Contas de serviço e dependências
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Você pode gerenciar melhor Azure DevOps Server se entender os serviços e várias contas de serviço que cada implantação do Azure DevOps inclui e das quais cada implantação depende. Dependendo de como você instalou e configurou o Azure DevOps, esses serviços e contas de serviço podem ser executados em um computador ou em vários computadores. Isso altera certos aspectos do gerenciamento de sua implantação. Por exemplo, se os componentes do lado do servidor de sua implantação forem executados em mais de um computador, você deverá garantir que as contas de serviço usadas tenham o acesso e as permissões necessárias para funcionar corretamente.
Azure DevOps Server tem serviços e contas de serviço que são executados nos seguintes computadores em uma implantação:
- qualquer servidor que hospede um ou mais bancos de dados para Azure DevOps Server
- qualquer servidor que hospede componentes da camada de aplicativo para Azure DevOps Server
- qualquer computador que esteja executando Azure DevOps Server Proxy
- qualquer computador de compilação
- qualquer máquina de teste
Você pode instalar e implantar diferentes recursos de Azure DevOps Server de várias maneiras. A distribuição de recursos em sua implantação determina quais serviços e contas de serviço são executados em quais computadores físicos. Além disso, talvez seja necessário gerenciar as contas de serviço para programas de software configurados para funcionar com Azure DevOps Server, como as contas de serviço para SQL Server.
Contas de serviço
Embora Azure DevOps Server use várias contas de serviço, você pode usar a mesma conta de domínio ou grupo de trabalho para a maioria ou todas elas. Por exemplo, você pode usar a mesma conta Contoso\\Example de domínio que a conta de serviço para Azure DevOps Server (TFSService) e a conta de fontes de dados para SQL Server Reporting Services (TFSReports). No entanto, diferentes contas de serviço podem exigir diferentes níveis de permissão. Por exemplo, o TFSService deve ter a permissão Fazer logon como um serviço e o TFSReports deve ter a permissão Permitir logon localmente . Se você usar a mesma conta Contoso\\Example para ambas, deverá conceder essas duas permissões a ela. Além disso, o TFSService requer significativamente mais permissões para operar corretamente do que aquelas que o TFSReports exige, como mostra a tabela mais adiante neste tópico. Para fins de segurança, você deve considerar o uso de contas separadas para essas duas contas de serviço.
Importante
Você não deve usar a conta que foi usada para instalar Azure DevOps Server como a conta para qualquer uma dessas contas de serviço.
Se você implantou Azure DevOps Server em um domínio do Active Directory, deverá definir a opção Conta é confidencial e não pode ser delegada para contas de serviço. Por exemplo, na tabela a seguir, você deve definir essa opção para TFSService. Para obter mais informações sobre contas de serviço necessárias e nomes de espaço reservado usados na documentação para Azure DevOps Server, consulte o tópico "Contas necessárias para instalação de Azure DevOps Server" no guia de instalação do Team Foundation. Para obter mais informações sobre a delegação de conta no Active Directory, consulte a seguinte página no site da Microsoft: Delegando autoridade no Active Directory.
Como você deve gerenciar várias contas de serviço, cada conta de serviço é referenciada por um nome de espaço reservado que identifica sua função, conforme listado na tabela mais adiante neste tópico. O nome do espaço reservado não é o nome real da conta que você usa para cada conta de serviço. O nome real da conta varia de acordo com sua implantação. No exemplo anterior, a conta usada para TFSService e TFSReports era Contoso\\Example. Em sua própria implantação, você pode criar contas de domínio com os nomes específicos de e TFSReports, ou pode usar a conta do sistema Serviço de TFSService Rede como a conta de serviço para o Team Foundation Server.
Importante
A menos que especificamente declarado de outra forma, nenhum grupo ou conta na tabela a seguir deve ser membro do grupo Administradores em qualquer um dos servidores em sua implantação de Azure DevOps Server.
A tabela a seguir lista a maioria das contas de serviço que podem ser usadas em uma implantação de Azure DevOps Server. Para contas de serviço adicionais não listadas aqui, consulte Permissões e grupos, Contas de serviço.
Conta de serviço para
Nome do espaço reservado e tipo de conta utilizável
Permissão necessária e associação ao grupo
Observações
Azure DevOps Services
Serviço de conta (CollectionName)
Nenhum. Essa conta só será usada se você estiver usando uma implantação hospedada do Azure DevOps.
É criado automaticamente para você quando você cria uma organização em Azure DevOps Services. Ele é usado quando os clientes se comunicam com o serviço hospedado e pode ser visualizado por meio da página de administração do portal da Web.
Azure DevOps Server
TFSService: pode ser uma conta local, uma conta de domínio, Serviço Local em um grupo de trabalho ou Serviço de Rede em um domínio
Fazer logon como um serviço no servidor da camada de aplicativo
Essa conta de serviço é usada para todos os serviços Web do Azure DevOps. Se você usar uma conta de domínio para essa conta, ela deverá ser membro de um domínio em que todos os computadores em toda a implantação confiem totalmente.
Compilação do Team Foundation
TFSBuild, que pode ser uma conta local, uma conta de domínio ou um Serviço Local em um grupo de trabalho
Fazer logon como um serviço
Essa conta de serviço é usada quando builds são configurados e quando as informações de status de build são comunicadas entre o controlador de build e os agentes de build.
SQL Server Reporting Services
TFSReports, que podem ser uma conta local, uma conta de domínio ou um serviço local em um grupo de trabalho
Permitir logon localmente no servidor da camada de aplicativo e no servidor que está executando o SQL Server Reporting Services
TFSWareHouseDataReader no servidor de relatório
Essa conta de serviço recupera dados para relatórios do Reporting Services.
Azure DevOps Server Proxy
TFSProxy, que pode ser uma conta local, uma conta de domínio, Serviço Local em um grupo de trabalho ou Serviço de Rede em um domínio
Fazer logon como um serviço
Usado para todos os serviços de proxy. Se você usar uma conta de domínio para essa conta, ela deverá ser membro de um domínio em que todos os computadores em toda a implantação confiem totalmente.
Agente de teste e controlador do agente de teste
TFSTest: pode ser uma conta local, uma conta de domínio ou um Serviço de Rede em um domínio.
Fazer logon como um serviço
Usado quando as informações sobre testes são comunicadas entre o controlador do agente de teste e o agente de teste.
Serviços executados em contas de serviço
A tabela a seguir lista os serviços executados em contas de serviço em uma implantação local do Azure DevOps.
| Nome do serviço | Conta de serviço | Camada lógica |
|---|---|---|
| Serviço de Cobertura de Código | TFSService | Camada de aplicativo |
| Serviços Web Azure DevOps Server | TFSService | Camada de aplicativo |
| SQL Server Reporting Services (MSSQLSERVER ou InstanceName se estiver usando uma instância nomeada) | Sistema local ou uma conta de domínio | Camada de aplicativo |
| Serviço Web de Relatório | Sistema Local, Serviço de Rede ou uma conta de domínio | Camada de aplicativo |
| Host de serviço do Visual Studio Team Foundation Build (se o Team Foundation Build estiver instalado) | TFSBuild | Construir computador |
| Agente de trabalho em segundo plano do Visual Studio Team Foundation | TFSService | Camada de aplicativo |
| Test Controller do Visual Studio | TFSTest | qualquer computador |
| Test Agent do Visual Studio | TFSTest | computador de teste |
| Analysis Server (MSSQLSERVER ou InstanceName se você estiver usando uma instância nomeada) | Sistema local ou uma conta de domínio | Camada de dados |
| SQL Server Browser | Serviço Local ou uma conta de domínio | Camada de dados |
| SQL Server (MSSQLSERVER ou InstanceName se estiver usando uma instância nomeada) | Sistema Local, Serviço de Rede ou uma conta de domínio | Camada de dados |
| SQL Server Agent (MSSQLSERVER ou InstanceName se estiver usando uma instância nomeada) | Sistema Local, Serviço de Rede ou uma conta de domínio | Camada de dados |
| Serviço de conta (CollectionName) | Automático | camada da Web (somente Azure DevOps Services) |
Para obter mais informações sobre contas de serviço para o SQL Server, consulte a seguinte página no site da Microsoft: Manuais Online do SQL Server. Para obter as informações mais recentes sobre Azure DevOps Server contas de serviço, consulte Instalar e configurar Azure DevOps local.
Observação
Se você alterar a conta de serviço do Team Foundation Build, deverá certificar-se de que a nova conta de serviço seja membro do grupo Build Services. Você também deve certificar-se de que a conta tenha permissões de leitura/gravação para as pastas temporárias e a pasta temporária ASP.NET. Da mesma forma, se você alterar a conta de serviço do serviço Proxy do Team Foundation Server, deverá certificar-se de que a conta seja membro dos grupos apropriados. Para obter mais informações, consulte Configurar seu sistema de compilação.
Perguntas e Respostas
P: As contas de serviço são atribuídas a um grupo de nível de acesso?
R: Por padrão, as contas de serviço são adicionadas ao nível de acesso padrão. Se você tornar o Stakeholder o nível de acesso padrão, deverá adicionar a conta de serviço Azure DevOps Server ao grupo Básico ou Avançado.
P: As contas de serviço exigem uma licença?
R: Não. As contas de serviço não exigem uma licença separada.
P: Como faço para alterar a senha ou a conta de uma conta de serviço?
R: Consulte Alterar a conta de serviço ou a senha