Dienstkonten und Abhängigkeiten in Team Foundation Server
Sie können Visual Studio Team Foundation Server (TFS) besser verwalten, wenn Sie die Dienste und unterschiedlichen Dienstkonten verstehen, die jede Bereitstellung von TFS umfasst und von denen jede Bereitstellung abhängig ist. In Abhängigkeit davon, wie Sie TFS installiert und konfiguriert haben, werden diese Dienste und Dienstkonten alle auf einem Computer oder auf mehreren Computern ausgeführt. Hierdurch ändern sich bestimmte Aspekte der Bereitstellungsverwaltung. Wenn Sie beispielsweise die serverseitigen Komponenten der Bereitstellung auf mehreren Computern ausführen, müssen Sie sicherstellen, dass die Dienstkonten, die Ihre Bereitstellung verwendet, über die Zugriffsrechte und Berechtigungen verfügen, die sie benötigen, um ordnungsgemäß zu funktionieren.
Team Foundation Server umfasst Dienste und Dienstkonten, die in einer Bereitstellung auf den folgenden Computern ausgeführt werden:
Auf einem Server, der eine oder mehrere Datenbanken für Team Foundation Server hostet.
Auf einem Server, der Komponenten der Anwendungsebene in Team Foundation hostet.
Auf einem Computer, auf dem Team Foundation Server Proxy ausgeführt wird.
Auf einem Buildcomputer.
Auf einem Testcomputer.
Auf einem Computer, auf dem eine oder mehrere Komponenten von Visual Studio Lab Management ausgeführt werden.
Sie können verschiedene Funktionen von TFS auf unterschiedliche Weise installieren und bereitstellen. Die Verteilung von Funktionen in der Bereitstellung bestimmt, welche Dienste und Dienstkonten auf welchen physischen Computern ausgeführt werden. Außerdem müssen Sie möglicherweise die Dienstkonten für Softwareprogramme verwalten, die für TFS konfiguriert sind, z. B. die Dienstkonten für SharePoint-Produkte und SQL Server.
Dienstkonten für Team Foundation Server
Obwohl in TFS verschiedene Dienstkonten verwendet werden, kann dasselbe Domänen- oder Arbeitsgruppenkonto für den Großteil aller Dienstkonten verwendet werden. Beispielsweise kann dasselbe Domänenkonto "Contoso\Example" sowohl als Dienstkonto für Team Foundation Server (TFSService) als auch als Datenquellenkonto für SQL Server Reporting Services (TFSReports) verwendet werden. Andere Dienstkonten können jedoch andere Berechtigungsstufen erfordern. TFSService muss beispielsweise über die Berechtigung Anmelden als Dienst, und TFSReports muss über die Berechtigung Lokal anmelden zulassen verfügen. Wenn Sie dasselbe Konto "Contoso\Example" für beide verwenden, müssen Sie dem Konto diese beiden Berechtigungen gewähren. Außerdem erfordert TFSService für die ordnungsgemäße Funktion wesentlich mehr Berechtigungen als TFSReports, wie in der Tabelle weiter unten in diesem Thema dargestellt. Aus Sicherheitsgründen sollten Sie erwägen, separate Konten für diese beiden Dienstkonten zu verwenden.
Wichtig
Sie dürfen das Konto, das zum Installieren von Team Foundation Server verwendet wurde, nicht als das Konto für eines dieser Dienstkonten verwenden.
Wenn Team Foundation Server in einer Active Directory-Domäne bereitgestellt wurde, sollte für Dienstkonten die Option Konto ist vertraulich und kann nicht delegiert werden festgelegt werden. In der folgenden Tabelle muss diese Option beispielsweise für TFSService festgelegt werden. Weitere Informationen zu erforderlichen Dienstkonten und zu den in der Dokumentation für Team Foundation Server verwendeten Platzhalternamen finden Sie im Thema "Erforderliche Konten für die Installation von Team Foundation Server" im Installationshandbuch für Team Foundation. Weitere Informationen über das Einschränken der Kontendelegierung in Active Directory finden Sie auf der folgenden Seite der Microsoft-Website: Aktivieren der delegierten Authentifizierung.
Da Sie mehrere Dienstkonten verwalten müssen, wird auf jedes Dienstkonto durch einen Platzhalternamen verwiesen, der die entsprechende Funktion angibt, wie in der Tabelle weiter unten in diesem Thema aufgeführt. Der Platzhaltername ist nicht der tatsächliche Name des Kontos, das Sie für jedes Dienstkonto verwenden. Der tatsächliche Name des Kontos ist von der Bereitstellung abhängig. Im vorherigen Beispiel lautete das sowohl für TFSService als auch für TFSReports verwendete Konto "Contoso\Example". In Ihrer eigenen Bereitstellung können Sie Domänenkonten mit dem Namen "TFSService" und "TFSReports" erstellen, oder Sie können das Systemkonto für den Netzwerkdienst als Dienstkonto für Team Foundation Server verwenden.
Wichtig
Sofern nicht ausdrücklich angegeben, dürfen die Gruppen oder Konten in der folgenden Tabelle nicht Mitglied der Gruppe "Administratoren" auf einem der Server in der Bereitstellung von Team Foundation Server sein.
In der folgenden Tabelle sind alle Dienstkonten dargestellt, die Sie in einer Bereitstellung von TFS verwenden können:
Dienstkonto |
Platzhaltername und verwendbarer Kontotyp |
Erforderliche Berechtigung und Gruppenmitgliedschaft |
Hinweise |
|---|---|---|---|
Dienstkonto für Team Foundation Server |
TFSService (kann ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne sein) |
|
Dieses Dienstkonto wird für alle Webdienste für Team Foundation Server verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen. |
Datenquellenkonto für SQL Server Reporting Services |
TFSReports (kann ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe sein) |
|
Dieses Dienstkonto ruft Daten für Berichte aus Reporting Services ab. |
Dienstkonto für Team Foundation Build |
TFSBuild (kann ein lokales Konto, ein Domänenkonto oder ein lokaler Dienst in einer Arbeitsgruppe sein) |
Anmelden als Dienst |
Dieses Dienstkonto wird verwendet, wenn Builds konfiguriert und Buildstatusinformationen zwischen dem Buildcontroller und den Build-Agents übermittelt werden. |
Dienstkonto für Lab Management |
TFSLab (kann ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne sein) |
Anmelden als Dienst |
Dieses Dienstkonto wird verwendet, wenn Informationen zu Lab Management zwischen Team Foundation Server und dem Labor-Agent übermittelt werden, der auf einem virtuellen Computer ausgeführt wird. |
Dienstkonto für Team Foundation Server Proxy |
TFSProxy (kann ein lokales Konto, ein Domänenkonto, ein lokaler Dienst in einer Arbeitsgruppe oder ein Netzwerkdienst in einer Domäne sein) |
Anmelden als Dienst |
Dieses Dienstkonto wird für alle Proxydienste verwendet. Wenn Sie ein Domänenkonto für dieses Konto verwenden, muss es Mitglied einer Domäne sein, der alle Computer in der gesamten Bereitstellung vollständig vertrauen. |
Dienstkonto für Test-Agent und Test-Agent-Controller |
TFSTest (kann ein lokales Konto, ein Domänenkonto oder ein Netzwerkdienst in einer Domäne sein) |
Anmelden als Dienst |
Dieses Dienstkonto wird verwendet, wenn Informationen zu Tests zwischen dem Test-Agent-Controller und dem Test-Agent übermittelt werden. |
Dienstkonten bei SharePoint-Webanwendungen |
WebAppService |
Lokal anmelden zulassen |
Sie müssen mindestens ein Dienstkonto zu jeder SharePoint-Webanwendung hinzufügen, die Sie zur Verwendung mit Team Foundation Server konfigurieren. Dieses Dienstkonto wird verwendet, um Teamprojektportale zu erstellen und die Dashboardfunktionalität zu aktivieren. |
Dienstkonto für Visual Studio Online |
Kontodienst (CollectionName) |
Keine. Dieses Konto wird nur verwendet, wenn Sie eine gehostete Bereitstellung von TFS verwenden. Es wird automatisch für Sie erstellt und kann über die Verwaltungsseite von Team Web Access angezeigt werden. |
Dieses Dienstkonto wird automatisch erstellt, wenn Sie in Visual Studio Online eine Auflistung erstellen, und wird verwendet, wenn Clients mit dem gehosteten Dienst kommunizieren. |
1 Sie können die Bereitstellung ohne diese Berechtigung in SharePoint-Produkte integrieren, aber Sie müssen zusätzliche Schritte ausführen, wenn das Dienstkonto kein Mitglied der Gruppe der Farmadministratoren ist. Weitere Informationen finden Sie unter Integrate with SharePoint Products Without Administrative Permissions.
Dienste, die unter Dienstkonten ausgeführt werden.
Die folgenden Dienste werden unter Dienstkonten in einer Bereitstellung von Team Foundation Server ausgeführt:
Dienstname |
Dienstkonto |
Logische Ebene |
|---|---|---|
Codeabdeckungsdienst |
TFSService |
Anwendungsebene |
Team Foundation ServerWebdienste |
TFSService |
Anwendungsebene |
SQL Server Reporting Services (MSSQLSERVER oder Instanzname bei Verwendung einer benannten Instanz) |
Lokales System oder ein Domänenkonto |
Anwendungsebene |
Berichtswebdienst |
Lokales System, Netzwerkdienst oder ein Domänenkonto |
Anwendungsebene |
SharePoint-Verwaltung (wenn SharePoint-Produkte installiert und zur Verwendung mit Team Foundation Server konfiguriert ist) |
Lokales System, Netzwerkdienst oder ein Domänenkonto |
Anwendungsebene |
SharePoint-Zeitgeber (wenn SharePoint-Produkte installiert und zur Verwendung mit Team Foundation Server konfiguriert ist) |
Domänenkonto |
Anwendungsebene |
Visual Studio Team Foundation-Builddiensthost (wenn Team Foundation Build installiert ist) |
TFSBuild |
Buildcomputer |
Visual Studio Team Foundation-Hintergrundauftrags-Agent |
TFSService |
Anwendungsebene |
Visual Studio-Testcontroller |
TFSTest |
Beliebiger Computer |
Visual Studio Test Agent |
TFSTest |
Testcomputer |
Analysis Server (MSSQLSERVER oder Instanzname, wenn eine benannte Instanz verwendet wird) |
Lokales System oder ein Domänenkonto |
Datenebene |
SQL Server-Browser |
Lokaler Dienst oder ein Domänenkonto |
Datenebene |
SQL Server (MSSQLSERVER oder Instanzname, wenn eine benannte Instanz verwendet wird) |
Lokales System, Netzwerkdienst oder ein Domänenkonto |
Datenebene |
SQL Server-Agent (MSSQLSERVER oder Instanzname, wenn eine benannte Instanz verwendet wird) |
Lokales System, Netzwerkdienst oder ein Domänenkonto |
Datenebene |
Kontodienst (CollectionName) |
Automatisch |
Webebene (nur Visual Studio Online) |
Weitere Informationen zu Dienstkonten für SQL Server finden Sie auf der folgenden Seite auf der Microsoft-Website: SQL Server-Onlinedokumentation. Aktuelle Informationen über Dienstkonten in Team Foundation finden Sie unter Team Foundation Server-Installationshandbuch.
Hinweis
Wenn Sie das Dienstkonto für Team Foundation Build ändern, müssen Sie sicherstellen, dass das neue Dienstkonto Mitglied der Gruppe "Builddienste" ist.Vergewissern Sie sich auch, dass das Konto über Lese-/Schreibberechtigungen für die temporären Ordner und den temporären ASP.NET-Ordner verfügt.Wenn das Dienstkonto für den Team Foundation Server-Proxydienst geändert wurde, muss sicher gestellt sein, dass das Konto Mitglied der entsprechenden Gruppen ist.Weitere Informationen finden Sie unter Setting Up a Build Computer.
Fragen und Antworten
F: Werden Dienstkonten einer Zugriffsebenengruppe zugewiesen?
A: Dienstkonten werden standardmäßig der Standardzugriffsebene hinzugefügt. Wenn Sie "Beteiligter" als standardmäßige Zugriffsebene festlegen, müssen Sie das TFS-Dienstkonto der Gruppe "Standard" oder "Erweitert" hinzufügen.
F: Benötigen Dienstkonten eine Lizenz?
A: Nein. Dienstkonten benötigen keine separate Lizenz.
F:
A: Informationen hierzu finden Sie in den folgenden Themen: