Cuentas de servicio y dependencias
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Puede administrar mejor Azure DevOps Server si comprende los servicios y varias cuentas de servicio que cada implementación de Azure DevOps incluye y en qué depende cada implementación. En función de cómo haya instalado y configurado Azure DevOps, estos servicios y cuentas de servicio pueden ejecutarse en un equipo o pueden ejecutarse en muchos equipos. Esto cambia determinados aspectos de la administración de la implementación. Por ejemplo, si los componentes de servidor de la implementación se ejecutan en más de un equipo, debe asegurarse de que las cuentas de servicio que la implementación usa tengan el acceso y los permisos necesarios para funcionar correctamente.
Azure DevOps Server tiene servicios y cuentas de servicio que se ejecutan en los siguientes equipos en una implementación:
- cualquier servidor que hospede una o varias bases de datos para Azure DevOps Server
- cualquier servidor que hospede componentes del nivel de aplicación para Azure DevOps Server
- cualquier equipo que ejecute Azure DevOps Server Proxy
- Cualquier equipo de compilación
- Cualquier máquina de pruebas
Puede instalar e implementar diferentes características de Azure DevOps Server de varias maneras. La distribución de características en su implementación determina qué servicios y cuentas de servicio se ejecutan en cada equipo físico. Además, es posible que tenga que administrar las cuentas de servicio de los programas de software configurados para trabajar con Azure DevOps Server, como las cuentas de servicio de SQL Server.
Cuentas de servicio
Aunque Azure DevOps Server usa varias cuentas de servicio, puede usar la misma cuenta de dominio o grupo de trabajo para la mayoría de ellas o todas ellas. Por ejemplo, puede usar la misma cuenta Contoso\\Example de dominio que la cuenta de servicio para Azure DevOps Server (TFSService) y la cuenta de orígenes de datos para SQL Server Reporting Services (TFSReports). Sin embargo, cuentas de servicio diferentes pueden requerir niveles de permisos diferentes. Por ejemplo, TFSService debe tener el permiso Iniciar sesión como servicio y TFSReports debe tener el permiso Permitir inicio de sesión localmente . Si usa la misma cuenta Contoso\\Example para ambos, debe concederle ambos permisos. Además, TFSService requiere mucho más permisos para funcionar correctamente que los que TFSReports requiere, como se muestra en la tabla que se muestra más adelante en este tema. A efectos de seguridad, debe considerar la opción de utilizar cuentas independientes para estas dos cuentas de servicio.
Importante
No debe usar la cuenta que se usó para instalar Azure DevOps Server como cuenta de cualquiera de estas cuentas de servicio.
Si ha implementado Azure DevOps Server en un dominio de Active Directory, debe establecer la opción Cuenta confidencial y no se puede delegar para las cuentas de servicio. Por ejemplo, en la tabla siguiente, debe establecer esa opción para TFSService. Para obtener más información sobre las cuentas de servicio necesarias y los nombres de marcador de posición usados en la documentación de Azure DevOps Server vea el tema "Cuentas necesarias para la instalación de Azure DevOps Server" en la guía de instalación de Team Foundation. Para obtener más información sobre la delegación de cuentas en Active Directory, consulte la página siguiente en el sitio web de Microsoft: Delegación de autoridad en Active Directory.
Dado que debe administrar varias cuentas de servicio, se hace referencia a cada cuenta de servicio mediante un nombre de marcador de posición que identifica su función, como se muestra en la tabla que figura más adelante en este tema. El nombre de marcador de posición no es el nombre real de la cuenta que se utiliza para cada cuenta de servicio. El nombre real de la cuenta varía en función de la implementación. En el ejemplo anterior, la cuenta usada para TFSService y TFSReports era Contoso\\Example. En su propia implementación, puede crear cuentas de dominio con los nombres específicos de TFSService y TFSReports, o bien puede usar el servicio de red de la cuenta del sistema como la cuenta de servicio de Team Foundation Server.
Importante
A menos que se indique específicamente lo contrario, ningún grupo o cuenta de la tabla siguiente debe ser miembro del grupo Administradores en ninguno de los servidores de la implementación de Azure DevOps Server.
En la tabla siguiente se enumeran la mayoría de las cuentas de servicio que se pueden usar en una implementación de Azure DevOps Server. Para obtener más cuentas de servicio que no aparecen aquí, consulte Permisos y grupos, Cuentas de servicio.
Cuenta de servicio para
Nombre de marcador de posición y tipo de cuenta utilizable
Permiso necesario y pertenencia a grupo
Notas
Azure DevOps Services
Servicio de cuenta (CollectionName)
Ninguno. Esta cuenta solo se usa si usa una implementación hospedada de Azure DevOps.
Se crea automáticamente al crear una organización en Azure DevOps Services. Se usa cuando los clientes se comunican con el servicio hospedado y se pueden ver a través de la página de administración del portal web.
Azure DevOps Server
TFSService: puede ser una cuenta local, una cuenta de dominio, un servicio local en un grupo de trabajo o un servicio de red en un dominio.
Iniciar sesión como servicio en el servidor de nivel de aplicación
Esta cuenta de servicio se usa para todos los servicios web de Azure DevOps. Si utiliza una cuenta de dominio para esta cuenta, debe ser miembro de un dominio de plena confianza para todos los equipos de la implementación.
Team Foundation Build
TFSBuild, que puede ser una cuenta local, una cuenta de dominio o un servicio local en un grupo de trabajo
Iniciar sesión como servicio
Esta cuenta de servicio se utiliza cuando se configuran las compilaciones y cuando la información de estado de compilación se comunica entre el controlador de compilación y los agentes de compilación.
SQL Server Reporting Services
TFSReports, que puede ser una cuenta local, una cuenta de dominio o un servicio local en un grupo de trabajo
Permitir el inicio de sesión localmente en el servidor de nivel de aplicación y en el servidor que ejecuta SQL Server Reporting Services
TFSWareHouseDataReader en el servidor de informes
Esta cuenta de servicio recupera datos para los informes de Reporting Services.
proxy de Azure DevOps Server
TFSProxy, que puede ser una cuenta local, una cuenta de dominio, un servicio local en un grupo de trabajo o un servicio de red en un dominio
Iniciar sesión como servicio
Se usa para todos los servicios proxy. Si utiliza una cuenta de dominio para esta cuenta, debe ser miembro de un dominio de plena confianza para todos los equipos de la implementación.
Agente de prueba y controlador de agente de prueba
TFSTest: puede ser una cuenta local, una cuenta de dominio o un servicio de red en un dominio.
Iniciar sesión como servicio
Se usa cuando se comunica información sobre las pruebas entre el controlador del agente de pruebas y el agente de prueba.
Servicios que se ejecutan bajo cuentas de servicio
En la tabla siguiente se enumeran los servicios que se ejecutan en cuentas de servicio en una implementación local de Azure DevOps.
| Nombre del servicio | Cuenta de servicio | Nivel lógico |
|---|---|---|
| Servicio de cobertura de código | TFSService | nivel de aplicación |
| servicios web de Azure DevOps Server | TFSService | nivel de aplicación |
| SQL Server Reporting Services (MSSQLSERVER o InstanceName si se usa una instancia con nombre) | Sistema local o una cuenta de dominio | nivel de aplicación |
| Servicio Web de informes | Sistema local, servicio de red o una cuenta de dominio | nivel de aplicación |
| Host del servicio de compilación de Visual Studio Team Foundation (si Team Foundation Build está instalado) | TFSBuild | equipo de compilación |
| Agente de trabajo en segundo plano de Visual Studio Team Foundation | TFSService | nivel de aplicación |
| Visual Studio Test Controller | TFSTest | Cualquier equipo |
| Visual Studio Test Agent | TFSTest | Equipo de pruebas |
| Analysis Server (MSSQLSERVER o InstanceName si usa una instancia con nombre) | Sistema local o una cuenta de dominio | Capa de datos |
| SQL Server Browser | Servicio local o una cuenta de dominio | Capa de datos |
| SQL Server (MSSQLSERVER o InstanceName si se usa una instancia con nombre) | Sistema local, servicio de red o una cuenta de dominio | Capa de datos |
| Agente SQL Server (MSSQLSERVER o InstanceName si se usa una instancia con nombre) | Sistema local, servicio de red o una cuenta de dominio | Capa de datos |
| Servicio de cuenta (CollectionName) | Automático | nivel web (solo Azure DevOps Services) |
Para obtener más información sobre las cuentas de servicio para SQL Server, vea la página siguiente en el sitio web de Microsoft: SQL Server Libros en pantalla. Para obtener la información más reciente sobre Azure DevOps Server cuentas de servicio, consulte Instalación y configuración de Azure DevOps local.
Nota
Si cambia la cuenta de servicio de Team Foundation Build, debe asegurarse de que la nueva cuenta de servicio es miembro del grupo Servicios de compilación. También debe asegurarse de que la cuenta tenga permisos de lectura y escritura en las carpetas temporales y la carpeta temporal de ASP.NET. Del mismo modo, si cambia la cuenta de servicio para el servicio proxy de Team Foundation Server, debe asegurarse de que la cuenta es miembro de los grupos adecuados. Para obtener más información, vea Configurar el sistema de compilación.
Preguntas y respuestas
P: ¿Las cuentas de servicio se asignan a un grupo de nivel de acceso?
Un: De forma predeterminada, las cuentas de servicio se agregan al nivel de acceso predeterminado. Si convierte a las partes interesadas en el nivel de acceso predeterminado, debe agregar la cuenta de servicio Azure DevOps Server al grupo Básico o Avanzado.
P: ¿Se requiere una licencia para las cuentas de servicio?
R: No. Las cuentas de servicio no requieren una licencia independiente.
P: ¿Cómo se cambia la contraseña o la cuenta de una cuenta de servicio?
Un: Consulte Cambio de la cuenta de servicio o la contraseña.