Dienstkonten und Abhängigkeiten
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018
Sie können Azure DevOps Server besser verwalten, wenn Sie die Dienste und mehrere Dienstkonten kennen, die jede Bereitstellung von Azure DevOps umfasst und von denen jede Bereitstellung abhängt. Je nachdem, wie Sie Azure DevOps installiert und konfiguriert haben, können diese Dienste und Dienstkonten auf einem Computer ausgeführt werden, oder sie können auf vielen Computern ausgeführt werden. Hierdurch ändern sich bestimmte Aspekte der Bereitstellungsverwaltung. Wenn Sie beispielsweise die serverseitigen Komponenten der Bereitstellung auf mehreren Computern ausführen, müssen Sie sicherstellen, dass die Dienstkonten, die Ihre Bereitstellung verwendet, über die Zugriffsrechte und Berechtigungen verfügen, die sie benötigen, um ordnungsgemäß zu funktionieren.
Azure DevOps Server verfügt über Dienste und Dienstkonten, die auf den folgenden Computern in einer Bereitstellung ausgeführt werden:
- jeder Server, der mindestens eine Datenbank für Azure DevOps Server hostet
- jeder Server, der Komponenten der Anwendungsebene für Azure DevOps Server hostet
- jeder Computer, auf dem Azure DevOps Server Proxy ausgeführt wird
- Auf einem Buildcomputer.
- Auf einem Testcomputer.
Sie können verschiedene Features von Azure DevOps Server auf verschiedene Arten installieren und bereitstellen. Die Verteilung von Funktionen in der Bereitstellung bestimmt, welche Dienste und Dienstkonten auf welchen physischen Computern ausgeführt werden. Darüber hinaus müssen Sie möglicherweise die Dienstkonten für Softwareprogramme verwalten, die für die Verwendung mit Azure DevOps Server konfiguriert sind, z. B. die Dienstkonten für SQL Server.
Dienstkonten
Obwohl Azure DevOps Server mehrere Dienstkonten verwendet, können Sie für die meisten oder alle dasselbe Domänen- oder Arbeitsgruppenkonto verwenden. Sie können beispielsweise dasselbe Domänenkonto Contoso\\Example
wie das Dienstkonto für Azure DevOps Server (TFSService) und das Datenquellenkonto für SQL Server Reporting Services (TFSReports) verwenden. Andere Dienstkonten können jedoch andere Berechtigungsstufen erfordern. Beispielsweise muss TFSService über die Berechtigung Anmelden als Dienst verfügen, und TFSReports muss über die Berechtigung Lokales Anmelden zulassen verfügen. Wenn Sie für beide dasselbe Konto Contoso\\Example
verwenden, müssen Sie ihm beide Berechtigungen erteilen. Darüber hinaus benötigt TFSService wesentlich mehr Berechtigungen, um ordnungsgemäß zu arbeiten als die Berechtigungen, die TFSReports benötigt, wie die Tabelle weiter unten in diesem Thema zeigt. Aus Sicherheitsgründen sollten Sie erwägen, separate Konten für diese beiden Dienstkonten zu verwenden.
Wichtig
Sie dürfen das Konto, das zum Installieren Azure DevOps Server verwendet wurde, nicht als Konto für eines dieser Dienstkonten verwenden.
Wenn Sie Azure DevOps Server in einer Active Directory-Domäne bereitgestellt haben, sollten Sie die Option Konto für Dienstkonten vertraulich und nicht delegiert festlegen. In der folgenden Tabelle sollten Sie beispielsweise diese Option für TFSService festlegen. Weitere Informationen zu erforderlichen Dienstkonten und Platzhalternamen, die in der Dokumentation für Azure DevOps Server verwendet werden, finden Sie im Thema "Für die Installation von Azure DevOps Server erforderliche Konten" im Installationshandbuch für Team Foundation. Weitere Informationen zur Kontodelegierung in Active Directory finden Sie auf der folgenden Seite auf der Microsoft-Website: Delegating Authority in Active Directory.
Da Sie mehrere Dienstkonten verwalten müssen, wird auf jedes Dienstkonto durch einen Platzhalternamen verwiesen, der die entsprechende Funktion angibt, wie in der Tabelle weiter unten in diesem Thema aufgeführt. Der Platzhaltername ist nicht der tatsächliche Name des Kontos, das Sie für jedes Dienstkonto verwenden. Der tatsächliche Name des Kontos ist von der Bereitstellung abhängig. Im vorherigen Beispiel war das Konto, das sowohl für TFSService als auch für TFSReports verwendet wurde Contoso\\Example
, . In Ihrer eigenen Bereitstellung können Sie Domänenkonten mit den spezifischen Namen von TFSService
und TFSReports
erstellen oder das Systemkonto Netzwerkdienst als Dienstkonto für Team Foundation Server verwenden.
Wichtig
Sofern nicht ausdrücklich anders angegeben, sollten keine Gruppen oder Konten in der folgenden Tabelle Mitglieder der Gruppe Administratoren auf einem der Server in Ihrer Bereitstellung von Azure DevOps Server sein.
In der folgenden Tabelle sind die meisten Dienstkonten aufgeführt, die in einer Bereitstellung von Azure DevOps Server verwendet werden können. Weitere Dienstkonten, die hier nicht aufgeführt sind, finden Sie unter Berechtigungen und Gruppen, Dienstkonten.
Dienstkonto für
Platzhaltername und verwendbarer Kontotyp
Erforderliche Berechtigung und Gruppenmitgliedschaft
Hinweise
Azure DevOps Services
Kontodienst (CollectionName)
Keine. Dieses Konto wird nur verwendet, wenn Sie eine gehostete Bereitstellung von Azure DevOps verwenden.
Wird automatisch für Sie erstellt, wenn Sie eine organization in Azure DevOps Services erstellen. Es wird verwendet, wenn Clients mit dem gehosteten Dienst kommunizieren, und kann über die Verwaltungsseite des Webportals angezeigt werden.
Azure DevOps Server
TFSService: Kann ein lokales Konto, ein Domänenkonto, lokaler Dienst in einer Arbeitsgruppe oder Netzwerkdienst in einer Domäne sein.
Anmelden als Dienst auf dem Anwendungsebenenserver
Dieses Dienstkonto wird für alle Azure DevOps-Webdienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.
Team Foundation Build
TFSBuild, bei dem es sich um ein lokales Konto, ein Domänenkonto oder einen lokalen Dienst in einer Arbeitsgruppe handeln kann
Anmelden als Dienst
Dieses Dienstkonto wird verwendet, wenn Builds konfiguriert und Buildstatusinformationen zwischen dem Buildcontroller und den Build-Agents übermittelt werden.
SQL Server Reporting Services
TFSReports, wobei es sich um ein lokales Konto, ein Domänenkonto oder einen lokalen Dienst in einer Arbeitsgruppe handeln kann
Lokale Anmeldung auf dem Anwendungsebenenserver und auf dem Server zulassen, auf dem SQL Server Reporting Services
TFSWareHouseDataReader auf dem Berichtsserver ausgeführt wird
Dieses Dienstkonto ruft Daten für Berichte aus Reporting Services ab.
Azure DevOps Server Proxy
TFSProxy, das ein lokales Konto, ein Domänenkonto, lokaler Dienst in einer Arbeitsgruppe oder Netzwerkdienst in einer Domäne sein kann
Anmelden als Dienst
Wird für alle Proxydienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.
Test-Agent und Test-Agent-Controller
TFSTest: Kann ein lokales Konto, ein Domänenkonto oder ein Netzwerkdienst in einer Domäne sein.
Anmelden als Dienst
Wird verwendet, wenn Informationen zu Tests zwischen dem Test-Agent-Controller und dem Test-Agent kommuniziert werden.
Dienste, die unter Dienstkonten ausgeführt werden.
In der folgenden Tabelle sind die Dienste aufgeführt, die unter Dienstkonten in einer lokalen Azure DevOps-Bereitstellung ausgeführt werden.
Dienstname | Dienstkonto | Logische Ebene |
---|---|---|
Codeabdeckungsdienst | TFSService | Anwendungsebene |
Azure DevOps Server Webdienste | TFSService | Anwendungsebene |
SQL Server Reporting Services (MSSQLSERVER oder InstanceName bei Verwendung eines benannten instance) | Lokales System oder ein Domänenkonto | Anwendungsebene |
Berichtswebdienst | Lokales System, Netzwerkdienst oder ein Domänenkonto | Anwendungsebene |
Visual Studio Team Foundation Build Service Host (wenn Team Foundation Build installiert ist) | TFSBuild | Buildcomputer |
Visual Studio Team Foundation-Hintergrundauftrags-Agent | TFSService | Anwendungsebene |
Visual Studio Test Controller | TFSTest | Beliebiger Computer |
Visual Studio Test Agent | TFSTest | Testcomputer |
Analysis Server (MSSQLSERVER oder InstanceName, wenn Sie einen benannten instance verwenden) | Lokales System oder ein Domänenkonto | Datenebene |
SQL Server-Browser | Lokaler Dienst oder ein Domänenkonto | Datenebene |
SQL Server (MSSQLSERVER oder InstanceName bei Verwendung eines benannten instance) | Lokales System, Netzwerkdienst oder ein Domänenkonto | Datenebene |
SQL Server-Agent (MSSQLSERVER oder InstanceName bei Verwendung eines benannten instance) | Lokales System, Netzwerkdienst oder ein Domänenkonto | Datenebene |
Kontodienst (CollectionName) | Automatisch | Webebene (nur Azure DevOps Services) |
Weitere Informationen zu Dienstkonten für SQL Server finden Sie auf der folgenden Seite auf der Microsoft-Website: SQL Server Onlinedokumentation. Die neuesten Informationen zu Azure DevOps Server Dienstkonten finden Sie unter Installieren und Konfigurieren von Azure DevOps lokal.
Hinweis
Wenn Sie das Dienstkonto für Team Foundation Build ändern, müssen Sie sicherstellen, dass das neue Dienstkonto Mitglied der Gruppe Build Services ist. Vergewissern Sie sich auch, dass das Konto über Lese-/Schreibberechtigungen für die temporären Ordner und den temporären ASP.NET-Ordner verfügt. Wenn Sie das Dienstkonto für den Team Foundation Server-Proxydienst ändern, müssen Sie ebenfalls sicherstellen, dass das Konto Mitglied der entsprechenden Gruppen ist. Weitere Informationen finden Sie unter Konfigurieren Ihres Buildsystems.
Fragen und Antworten
F: Sind Dienstkonten einer Gruppe auf der Zugriffsgruppe zugewiesen?
Eine: Standardmäßig werden Dienstkonten der Standardzugriffsebene hinzugefügt. Wenn Sie Den Stakeholder zur Standardzugriffsebene machen, müssen Sie das Azure DevOps Server-Dienstkonto der Gruppe Basic oder Advanced hinzufügen.
F: Benötigen Dienstkonten eine Lizenz?
A: Nein. Dienstkonten erfordern keine separate Lizenz.
F: Gewusst wie das Kennwort oder Konto für ein Dienstkonto ändern?
Eine: Weitere Informationen finden Sie unter Ändern des Dienstkontos oder Kennworts.