Contas e dependências de serviço
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Você poderá gerenciar melhor Azure DevOps Server se entender os serviços e várias contas de serviço que cada implantação do Azure DevOps inclui e das quais cada implantação depende. Dependendo de como você instalou e configurou o Azure DevOps, esses serviços e contas de serviço podem ser executados em um computador ou podem ser executados em muitos computadores. Isso altera certos aspectos do gerenciamento da implantação. Por exemplo, se os componentes do lado do servidor da implantação forem executados em mais de um computador, você deverá garantir que as contas de serviço que sua implantação usa tenham o acesso e as permissões necessárias para funcionar corretamente.
Azure DevOps Server tem serviços e contas de serviço executados nos seguintes computadores em uma implantação:
- qualquer servidor que hospeda um ou mais bancos de dados para Azure DevOps Server
- qualquer servidor que hospeda componentes da camada de aplicativo para Azure DevOps Server
- qualquer computador que esteja executando Azure DevOps Server Proxy
- qualquer computador de build
- qualquer computador de teste
Você pode instalar e implantar diferentes recursos de Azure DevOps Server de várias maneiras. A distribuição de recursos em sua implantação determina quais serviços e contas de serviço são executados em quais computadores físicos. Além disso, talvez seja necessário gerenciar as contas de serviço para programas de software configurados para trabalhar com Azure DevOps Server, como as contas de serviço para SQL Server.
Contas de serviço
Embora Azure DevOps Server use várias contas de serviço, você pode usar a mesma conta de domínio ou grupo de trabalho para a maioria ou todas elas. Por exemplo, você pode usar a mesma conta Contoso\\Example de domínio que a conta de serviço para Azure DevOps Server (TFSService) e a conta de fontes de dados para SQL Server Reporting Services (TFSReports). No entanto, contas de serviço diferentes podem exigir níveis de permissão diferentes. Por exemplo, O TFSService deve ter a permissão Fazer logon como serviço e o TFSReports deve ter a permissão Permitir logon localmente . Se você usar a mesma conta Contoso\\Example para ambos, deverá conceder essas duas permissões a ela. Além disso, o TFSService requer significativamente mais permissões para operar corretamente do que as que o TFSReports exige, como mostra a tabela mais adiante neste tópico. Para fins de segurança, você deve considerar o uso de contas separadas para essas duas contas de serviço.
Importante
Você não deve usar a conta que foi usada para instalar Azure DevOps Server como a conta de qualquer uma dessas contas de serviço.
Se você implantou Azure DevOps Server em um domínio do Active Directory, deverá definir que a Conta é confidencial e não pode ser delegada para contas de serviço. Por exemplo, na tabela a seguir, você deve definir essa opção para TFSService. Para obter mais informações sobre contas de serviço necessárias e nomes de espaço reservado usados na documentação do Azure DevOps Server consulte o tópico "Contas necessárias para instalação de Azure DevOps Server" no guia de instalação do Team Foundation. Para obter mais informações sobre a delegação de conta no Active Directory, consulte a seguinte página no site da Microsoft: Delegando autoridade no Active Directory.
Como você deve gerenciar várias contas de serviço, cada conta de serviço é referenciada por um nome de espaço reservado que identifica sua função, conforme listado na tabela posteriormente neste tópico. O nome do espaço reservado não é o nome real da conta que você usa para cada conta de serviço. O nome real da conta varia dependendo da implantação. No exemplo anterior, a conta usada para TFSService e TFSReports era Contoso\\Example. Em sua própria implantação, você pode criar contas de domínio com os nomes específicos de TFSService e TFSReportsou pode usar o Serviço de Rede da conta do sistema como a conta de serviço do Team Foundation Server.
Importante
A menos que indicado especificamente de outra forma, nenhum grupo ou conta na tabela a seguir deve ser membro do grupo Administradores em qualquer um dos servidores em sua implantação de Azure DevOps Server.
A tabela a seguir lista a maioria das contas de serviço que podem ser usadas em uma implantação de Azure DevOps Server. Para contas de serviço adicionais não listadas aqui, consulte Permissões e grupos, Contas de serviço.
Conta de serviço para
Nome do espaço reservado e tipo de conta utilizável
Permissão necessária e associação de grupo
Observações
Azure DevOps Services
Serviço de Conta (CollectionName)
Nenhum. Essa conta só será usada se você estiver usando uma implantação hospedada do Azure DevOps.
É criado automaticamente para você ao criar uma organização no Azure DevOps Services. Ele é usado quando os clientes se comunicam com o serviço hospedado e podem ser exibidos por meio da página de administração do portal da Web.
Azure DevOps Server
TFSService: pode ser uma conta local, uma conta de domínio, o Serviço Local em um grupo de trabalho ou o Serviço de Rede em um domínio
Fazer logon como um serviço no servidor da camada de aplicativo
Essa conta de serviço é usada para todos os serviços Web do Azure DevOps. Se você usar uma conta de domínio para essa conta, ela deverá ser um membro de um domínio em que todos os computadores em toda a implantação confiem plenamente.
Compilação do Team Foundation
TFSBuild, que pode ser uma conta local, uma conta de domínio ou serviço local em um grupo de trabalho
Fazer logon como um serviço
Essa conta de serviço é usada quando builds são configurados e quando as informações de status de build são comunicadas entre o controlador de build e os agentes de build.
SQL Server Reporting Services
TFSReports, que pode ser uma conta local, uma conta de domínio ou um Serviço Local em um grupo de trabalho
Permitir logon localmente no servidor da camada de aplicativo e no servidor que está executando SQL Server Reporting Services
TFSWareHouseDataReader no servidor de relatório
Essa conta de serviço recupera dados de relatórios de Reporting Services.
Proxy Azure DevOps Server
TFSProxy, que pode ser uma conta local, uma conta de domínio, Serviço Local em um grupo de trabalho ou Serviço de Rede em um domínio
Fazer logon como um serviço
Usado para todos os serviços de proxy. Se você usar uma conta de domínio para essa conta, ela deverá ser um membro de um domínio em que todos os computadores em toda a implantação confiem plenamente.
Agente de Teste e Controlador do Agente de Teste
TFSTest: pode ser uma conta local, uma conta de domínio ou um Serviço de Rede em um domínio.
Fazer logon como um serviço
Usado quando informações sobre testes são comunicadas entre o controlador do agente de teste e o agente de teste.
Serviços executados em contas de serviço
A tabela a seguir lista os serviços executados em contas de serviço em uma implantação do Azure DevOps local.
| Nome do serviço | Conta de serviço | Camada lógica |
|---|---|---|
| Serviço de Cobertura de Código | Tfsservice | camada de aplicativo |
| serviços Web Azure DevOps Server | Tfsservice | camada de aplicativo |
| SQL Server Reporting Services (MSSQLSERVER ou InstanceName se estiver usando uma instância nomeada) | Sistema local ou uma conta de domínio | camada de aplicativo |
| Serviço Web de Relatório | Sistema Local, Serviço de Rede ou uma conta de domínio | camada de aplicativo |
| Host do Serviço de Build do Visual Studio Team Foundation (se o Team Foundation Build estiver instalado) | Tfsbuild | compilar computador |
| Agente de trabalho em segundo plano do Visual Studio Team Foundation | Tfsservice | camada de aplicativo |
| Test Controller do Visual Studio | TFSTest | qualquer computador |
| Test Agent do Visual Studio | TFSTest | computador de teste |
| Analysis Server (MSSQLSERVER ou InstanceName se você estiver usando uma instância nomeada) | Sistema local ou uma conta de domínio | camada de dados |
| SQL Server Browser | Serviço Local ou uma conta de domínio | camada de dados |
| SQL Server (MSSQLSERVER ou InstanceName se estiver usando uma instância nomeada) | Sistema Local, Serviço de Rede ou uma conta de domínio | camada de dados |
| SQL Server Agent (MSSQLSERVER ou InstanceName se estiver usando uma instância nomeada) | Sistema Local, Serviço de Rede ou uma conta de domínio | camada de dados |
| Serviço de Conta (CollectionName) | Automática | camada da Web (somente Azure DevOps Services) |
Para obter mais informações sobre contas de serviço para SQL Server, consulte a seguinte página no site da Microsoft: SQL Server Livros Online. Para obter as informações mais recentes sobre Azure DevOps Server contas de serviço, consulte Instalar e configurar o Azure DevOps localmente.
Observação
Se você alterar a conta de serviço do Team Foundation Build, deverá garantir que a nova conta de serviço seja membro do grupo Build Services. Você também deve verificar se a conta tem permissões de leitura/gravação para as pastas temporárias e a pasta temporária ASP.NET. Da mesma forma, se você alterar a conta de serviço para o serviço proxy do Team Foundation Server, verifique se a conta é membro dos grupos apropriados. Para obter mais informações, consulte Configurar seu sistema de build.
Perguntas e Respostas
P: As contas de serviço são atribuídas a um grupo de nível de acesso?
Um: Por padrão, as contas de serviço são adicionadas ao nível de acesso padrão. Se você tornar Stakeholder o nível de acesso padrão, deverá adicionar a conta de serviço Azure DevOps Server ao grupo Básico ou Avançado.
P: As contas de serviço exigem uma licença?
R: Não. As contas de serviço não exigem uma licença separada.
P: Como fazer alterar a senha ou a conta de uma conta de serviço?
Um: Confira Alterar a conta de serviço ou a senha