Azure DevOps 온-프레미스에서 사용할 그룹 설정
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
특히 배포에 SQL Server Reporting Services 포함된 경우 사용자를 위해 Windows 또는 Active Directory 그룹을 만드는 경우 Azure DevOps Server 사용자를 관리하는 것이 훨씬 쉽습니다.
Azure DevOps Server 배포의 사용자, 그룹 및 권한
Azure DevOps Server 및 SQL Server Reporting Services 모두 그룹, 사용자 및 권한에 대한 자체 정보를 유지 관리합니다. 이러한 프로그램에서 사용자 및 권한을 더 간단하게 관리하려면 배포에서 유사한 액세스 요구 사항을 가진 사용자 그룹을 만들고, 다른 소프트웨어 프로그램에서 해당 그룹에 적절한 액세스 권한을 부여한 다음 필요한 경우 그룹에서 사용자를 추가/제거하면 됩니다. 이렇게 하면 세 프로그램에서 별도로 개별 사용자 또는 사용자 그룹을 관리하는 것보다 훨씬 간단합니다.
서버가 Active Directory 도메인에 있는 경우 한 가지 옵션은 프로젝트 컬렉션의 모든 프로젝트에 대한 개발자 및 테스터 그룹 또는 컬렉션에서 프로젝트를 만들고 관리할 수 있는 사용자 그룹과 같이 사용자를 관리하는 특정 Active Directory 그룹을 만드는 것입니다. 마찬가지로, Network Service 시스템 계정을 서비스 계정으로 사용하도록 구성할 수 없는 서비스를 위해 Active Directory 계정을 만들 수 있습니다. 이렇게 하려면 SQL Server Reporting Services 보고서에 대한 읽기 액세스 데이터 원본 계정에 대한 Active Directory 계정을 만듭니다.
중요
Azure DevOps Server Active Directory 그룹을 사용하기로 결정한 경우 Azure DevOps Server 사용자 관리 전용인 특정 그룹을 만드는 것이 좋습니다. 다른 용도로 만든 기존 그룹을 사용하는 경우, 특히 Azure DevOps Server 익숙하지 않은 다른 사용자가 관리하는 경우 다른 기능을 지원하기 위해 멤버 자격이 변경되면 예기치 않은 사용자 결과가 발생할 수 있습니다.
설치 중에 기본 선택은 네트워크 서비스 시스템 계정을 Azure DevOps Server 및 SQL Server 대한 서비스 계정으로 사용하는 것입니다. 보안 목적이나 확장 배포 등의 이유로 특정 계정을 서비스 계정으로 사용할 수도 있습니다. SQL Server Reporting Services 데이터 원본 판독기 계정의 서비스 계정으로 사용할 특정 Active Directory 계정을 만들 수도 있습니다.
서버가 Active Directory 도메인에 있지만 Active Directory 그룹 또는 계정을 만들 수 있는 권한이 없거나 도메인 대신 작업 그룹에 서버를 설치하는 경우 로컬 그룹을 만들고 사용하여 SQL Server 간에 사용자를 관리하고 Azure DevOps Server 수 있습니다. 마찬가지로 서비스 계정으로 사용할 로컬 계정을 만들 수 있습니다. 단, 로컬 그룹 및 계정은 도메인 그룹 및 계정만큼 강력하지 않다는 점에 유의해야 합니다. 예를 들어 서버 장애가 발생한 경우 새 서버에서 그룹과 계정을 처음부터 다시 만들어야 합니다. Active Directory 그룹 및 계정을 사용하는 경우 Azure DevOps Server 호스팅하는 서버가 실패하더라도 그룹 및 계정이 유지됩니다.
예를 들어 새 배포에 대한 비즈니스 요구 사항 및 프로젝트 관리자의 보안 요구 사항을 검토한 후 배포에서 대부분의 사용자를 관리하는 세 그룹을 만들 수 있습니다.
기본 프로젝트 컬렉션의 모든 프로젝트에 완전히 참여할 개발자 및 테스터를 위한 일반 그룹입니다. 대부분의 사용자가 이 그룹에 포함됩니다. 이 그룹의 이름을 TFS_ProjectContributors로 지정할 수 있습니다.
해당 컬렉션에서 프로젝트를 만들고 관리할 권한이 있는 프로젝트 관리자 소그룹. 이 그룹의 이름을 TFS_ProjectAdmins로 지정할 수 있습니다.
한 프로젝트에 대한 권한을 갖는 계약 직원을 위한 특별 제한 그룹. 이 그룹의 이름을 TFS_RestrictedAccess로 지정할 수 있습니다.
나중에 확대 배포할 때 다른 그룹을 만들 수도 있습니다.
Active Directory에서 그룹을 만들려면
- 해당 비즈니스 요구 사항에 가장 잘 맞도록 Active Directory에 로컬 도메인, 전역 그룹 또는 유니버설 그룹을 만듭니다. 예를 들어 둘 이상의 도메인에 속한 사용자를 한 그룹으로 만들 경우 유니버설 그룹 유형이 가장 적합합니다. 자세한 내용은 새 그룹 만들기(Active Directory Domain Services)를 참조하세요.
서버에서 로컬 그룹을 만들려면
- 로컬 그룹을 만들고 해당 용도를 쉽게 식별할 수 있는 이름을 지정합니다. 기본적으로 직접 만든 모든 그룹에는 해당 컴퓨터의 사용자 기본 그룹과 동등한 권한이 부여됩니다. 자세한 내용은 로컬 그룹 만들기를 참조하세요.
Active Directory에서 서비스 계정으로 사용할 계정을 만들려면
- Active Directory에서 계정을 만들고, 비즈니스 요구 사항에 따라 암호 정책을 설정하고, 계정에 대해 위임에 대해 계정을 신뢰할 수 있는지 확인합니다. 자세한 내용은 새 사용자 계정 만들기(Active Directory Domain Services) 및 사용자 계정 이해(Active Directory Domain Services)를 참조하세요.
서버에서 서비스 계정으로 사용할 로컬 계정을 만들려면
- 로컬 계정을 만들어 서비스 계정으로 사용한 후 비즈니스의 보안 요구 사항에 따라 그룹 멤버 자격 등의 속성을 수정합니다. 자세한 내용은 로컬 사용자 계정 만들기를 참조하세요.
다음 단계 실행
Q & A
Q: 그룹을 사용하여 Azure DevOps Server 프로젝트 또는 기능에 대한 액세스를 제한할 수 있나요?
A: 네 당신은 할 수 있어요. 액세스 수준 및 기타 목적을 관리하기 위해 선택 기능, 함수 및 프로젝트에 대한 액세스 권한을 부여하거나 제한하기 위한 특정 그룹을 만들 수 있습니다.