Dienstkonten und Abhängigkeiten

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

Sie können Azure DevOps Server besser verwalten, wenn Sie die Dienste und mehrere Dienstkonten kennen, die jede Bereitstellung von Azure DevOps umfasst und von denen jede Bereitstellung abhängt. Je nachdem, wie Sie Azure DevOps installiert und konfiguriert haben, können diese Dienste und Dienstkonten auf einem Computer ausgeführt werden, oder sie können auf vielen Computern ausgeführt werden. Hierdurch ändern sich bestimmte Aspekte der Bereitstellungsverwaltung. Wenn Sie beispielsweise die serverseitigen Komponenten der Bereitstellung auf mehreren Computern ausführen, müssen Sie sicherstellen, dass die Dienstkonten, die Ihre Bereitstellung verwendet, über die Zugriffsrechte und Berechtigungen verfügen, die sie benötigen, um ordnungsgemäß zu funktionieren.

Azure DevOps Server verfügt über Dienste und Dienstkonten, die auf den folgenden Computern in einer Bereitstellung ausgeführt werden:

  • jeder Server, der mindestens eine Datenbank für Azure DevOps Server hostet
  • jeder Server, der Komponenten der Anwendungsebene für Azure DevOps Server hostet
  • jeder Computer, auf dem Azure DevOps Server Proxy ausgeführt wird
  • Auf einem Buildcomputer.
  • Auf einem Testcomputer.

Sie können verschiedene Features von Azure DevOps Server auf verschiedene Arten installieren und bereitstellen. Die Verteilung von Funktionen in der Bereitstellung bestimmt, welche Dienste und Dienstkonten auf welchen physischen Computern ausgeführt werden. Darüber hinaus müssen Sie möglicherweise die Dienstkonten für Softwareprogramme verwalten, die für die Verwendung mit Azure DevOps Server konfiguriert sind, z. B. die Dienstkonten für SQL Server.

Dienstkonten

Obwohl Azure DevOps Server mehrere Dienstkonten verwendet, können Sie für die meisten oder alle dasselbe Domänen- oder Arbeitsgruppenkonto verwenden. Sie können beispielsweise dasselbe Domänenkonto Contoso\\Example wie das Dienstkonto für Azure DevOps Server (TFSService) und das Datenquellenkonto für SQL Server Reporting Services (TFSReports) verwenden. Andere Dienstkonten können jedoch andere Berechtigungsstufen erfordern. Beispielsweise muss TFSService über die Berechtigung Anmelden als Dienst verfügen, und TFSReports muss über die Berechtigung Lokales Anmelden zulassen verfügen. Wenn Sie für beide dasselbe Konto Contoso\\Example verwenden, müssen Sie ihm beide Berechtigungen erteilen. Darüber hinaus benötigt TFSService wesentlich mehr Berechtigungen, um ordnungsgemäß zu arbeiten als die Berechtigungen, die TFSReports benötigt, wie die Tabelle weiter unten in diesem Thema zeigt. Aus Sicherheitsgründen sollten Sie erwägen, separate Konten für diese beiden Dienstkonten zu verwenden.

Wichtig

Sie dürfen das Konto, das zum Installieren Azure DevOps Server verwendet wurde, nicht als Konto für eines dieser Dienstkonten verwenden.

Wenn Sie Azure DevOps Server in einer Active Directory-Domäne bereitgestellt haben, sollten Sie die Option Konto für Dienstkonten vertraulich und nicht delegiert festlegen. In der folgenden Tabelle sollten Sie beispielsweise diese Option für TFSService festlegen. Weitere Informationen zu erforderlichen Dienstkonten und Platzhalternamen, die in der Dokumentation für Azure DevOps Server verwendet werden, finden Sie im Thema "Für die Installation von Azure DevOps Server erforderliche Konten" im Installationshandbuch für Team Foundation. Weitere Informationen zur Kontodelegierung in Active Directory finden Sie auf der folgenden Seite auf der Microsoft-Website: Delegating Authority in Active Directory.

Da Sie mehrere Dienstkonten verwalten müssen, wird auf jedes Dienstkonto durch einen Platzhalternamen verwiesen, der die entsprechende Funktion angibt, wie in der Tabelle weiter unten in diesem Thema aufgeführt. Der Platzhaltername ist nicht der tatsächliche Name des Kontos, das Sie für jedes Dienstkonto verwenden. Der tatsächliche Name des Kontos ist von der Bereitstellung abhängig. Im vorherigen Beispiel war das Konto, das sowohl für TFSService als auch für TFSReports verwendet wurde Contoso\\Example, . In Ihrer eigenen Bereitstellung können Sie Domänenkonten mit den spezifischen Namen von TFSService und TFSReportserstellen oder das Systemkonto Netzwerkdienst als Dienstkonto für Team Foundation Server verwenden.

Wichtig

Sofern nicht ausdrücklich anders angegeben, sollten keine Gruppen oder Konten in der folgenden Tabelle Mitglieder der Gruppe Administratoren auf einem der Server in Ihrer Bereitstellung von Azure DevOps Server sein.

In der folgenden Tabelle sind die meisten Dienstkonten aufgeführt, die in einer Bereitstellung von Azure DevOps Server verwendet werden können. Weitere Dienstkonten, die hier nicht aufgeführt sind, finden Sie unter Berechtigungen und Gruppen, Dienstkonten.

Dienstkonto für

Platzhaltername und verwendbarer Kontotyp

Erforderliche Berechtigung und Gruppenmitgliedschaft

Hinweise


Azure DevOps Services

Kontodienst (CollectionName)

Keine. Dieses Konto wird nur verwendet, wenn Sie eine gehostete Bereitstellung von Azure DevOps verwenden.

Wird automatisch für Sie erstellt, wenn Sie eine organization in Azure DevOps Services erstellen. Es wird verwendet, wenn Clients mit dem gehosteten Dienst kommunizieren, und kann über die Verwaltungsseite des Webportals angezeigt werden.

Azure DevOps Server

TFSService: Kann ein lokales Konto, ein Domänenkonto, lokaler Dienst in einer Arbeitsgruppe oder Netzwerkdienst in einer Domäne sein.

Anmelden als Dienst auf dem Anwendungsebenenserver

Dieses Dienstkonto wird für alle Azure DevOps-Webdienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.

Team Foundation Build

TFSBuild, bei dem es sich um ein lokales Konto, ein Domänenkonto oder einen lokalen Dienst in einer Arbeitsgruppe handeln kann

Anmelden als Dienst

Dieses Dienstkonto wird verwendet, wenn Builds konfiguriert und Buildstatusinformationen zwischen dem Buildcontroller und den Build-Agents übermittelt werden.

SQL Server Reporting Services

TFSReports, wobei es sich um ein lokales Konto, ein Domänenkonto oder einen lokalen Dienst in einer Arbeitsgruppe handeln kann

Lokale Anmeldung auf dem Anwendungsebenenserver und auf dem Server zulassen, auf dem SQL Server Reporting Services
TFSWareHouseDataReader auf dem Berichtsserver ausgeführt wird

Dieses Dienstkonto ruft Daten für Berichte aus Reporting Services ab.

Azure DevOps Server Proxy

TFSProxy, das ein lokales Konto, ein Domänenkonto, lokaler Dienst in einer Arbeitsgruppe oder Netzwerkdienst in einer Domäne sein kann

Anmelden als Dienst

Wird für alle Proxydienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen.

Test-Agent und Test-Agent-Controller

TFSTest: Kann ein lokales Konto, ein Domänenkonto oder ein Netzwerkdienst in einer Domäne sein.

Anmelden als Dienst

Wird verwendet, wenn Informationen zu Tests zwischen dem Test-Agent-Controller und dem Test-Agent kommuniziert werden.


Dienste, die unter Dienstkonten ausgeführt werden.

In der folgenden Tabelle sind die Dienste aufgeführt, die unter Dienstkonten in einer lokalen Azure DevOps-Bereitstellung ausgeführt werden.

Dienstname Dienstkonto Logische Ebene
Codeabdeckungsdienst TFSService Anwendungsebene
Azure DevOps Server Webdienste TFSService Anwendungsebene
SQL Server Reporting Services (MSSQLSERVER oder InstanceName bei Verwendung eines benannten instance) Lokales System oder ein Domänenkonto Anwendungsebene
Berichtswebdienst Lokales System, Netzwerkdienst oder ein Domänenkonto Anwendungsebene
Visual Studio Team Foundation Build Service Host (wenn Team Foundation Build installiert ist) TFSBuild Buildcomputer
Visual Studio Team Foundation-Hintergrundauftrags-Agent TFSService Anwendungsebene
Visual Studio Test Controller TFSTest Beliebiger Computer
Visual Studio Test Agent TFSTest Testcomputer
Analysis Server (MSSQLSERVER oder InstanceName, wenn Sie einen benannten instance verwenden) Lokales System oder ein Domänenkonto Datenebene
SQL Server-Browser Lokaler Dienst oder ein Domänenkonto Datenebene
SQL Server (MSSQLSERVER oder InstanceName bei Verwendung eines benannten instance) Lokales System, Netzwerkdienst oder ein Domänenkonto Datenebene
SQL Server-Agent (MSSQLSERVER oder InstanceName bei Verwendung eines benannten instance) Lokales System, Netzwerkdienst oder ein Domänenkonto Datenebene
Kontodienst (CollectionName) Automatisch Webebene (nur Azure DevOps Services)

Weitere Informationen zu Dienstkonten für SQL Server finden Sie auf der folgenden Seite auf der Microsoft-Website: SQL Server Onlinedokumentation. Die neuesten Informationen zu Azure DevOps Server Dienstkonten finden Sie unter Installieren und Konfigurieren von Azure DevOps lokal.

Hinweis

Wenn Sie das Dienstkonto für Team Foundation Build ändern, müssen Sie sicherstellen, dass das neue Dienstkonto Mitglied der Gruppe Build Services ist. Vergewissern Sie sich auch, dass das Konto über Lese-/Schreibberechtigungen für die temporären Ordner und den temporären ASP.NET-Ordner verfügt. Wenn Sie das Dienstkonto für den Team Foundation Server-Proxydienst ändern, müssen Sie ebenfalls sicherstellen, dass das Konto Mitglied der entsprechenden Gruppen ist. Weitere Informationen finden Sie unter Konfigurieren Ihres Buildsystems.

Fragen und Antworten

F: Sind Dienstkonten einer Gruppe auf der Zugriffsgruppe zugewiesen?

Eine: Standardmäßig werden Dienstkonten der Standardzugriffsebene hinzugefügt. Wenn Sie Den Stakeholder zur Standardzugriffsebene machen, müssen Sie das Azure DevOps Server-Dienstkonto der Gruppe Basic oder Advanced hinzufügen.

F: Benötigen Dienstkonten eine Lizenz?

A: Nein. Dienstkonten erfordern keine separate Lizenz.

F: Gewusst wie das Kennwort oder Konto für ein Dienstkonto ändern?

Eine: Weitere Informationen finden Sie unter Ändern des Dienstkontos oder Kennworts.