwerkdienst. Wenn Ihr Server Mitglied einer Arbeitsgruppe ist, ist die Standardauswahl der lokale Dienst. Je nach den Details Ihrer Bereitstellung ist die Standardauswahl möglicherweise die einzige verfügbare Option.

      Hinweis

      Systemkonten verfügen nicht über vom Benutzer verwaltete Kennwörter. Wenn Sie ein Systemkonto als TFSService verwenden, sollten Sie kein Kennwort in das Kennwortfeld eingeben.

    2. Wenn Sie ein Domänen- oder Arbeitsgruppenkonto verwenden möchten, wählen Sie "Benutzerkonto verwenden", geben Sie den Namen des Kontos unter "Kontoname" ein, und geben Sie dann das Kennwort für dieses Konto in "Kennwort" ein.

  5. Wählen Sie OK aus.

    Das Fenster "Dienstkonto ändern" wird geöffnet.

  6. Warten Sie, bis alle Statusmeldungen im Status abgeschlossen sind, und wählen Sie dann "Schließen" aus.

    Hinweis

    Dieser Prozess kann einige Minuten in Anspruch nehmen.

Verwenden des TFSConfig-Hilfsprogramms zum Ändern des Dienstkontos

  1. Öffnen Sie auf dem Anwendungsebenenserver ein Eingabeaufforderungsfenster, und ändern Sie Verzeichnisse in das Verzeichnis, das das TFSConfig-Hilfsprogramm enthält.

    Dieses Hilfsprogramm befindet sich standardmäßig unter "Drive:\Program Files\TFS 12.0\Tools".

  2. Geben Sie in der Befehlszeile TFSConfig-Konten /change /accountType:ApplicationTier /account:AccountName /password:NewPassword ein, und drücken Sie dann die EINGABETASTE.

    Weitere Informationen finden Sie im Befehl "Konten".