Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure DevOps Server |Azure DevOps Server |Azure DevOps Server 2022 | Azure DevOps Server 2020
U kunt Azure DevOps Server beter beheren als u de services en verschillende serviceaccounts begrijpt die elke implementatie van Azure DevOps omvat en waarvan elke implementatie afhankelijk is. Afhankelijk van hoe u Azure DevOps hebt geïnstalleerd en geconfigureerd, kunnen deze services en serviceaccounts allemaal worden uitgevoerd op één computer of op veel computers. Hiermee worden bepaalde aspecten van het beheren van uw implementatie gewijzigd. Als de onderdelen aan de serverzijde van uw implementatie bijvoorbeeld op meer dan één computer worden uitgevoerd, moet u ervoor zorgen dat de serviceaccounts die uw implementatie gebruikt, de toegang en machtigingen hebben die ze nodig hebben om correct te functioneren.
Azure DevOps Server heeft services en serviceaccounts die worden uitgevoerd op de volgende computers in een implementatie:
- elke server die als host fungeert voor een of meer databases voor Azure DevOps Server
- elke server die als host fungeert voor onderdelen van de toepassingslaag voor Azure DevOps Server
- elke computer waarop De Azure DevOps Server-proxy wordt uitgevoerd
- elke ontwikkelcomputer
- elke willekeurige testmachine
U kunt verschillende functies van Azure DevOps Server op verschillende manieren installeren en implementeren. De distributie van functies in uw implementatie bepaalt welke services en serviceaccounts worden uitgevoerd op welke fysieke computers. Daarnaast moet u mogelijk de serviceaccounts beheren voor softwareprogramma's die zijn geconfigureerd voor gebruik met Azure DevOps Server, zoals de serviceaccounts voor SQL Server.
Serviceaccounts
Hoewel Azure DevOps Server verschillende serviceaccounts gebruikt, kunt u hetzelfde domein- of werkgroepaccount gebruiken voor de meeste of allemaal. U kunt bijvoorbeeld hetzelfde domeinaccount Contoso\\Example gebruiken als het serviceaccount voor Azure DevOps Server (TFSService) en het gegevensbronnenaccount voor SQL Server Reporting Services (TFSReports). Verschillende serviceaccounts kunnen echter verschillende machtigingsniveaus vereisen.
TFSService moet bijvoorbeeld de toestemming Aanmelden als een service hebben en TFSReports moet de toestemming Lokaal aanmelden toestaan hebben. Als u hetzelfde account voor beide gebruikt, moet u beide machtigingen aan het account Contoso\\Example verlenen. Bovendien vereist TFSService aanzienlijk meer machtigingen om correct te werken dan TFSReports vereist, zoals in de tabel verderop in dit onderwerp wordt weergegeven. Voor beveiligingsdoeleinden moet u overwegen afzonderlijke accounts voor deze twee serviceaccounts te gebruiken.
Belangrijk
U mag niet het account gebruiken dat is gebruikt voor het installeren van Azure DevOps Server als het account voor een van deze serviceaccounts.
Als u Azure DevOps Server in een Active Directory-domein hebt geïmplementeerd, moet u instellen dat het account gevoelig is en niet kan worden gedelegeerd voor serviceaccounts. In de volgende tabel moet u deze optie bijvoorbeeld instellen voor TFSService. Zie het onderwerp Accounts vereist voor de installatie van Azure DevOps Server in de installatiehandleiding voor Team Foundation voor meer informatie over vereiste serviceaccounts en tijdelijke aanduidingen die worden gebruikt in documentatie voor Azure DevOps Server. Zie de volgende pagina op de Website van Microsoft voor meer informatie over accountdelegering in Active Directory: Instantie delegeren in Active Directory.
Omdat u meerdere serviceaccounts moet beheren, wordt elk serviceaccount aangeduid met een tijdelijke aanduiding die de functie identificeert, zoals verderop in dit onderwerp wordt vermeld in de tabel. De tijdelijke aanduiding is niet de werkelijke naam van het account dat u voor elk serviceaccount gebruikt. De werkelijke naam van het account is afhankelijk van uw implementatie. In het vorige voorbeeld was het account dat wordt gebruikt voor zowel TFSService als TFSReportsContoso\\Example. In uw eigen implementatie kunt u domeinaccounts maken met de specifieke namen van TFSService en TFSReports, of u kunt de netwerkservice van het systeemaccount gebruiken als het serviceaccount voor Team Foundation Server.
Belangrijk
Tenzij specifiek anders vermeld, moeten geen groepen of accounts in de volgende tabel lid zijn van de groep Administrators op een van de servers in uw implementatie van Azure DevOps Server.
De volgende tabel bevat de meeste serviceaccounts die kunnen worden gebruikt in een implementatie van Azure DevOps Server. Zie Machtigingen en groepen, Serviceaccounts, voor aanvullende serviceaccounts die hier niet worden vermeld.
Serviceaccount voor
Placeholder-naam en bruikbaar accounttype
Vereiste machtiging en groepslidmaatschap
Notes
Azure DevOps Services
Accountservice (CollectionName)
Geen. Dit account wordt alleen gebruikt als u een gehoste implementatie van Azure DevOps gebruikt.
Wordt automatisch voor u gemaakt wanneer u een organisatie maakt in Azure DevOps Services. Deze wordt gebruikt wanneer clients communiceren met de gehoste service en kunnen worden bekeken via de beheerpagina van de webportal.
Azure DevOps Server
TFSService: kan een lokaal account, een domeinaccount, lokale service in een werkgroep of netwerkservice in een domein zijn
Aanmelden als een dienst op de server in de toepassingslaag
Dit serviceaccount wordt gebruikt voor alle Azure DevOps-webservices. Als u een domeinaccount voor dit account gebruikt, moet het lid zijn van een domein dat alle computers in de implementatie volledig vertrouwen.
Team Foundation Bouwoverzicht
TFSBuild, dat een lokaal account, een domeinaccount of lokale service in een werkgroep kan zijn
Inloggen als een service
Dit serviceaccount wordt gebruikt wanneer builds zijn geconfigureerd en wanneer informatie over de buildstatus wordt gecommuniceerd tussen de buildcontroller en de buildagents.
SQL Server Reporting Services
TFSReports, dat een lokaal account, een domeinaccount of lokale service in een werkgroep kan zijn
Lokaal aanmelden toestaan op de toepassingslaagserver en op de server met SQL Server Reporting Services
TFSWareHouseDataReader op de rapportserver
Met dit serviceaccount worden gegevens opgehaald voor rapporten van Reporting Services.
Azure DevOps Server Proxy
TFSProxy, dat een lokaal account, een domeinaccount, lokale service in een werkgroep of netwerkservice in een domein kan zijn
Inloggen als een service
Wordt gebruikt voor alle proxyservices. Als u een domeinaccount voor dit account gebruikt, moet het lid zijn van een domein dat alle computers in de implementatie volledig vertrouwen.
Test Agent en Test Agent Controller
TFSTest: kan een lokaal account, een domeinaccount of netwerkservice in een domein zijn.
Inloggen als een service
Wordt gebruikt wanneer informatie over tests wordt gecommuniceerd tussen de testagentcontroller en de testagent.
Services die worden uitgevoerd onder serviceaccounts
De volgende tabel bevat de services die worden uitgevoerd onder serviceaccounts in een on-premises Azure DevOps-implementatie.
| Servicenaam | Serviceaccount | Logische laag |
|---|---|---|
| Service voor codedekking | TFSService | toepassingslaag |
| Azure DevOps Server-webservices | TFSService | toepassingslaag |
| SQL Server Reporting Services (MSSQLSERVER of InstanceName als u een benoemd exemplaar gebruikt) | Lokaal systeem of een domeinaccount | toepassingslaag |
| Rapportwebservice | Lokaal systeem, netwerkservice of een domeinaccount | toepassingslaag |
| Visual Studio Team Foundation Build Service Host (als Team Foundation Build is geïnstalleerd) | TFSBuild | Computer bouwen |
| Achtergrondtaakagent van Visual Studio Team Foundation | TFSService | toepassingslaag |
| Visual Studio-testcontroller | TFSTest | elke computer |
| Visual Studio Test Agent (testhulpmiddel) | TFSTest | testcomputer |
| Analysis Server (MSSQLSERVER of InstanceName als u een benoemd exemplaar gebruikt) | Lokaal systeem of een domeinaccount | gegevenslaag |
| SQL Server-browser | Lokale service of een domeinaccount | gegevenslaag |
| SQL Server (MSSQLSERVER of InstanceName als u een benoemd exemplaar gebruikt) | Lokaal systeem, netwerkservice of een domeinaccount | gegevenslaag |
| SQL Server Agent (MSSQLSERVER of InstanceName als u een benoemd exemplaar gebruikt) | Lokaal systeem, netwerkservice of een domeinaccount | gegevenslaag |
| Accountservice (CollectionName) | Automatisch | weblaag (alleen Azure DevOps Services) |
Zie de volgende pagina op de Website van Microsoft: SQL Server Books Online voor meer informatie over serviceaccounts voor SQL Server. Zie Azure DevOps on-premises installeren en configureren voor de meest recente informatie over Azure DevOps-serviceaccounts.
Opmerking
Als u het serviceaccount voor Team Foundation Build wijzigt, moet u ervoor zorgen dat het nieuwe serviceaccount lid is van de groep Build Services. U moet er ook voor zorgen dat het account lees-/schrijfmachtigingen heeft voor de tijdelijke mappen en de ASP.NET tijdelijke map. Als u ook het serviceaccount voor de Team Foundation Server Proxy-service wijzigt, moet u ervoor zorgen dat het account lid is van de juiste groepen. Zie Uw buildsysteem configureren voor meer informatie.
Vragen en antwoorden
V: Worden serviceaccounts toegewezen aan een groep op toegangsniveau?
Een: Standaard worden serviceaccounts toegevoegd aan het standaardtoegangsniveau. Als u belanghebbende het standaardtoegangsniveau maakt, moet u het Azure DevOps Server-serviceaccount toevoegen aan de groep Basic of Advanced.
V: Hebben serviceaccounts een licentie nodig?
A: Nee. Voor serviceaccounts is geen afzonderlijke licentie vereist.
V: Hoe wijzig ik het wachtwoord of account voor een serviceaccount?
A: Zie Het Serviceaccount of Wachtwoord Wijzigen