Menyiapkan grup untuk digunakan di Azure DevOps lokal
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Mengelola pengguna di Azure DevOps Server jauh lebih mudah jika Anda membuat grup Windows atau Direktori Aktif untuk mereka, terutama jika penyebaran Anda menyertakan SQL Server Reporting Services.
Pengguna, grup, dan izin dalam penyebaran Azure DevOps Server
Azure DevOps Server dan SQL Server Reporting Services semua menyimpan informasi mereka sendiri tentang grup, pengguna, dan izin. Untuk membuat pengelolaan pengguna dan izin di seluruh program ini lebih sederhana, Anda dapat membuat grup pengguna dengan persyaratan akses serupa dalam penyebaran, memberi grup tersebut akses yang sesuai dalam program perangkat lunak yang berbeda, lalu hanya menambahkan atau menghapus pengguna dari grup sesuai kebutuhan. Ini jauh lebih mudah daripada mempertahankan pengguna individu atau grup pengguna secara terpisah dalam tiga program terpisah.
Jika server Anda berada di domain Direktori Aktif, satu opsinya adalah membuat grup Direktori Aktif tertentu untuk mengelola pengguna Anda, seperti grup pengembang dan penguji untuk semua proyek dalam kumpulan proyek, atau grup pengguna yang dapat membuat dan mengelola proyek dalam kumpulan. Demikian pula, Anda dapat membuat akun Direktori Aktif untuk layanan yang tidak dapat dikonfigurasi untuk menggunakan akun sistem Layanan Jaringan sebagai akun layanan. Untuk melakukannya, buat akun Direktori Aktif untuk akun sumber data akses baca untuk laporan di SQL Server Reporting Services.
Penting
Jika Anda memutuskan untuk menggunakan grup Direktori Aktif di Azure DevOps Server, pertimbangkan untuk membuat grup tertentu yang tujuannya didedikasikan untuk manajemen pengguna di Azure DevOps Server. Menggunakan grup yang sudah ada sebelumnya yang dibuat untuk tujuan lain, terutama jika dikelola oleh orang lain yang tidak terbiasa dengan Azure DevOps Server, dapat menyebabkan konsekuensi pengguna yang tidak terduga ketika keanggotaan berubah untuk mendukung beberapa fungsi lain.
Pilihan default selama penginstalan adalah menggunakan akun sistem Layanan Jaringan sebagai akun layanan untuk Azure DevOps Server dan SQL Server. Jika Anda ingin menggunakan akun khusus sebagai akun layanan untuk tujuan keamanan atau alasan lain, seperti penyebaran yang diskalakan, Anda dapat melakukannya. Anda mungkin juga ingin membuat akun Direktori Aktif khusus untuk digunakan sebagai akun layanan untuk akun pembaca sumber data untuk SQL Server Reporting Services.
Jika server Anda berada di domain Direktori Aktif tetapi Anda tidak memiliki izin untuk membuat grup atau akun Direktori Aktif, atau jika Anda memasang server Anda di grup kerja dan bukan domain, Anda bisa membuat dan menggunakan grup lokal untuk mengelola pengguna di seluruh SQL Server, dan Azure DevOps Server. Demikian pula, Anda dapat membuat akun lokal untuk digunakan sebagai akun layanan. Namun, perlu diingat bahwa grup dan akun lokal tidak sekuat grup domain dan akun. Misalnya, jika terjadi kegagalan server, Anda harus membuat ulang grup dan akun dari awal di server baru. Jika Anda menggunakan grup dan akun Direktori Aktif, grup dan akun akan dipertahankan meskipun hosting server Azure DevOps Server gagal.
Misalnya, setelah meninjau persyaratan bisnis untuk penyebaran baru dan persyaratan keamanan dengan manajer proyek, Anda dapat memutuskan untuk membuat tiga grup untuk mengelola sebagian besar pengguna dalam penyebaran:
Grup umum untuk pengembang dan penguji yang akan berpartisipasi sepenuhnya di semua proyek dalam kumpulan proyek default. Grup ini akan berisi sebagian besar pengguna. Anda dapat memberi nama grup ini TFS_ProjectContributors.
Grup kecil administrator proyek yang akan memiliki izin untuk membuat dan mengelola proyek dalam kumpulan. Anda dapat memberi nama grup ini TFS_ProjectContributors.
Grup kontraktor khusus dan terbatas yang hanya akan memiliki akses ke salah satu proyek. Anda dapat memberi nama grup ini TFS_RestrictedAccess.
Kemudian, saat penyebaran meluas, Anda mungkin memutuskan untuk membuat grup lain.
Untuk membuat grup di Direktori Aktif
- Buat grup keamanan yang merupakan domain lokal, global, atau grup universal di Direktori Aktif,yang paling sesuai dengan kebutuhan bisnis Anda. Misalnya, jika grup perlu berisi pengguna dari lebih dari satu domain, jenis grup universal paling sesuai dengan kebutuhan Anda. Untuk informasi selengkapnya, lihat Membuat Grup Baru (Active Directory Domain Services).
Untuk membuat grup lokal di server
- Buat grup lokal dan beri nama yang akan dengan cepat mengidentifikasi tujuannya. Secara default, grup apa pun yang Anda buat akan memiliki izin yang setara dari grup default Pengguna di komputer tersebut. Untuk informasi selengkapnya, lihat Membuat grup lokal.
Untuk membuat akun yang akan digunakan sebagai akun layanan di Direktori Aktif
- Buat akun di Direktori Aktif, atur kebijakan kata sandi sesuai dengan persyaratan bisnis Anda, dan pastikan Akun tepercaya untuk delegasi dipilih untuk akun tersebut. Untuk informasi selengkapnya, lihat Membuat Akun Pengguna Baru (Active Directory Domain Services) dan Memahami Akun Pengguna (Active Directory Domain Services).
Untuk membuat akun lokal untuk digunakan sebagai akun layanan di server
- Buat akun lokal untuk digunakan sebagai akun layanan lalu modifikasi keanggotaan grup dan properti lainnya sesuai dengan persyaratan keamanan untuk bisnis Anda. Untuk informasi selengkapnya, lihat Membuat akun pengguna lokal.
Coba berikutnya
T & J
T: Bisakah saya menggunakan grup untuk membatasi akses ke proyek atau fitur di Azure DevOps Server?
J: Ya, Anda bisa. Anda dapat membuat grup tertentu untuk memberikan atau membatasi akses ke fitur, fungsi, dan proyek tertentu, untuk mengelola tingkat akses, dan tujuan lainnya.