Einrichten von Gruppen für die lokale Verwendung in Azure DevOps
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Die Verwaltung von Benutzern in Azure DevOps Server ist viel einfacher, wenn Sie Windows- oder Active Directory-Gruppen für sie erstellen, insbesondere wenn Ihre Bereitstellung SQL Server Reporting Services umfasst.
Benutzer, Gruppen und Berechtigungen in Azure DevOps Server Bereitstellungen
Azure DevOps Server und SQL Server Reporting Services verwalten alle ihre eigenen Informationen zu Gruppen, Benutzern und Berechtigungen. Um das Verwalten von Benutzern und Berechtigungen für diese Programme einfacher zu machen, können Sie Benutzergruppen mit ähnlichen Zugriffsanforderungen in der Bereitstellung erstellen und diesen Gruppen die erforderlichen Zugriffsberechtigungen für die verschiedenen Softwareprogramme erteilen und dann einfach nach Bedarf Benutzer zur Gruppe hinzufügen oder Benutzer aus einer Gruppe entfernen. Dies ist deutlich einfacher als einzelne Benutzer oder Benutzergruppen separat in drei verschiedenen Programmen zu verwalten.
Wenn sich Ihr Server in einer Active Directory-Domäne befindet, besteht eine Möglichkeit darin, bestimmte Active Directory-Gruppen zum Verwalten Ihrer Benutzer zu erstellen, z. B. eine Gruppe von Entwicklern und Testern für alle Projekte in der Projektsammlung oder eine Gruppe von Benutzern, die Projekte in der Sammlung erstellen und verwalten können. Entsprechend können Sie ein Active Directory-Konto für Dienste erstellen, das nicht für die Verwendung des Netzwerkdienst-Systemkontos als Dienstkonto konfiguriert werden kann. Erstellen Sie hierzu ein Active Directory-Konto für das Datenquellenkonto mit Lesezugriff für Berichte in SQL Server Reporting Services.
Wichtig
Wenn Sie sich für die Verwendung von Active Directory-Gruppen in Azure DevOps Server entscheiden, sollten Sie bestimmte Gruppen erstellen, deren Zweck der Benutzerverwaltung in Azure DevOps Server ist. Die Verwendung bereits vorhandener Gruppen, die für einen anderen Zweck erstellt wurden, insbesondere wenn sie von anderen Verwaltet werden, die mit Azure DevOps Server nicht vertraut sind, kann zu unerwarteten Benutzerfolgen führen, wenn sich die Mitgliedschaft ändert, um eine andere Funktion zu unterstützen.
Die Standardoption während der Installation besteht darin, das Netzwerkdienstsystemkonto als Dienstkonto für Azure DevOps Server und SQL Server zu verwenden. Sie können ein bestimmtes Konto aus Sicherheitsgründen oder anderen Gründen als Dienstkonto verwenden, z. B. eine erweiterte Bereitstellung. Möglicherweise möchten Sie auch ein bestimmtes Active Directory-Konto erstellen, das als Dienstkonto für das Datenquellenlesekonto für SQL Server Reporting Services verwendet werden soll.
Wenn sich Ihr Server in einer Active Directory-Domäne befindet, Sie aber keine Berechtigungen zum Erstellen von Active Directory-Gruppen oder -Konten haben oder wenn Sie Ihren Server in einer Arbeitsgruppe anstelle einer Domäne installieren, können Sie lokale Gruppen erstellen und verwenden, um Benutzer in SQL Server und Azure DevOps Server zu verwalten. Entsprechend können Sie ein lokales Konto erstellen, um es als Dienstkonto zu verwenden. Beachten Sie jedoch, dass lokale Gruppen und Konten weniger stabil als Domänengruppen und -konten sind. Bei einem Serverfehler müssten Sie beispielsweise die Gruppen und Konten auf dem neuen Server vollkommen neu erstellen. Wenn Sie Active Directory-Gruppen und -Konten verwenden, werden die Gruppen und Konten auch dann beibehalten, wenn der Server, der Azure DevOps Server hosten, fehlschlägt.
Nach Überprüfen der Geschäftsanforderungen für die neue Bereitstellung und der Sicherheitsforderungen mit den Projektmanagern können Sie z. B. entscheiden, drei Gruppen zum Verwalten der Mehrzahl an Benutzern in der Bereitstellung zu erstellen:
Eine allgemeine Gruppe für Entwickler und Tester, die vollständig an allen Projekten in der Standardprojektsammlung teilnehmen. Diese Gruppe enthält die Mehrzahl der Benutzer. Sie können diese Gruppe TFS_ProjectContributors nennen.
Eine kleine Gruppe von Projektadministratoren, die über Berechtigungen zum Erstellen und Verwalten von Projekten in der Auflistung verfügen. Sie können diese Gruppe TFS_ProjectAdmins nennen.
Eine spezielle, eingeschränkte Gruppe von Vertragsnehmern, die lediglich über den Zugriff auf eines der Projekte verfügen. Sie können diese Gruppe TFS_RestrictedAccess nennen.
Später, wenn die Bereitstellung erweitert wird, entscheiden Sie sich möglicherweise dazu, andere Gruppen zu erstellen.
So erstellen Sie eine Gruppe in Active Directory
- Erstellen Sie entsprechend Ihren geschäftlichen Anforderungen eine Sicherheitsgruppe, die eine lokale Domäne, eine globale Gruppe oder eine universelle Gruppe in Active Directory ist. Wenn die Gruppe beispielsweise Benutzer aus mehreren Domänen enthalten soll, erfüllt eine universelle Gruppe Ihre Anforderungen am besten. Weitere Informationen finden Sie unter Erstellen einer neuen Gruppe (Active Directory Domain Services).
So erstellen Sie eine lokale Gruppe auf dem Server
- Erstellen Sie eine lokale Gruppe, und weisen Sie ihr einen Namen zu, aus dem ihr Zweck unmittelbar hervorgeht. Standardgemäß hat jede Gruppe, die Sie erstellen, die gleichen Berechtigungen der Benutzerstandardgruppe auf dem entsprechenden Computer. Weitere Informationen finden Sie unter Erstellen einer lokalen Gruppe.
So erstellen Sie ein Konto, das als Dienstkonto in Active Directory verwendet wird
- Erstellen Sie ein Konto in Active Directory, legen Sie die Kennwortrichtlinie gemäß Ihren Geschäftlichen Anforderungen fest, und stellen Sie sicher, dass Konto für delegierung vertrauenswürdig für das Konto ausgewählt ist. Weitere Informationen finden Sie unter Erstellen eines neuen Benutzerkontos (Active Directory Domain Services) und Grundlegendes zu Benutzerkonten (Active Directory Domain Services).
So erstellen Sie ein lokales Konto, das als Dienstkonto auf dem Server verwendet wird
- Erstellen Sie ein lokales Konto, das als Dienstkonto verwendet werden soll, und ändern Sie dann die Gruppenmitgliedschaft und andere Eigenschaften des Kontos entsprechend den Sicherheitsanforderungen Ihres Unternehmens. Weitere Informationen finden Sie unter Erstellen eines lokalen Benutzerkontos.
Versuchen Sie dies als Nächstes:
Fragen und Antworten
F: Kann ich Gruppen verwenden, um den Zugriff auf Projekte oder Features in Azure DevOps Server einzuschränken?
A: Ja, das ist möglich. Sie können bestimmte Gruppen erstellen, um den Zugriff auf ausgewählte Features, Funktionen und Projekte zu gewähren oder einzuschränken, um Zugriffsebenen und andere Zwecke zu verwalten.