Freigeben über


Dienstkonten und Abhängigkeiten

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Sie können Azure DevOps Server besser verwalten, wenn Sie die Dienste und mehrere Dienstkonten verstehen, die jede Bereitstellung von Azure DevOps umfasst und von denen jede Bereitstellung abhängt. Je nachdem, wie Sie Azure DevOps installiert und konfiguriert haben, werden diese Dienste und Dienstkonten möglicherweise auf einem Computer oder auf vielen Computern ausgeführt. Dadurch werden bestimmte Aspekte der Verwaltung Der Bereitstellung geändert. Wenn z. B. die serverseitigen Komponenten Ihrer Bereitstellung auf mehreren Computern ausgeführt werden, müssen Sie sicherstellen, dass die von Ihrer Bereitstellung genutzten Dienstkonten über den Zugriff und die erforderlichen Berechtigungen verfügen, um ordnungsgemäß zu funktionieren.

Azure DevOps Server verfügt über Dienste und Dienstkonten, die auf den folgenden Computern in einer Bereitstellung ausgeführt werden:

  • jeder Server, auf dem eine oder mehrere Datenbanken für Azure DevOps Server gehostet werden
  • jeder Server, auf dem Komponenten der Anwendungsebene für Azure DevOps Server gehostet werden
  • Jeder Computer, auf dem Azure DevOps Server Proxy ausgeführt wird
  • jeder Buildcomputer
  • beliebiger Testcomputer

Sie können verschiedene Features von Azure DevOps Server auf verschiedene Weise installieren und bereitstellen. Die Verteilung von Features in Ihrer Bereitstellung bestimmt, welche Dienste und Dienstkonten auf welchen physischen Computern ausgeführt werden. Darüber hinaus müssen Sie möglicherweise die Dienstkonten für Softwareprogramme verwalten, die für die Arbeit mit Azure DevOps Server konfiguriert sind, z. B. die Dienstkonten für SQL Server.

Dienstkonten

Obwohl Azure DevOps Server mehrere Dienstkonten verwendet, können Sie für die meisten oder alle Konten dieselbe Domäne oder Arbeitsgruppe verwenden. Sie können beispielsweise dasselbe Domänenkonto Contoso\\Example wie das Dienstkonto für Azure DevOps Server (TFSService) und das Datenquellenkonto für SQL Server Reporting Services (TFSReports) verwenden. Für unterschiedliche Dienstkonten können jedoch unterschiedliche Berechtigungsstufen erforderlich sein. Beispielsweise muss TFSService über die Berechtigung "Als Dienst anmelden" verfügen, und TFSReports muss über die berechtigung "Anmelden zulassen" verfügen. Wenn Sie dasselbe Konto Contoso\\Example für beides verwenden, müssen Sie ihm beide Berechtigungen erteilen. Darüber hinaus erfordert TFSService wesentlich mehr Berechtigungen, um ordnungsgemäß zu arbeiten als die, die TFSReports erfordert, wie die Tabelle weiter unten in diesem Thema zeigt. Aus Sicherheitsgründen sollten Sie die Verwendung separater Konten für diese beiden Dienstkonten in Betracht ziehen.

Wichtig

Sie dürfen nicht das Konto verwenden, das zum Installieren von Azure DevOps Server als Konto für eines dieser Dienstkonten verwendet wurde.

Wenn Sie Azure DevOps Server in einer Active Directory-Domäne bereitgestellt haben, sollten Sie festlegen, dass das Konto vertraulich ist und keine Option für Dienstkonten delegiert werden kann. In der folgenden Tabelle sollten Sie diese Option beispielsweise für TFSService festlegen. Weitere Informationen zu erforderlichen Dienstkonten und Platzhalternamen, die in der Dokumentation für Azure DevOps Server verwendet werden, finden Sie im Installationshandbuch für Team Foundation unter "Konten, die für die Installation von Azure DevOps Server erforderlich sind". Weitere Informationen zur Kontodelegierung in Active Directory finden Sie auf der folgenden Seite auf der Microsoft-Website: Delegieren der Autorität in Active Directory.

Da Sie mehrere Dienstkonten verwalten müssen, wird jedes Dienstkonto durch einen Platzhalternamen verwiesen, der seine Funktion identifiziert, wie in der Tabelle weiter unten in diesem Thema aufgeführt. Der Platzhaltername ist nicht der tatsächliche Name des Kontos, das Sie für jedes Dienstkonto verwenden. Der tatsächliche Name des Kontos variiert je nach Bereitstellung. Im vorherigen Beispiel war das Konto, das sowohl für TFSService als auch für TFSReports verwendet wurdeContoso\\Example. In Ihrer eigenen Bereitstellung können Sie Domänenkonten mit den spezifischen Namen und TFSService TFSReportsusw. erstellen, oder Sie verwenden den Netzwerkdienst des Systemkontos als Dienstkonto für Team Foundation Server.

Wichtig

Sofern nicht ausdrücklich anders angegeben, sollten keine Gruppen oder Konten in der folgenden Tabelle Mitglieder der Gruppe "Administratoren" auf einem der Server in Ihrer Bereitstellung von Azure DevOps Server sein.

In der folgenden Tabelle sind die meisten Dienstkonten aufgeführt, die in einer Bereitstellung von Azure DevOps Server verwendet werden können. Weitere Dienstkonten, die hier nicht aufgeführt sind, finden Sie unter Berechtigungen und Gruppen, Dienstkonten.

Dienstkonto für

Platzhaltername und verwendbarer Kontotyp

Erforderliche Berechtigung und Gruppenmitgliedschaft

Hinweise


Azure DevOps Services

Account Service (CollectionName)

Keine. Dieses Konto wird nur verwendet, wenn Sie eine gehostete Bereitstellung von Azure DevOps verwenden.

Wird automatisch für Sie erstellt, wenn Sie eine Organisation in Azure DevOps Services erstellen. Sie wird verwendet, wenn Clients mit dem gehosteten Dienst kommunizieren und über die Verwaltungsseite des Webportals angezeigt werden können.

Azure DevOps Server

TFSService: kann ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder Netzwerkdienst in einer Domäne sein.

Anmelden als Dienst auf dem Anwendungsebenenserver

Dieses Dienstkonto wird für alle Azure DevOps-Webdienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es ein Mitglied einer Domäne sein, die alle Computer während der gesamten Bereitstellung vollständig vertrauenswürdig ist.

Team Foundation Build

TFSBuild, bei dem es sich um ein lokales Konto, ein Domänenkonto oder einen lokalen Dienst in einer Arbeitsgruppe handeln kann

Anmelden als Dienst

Dieses Dienstkonto wird verwendet, wenn Builds konfiguriert sind und wann Buildstatusinformationen zwischen dem Buildcontroller und den Build-Agents kommuniziert werden.

SQL Server Reporting Services

TFSReports, bei denen es sich um ein lokales Konto, ein Domänenkonto oder einen lokalen Dienst in einer Arbeitsgruppe handeln kann

Lokale Anmeldung auf dem Anwendungsebenenserver und auf dem Server zulassen, auf dem SQL Server Reporting Services
TFSWareHouseDataReader auf dem Berichtsserver ausgeführt wird

Dieses Dienstkonto ruft Daten für Berichte von Reporting Services ab.

Azure DevOps Server-Proxy

TFSProxy, bei dem es sich um ein lokales Konto, ein Domänenkonto, einen lokalen Dienst in einer Arbeitsgruppe oder einen Netzwerkdienst in einer Domäne handeln kann

Anmelden als Dienst

Wird für alle Proxydienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es ein Mitglied einer Domäne sein, die alle Computer während der gesamten Bereitstellung vollständig vertrauenswürdig ist.

Test-Agent und Test-Agent-Controller

TFSTest: kann ein lokales Konto, ein Domänenkonto oder netzwerkdienst in einer Domäne sein.

Anmelden als Dienst

Wird verwendet, wenn Informationen zu Tests zwischen dem Test-Agent-Controller und dem Test-Agent kommuniziert werden.


Dienste, die unter Dienstkonten ausgeführt werden

In der folgenden Tabelle sind die Dienste aufgeführt, die unter Dienstkonten in einer lokalen Azure DevOps-Bereitstellung ausgeführt werden.

Dienstname Dienstkonto Logische Ebene
Codeabdeckungsdienst TFSService Anwendungsebene
Azure DevOps Server-Webdienste TFSService Anwendungsebene
SQL Server Reporting Services (MSSQLSERVER oder InstanceName , wenn eine benannte Instanz verwendet wird) Lokales System oder ein Domänenkonto Anwendungsebene
Berichtswebdienst Lokales System, Netzwerkdienst oder Domänenkonto Anwendungsebene
Visual Studio Team Foundation Build Service Host (wenn Team Foundation Build installiert ist) TFSBuild Computer erstellen
Visual Studio Team Foundation Hintergrundauftrags-Agent TFSService Anwendungsebene
Visual Studio Test Controller TFSTest beliebiger Computer
Visual Studio Test Agent TFSTest Testcomputer
Analysis Server (MSSQLSERVER oder InstanceName , wenn Sie eine benannte Instanz verwenden) Lokales System oder ein Domänenkonto Datenebene
SQL Server-Browser Lokaler Dienst oder ein Domänenkonto Datenebene
SQL Server (MSSQLSERVER oder InstanceName , wenn eine benannte Instanz verwendet wird) Lokales System, Netzwerkdienst oder Domänenkonto Datenebene
SQL Server-Agent (MSSQLSERVER oder InstanceName, wenn eine benannte Instanz verwendet wird) Lokales System, Netzwerkdienst oder Domänenkonto Datenebene
Account Service (CollectionName) Automatisch Webebene (nur Azure DevOps Services)

Weitere Informationen zu Dienstkonten für SQL Server finden Sie auf der Microsoft-Website auf der folgenden Seite: SQL Server Books Online. Die neuesten Informationen zu Azure DevOps Server-Dienstkonten finden Sie unter Installieren und Konfigurieren von Azure DevOps lokal.

Hinweis

Wenn Sie das Dienstkonto für Team Foundation Build ändern, müssen Sie sicherstellen, dass das neue Dienstkonto Mitglied der Gruppe "Builddienste" ist. Außerdem müssen Sie sicherstellen, dass das Konto Über Lese-/Schreibberechtigungen für die temporären Ordner und den ASP.NET temporären Ordner verfügt. Wenn Sie das Dienstkonto für den Team Foundation Server-Proxydienst ändern, müssen Sie auch sicherstellen, dass das Konto Mitglied der entsprechenden Gruppen ist. Weitere Informationen finden Sie unter Configure Your Build System.

Fragen und Antworten

F: Werden Dienstkonten einer Gruppe auf Zugriffsebene zugewiesen?

A: Standardmäßig werden Dienstkonten der Standardzugriffsebene hinzugefügt. Wenn Sie Stakeholder zur Standardzugriffsstufe machen, müssen Sie das Azure DevOps Server-Dienstkonto zur Gruppe "Einfach" oder "Erweitert" hinzufügen.

F: Benötigen Dienstkonten eine Lizenz?

A: Nein. Dienstkonten benötigen keine separate Lizenz.

F: Gewusst wie das Kennwort oder konto für ein Dienstkonto ändern?

A: Siehe Ändern des Dienstkontos oder Kennworts