Учетные записи служб и зависимости
Azure DevOps Server 2022 г. | Azure DevOps Server 2020 г. | Azure DevOps Server 2019 г.
Вы можете лучше управлять Azure DevOps Server, если понимаете службы и несколько учетных записей служб, которые включаются в каждое развертывание Azure DevOps и от которых зависит каждое развертывание. В зависимости от того, как вы установили и настроили Azure DevOps, эти службы и учетные записи служб могут работать на одном компьютере или на нескольких компьютерах. Это влияет на определенные аспекты управления развертыванием. Например, если серверные компоненты развертывания запущены на нескольких компьютерах, необходимо убедиться, что учетные записи служб, используемые для развертывания, имеют необходимые уровни доступа и разрешения.
Azure DevOps Server имеет службы и учетные записи служб, которые выполняются на следующих компьютерах в развертывании:
- любой сервер, на котором размещается одна или несколько баз данных для Azure DevOps Server
- любой сервер, на котором размещаются компоненты уровня приложений для Azure DevOps Server
- любой компьютер, на котором запущен прокси-сервер Azure DevOps Server
- любой компьютер построения;
- любая тестовая машина;
Вы можете устанавливать и развертывать различные функции Azure DevOps Server различными способами. Распределение функций в развертывании определяет, какие службы и учетные записи служб используются на каждом физическом компьютере. Кроме того, может потребоваться управлять учетными записями служб для программ, настроенных для работы с Azure DevOps Server, например учетными записями служб для SQL Server.
учетные записи служб;
Хотя Azure DevOps Server использует несколько учетных записей служб, вы можете использовать одну и ту же учетную запись домена или рабочей группы для большинства или всех из них. Например, можно использовать ту же учетную запись домена, что и учетная запись Contoso\\Example службы для Azure DevOps Server (TFSService) и учетная запись источников данных для SQL Server Reporting Services (TFSReports). Однако некоторые учетные записи служб могут требовать разрешений различных уровней. Например, служба TFSService должна иметь разрешение Вход в качестве службы , а TFSReports — разрешение Разрешить локальный вход . Если вы используете одну и ту же учетную запись для обеих учетных записей Contoso\\Example , необходимо предоставить ей оба этих разрешения. Кроме того, TFSService требует значительно больше разрешений для правильной работы, чем те, которые требуются TFSReports , как показано в таблице ниже в этом разделе. В целях безопасности необходимо рассмотреть возможность использования отдельных учетных записей для этих двух учетных записей служб.
Важно!
Не следует использовать учетную запись, которая использовалась для установки Azure DevOps Server, в качестве учетной записи для любой из этих учетных записей служб.
Если вы развернули Azure DevOps Server в домене Active Directory, следует задать параметр Учетная запись является конфиденциальной и не может быть делегирована для учетных записей служб. Например, в следующей таблице следует задать этот параметр для TFSService. Дополнительные сведения о необходимых учетных записях служб и именах заполнителей, используемых в документации для Azure DevOps Server см. в разделе "Учетные записи, необходимые для установки Azure DevOps Server" руководства по установке Team Foundation. Дополнительные сведения о делегировании учетных записей в Active Directory см. на следующей странице на веб-сайте Майкрософт: Делегирование полномочий в Active Directory.
Поскольку необходимо управлять несколькими учетными записями служб, каждая учетная запись службы обозначается заполнителем, который отражает ее назначение по списку ниже в данном разделе. Имя заполнителя не является фактическим именем учетной записи, используемым для каждой учетной записи службы. Фактическое имя учетной записи зависит от развертывания. В предыдущем примере для TFSService и TFSReports использовалась Contoso\\Exampleучетная запись . В собственном развертывании можно создать учетные записи домена с определенными TFSService именами и TFSReportsили использовать сетевую учетную запись системы в качестве учетной записи службы для Team Foundation Server.
Важно!
Если не указано иное, никакие группы или учетные записи в следующей таблице не должны быть членами группы "Администраторы" на любом из серверов в развертывании Azure DevOps Server.
В следующей таблице перечислены большинство учетных записей служб, которые могут использоваться при развертывании Azure DevOps Server. Дополнительные учетные записи служб, не перечисленные здесь, см. в разделе Разрешения и группы, Учетные записи служб.
Учетная запись службы для
Имя заполнителя и тип возможной учетной записи
Требуемое разрешение и членство в группе
Примечания
Azure DevOps Services
Служба учетной записи (CollectionName)
Нет. Эта учетная запись используется только в том случае, если вы используете размещенное развертывание Azure DevOps.
Автоматически создается при создании организации в Azure DevOps Services. Он используется, когда клиенты взаимодействуют с размещенной службой, и его можно просмотреть на странице администрирования веб-портала.
Azure DevOps Server
TFSService: может быть локальной учетной записью, учетной записью домена, локальной службой в рабочей группе или сетевой службой в домене.
Вход в качестве службы на сервере уровня приложений
Эта учетная запись службы используется для всех веб-служб Azure DevOps. Если в качестве данной учетной записи используется учетная запись домена, она должна быть членом домена, которому полностью доверяют все компьютеры в развертывании.
построение Team Foundation
TFSBuild, которая может быть локальной учетной записью, учетной записью домена или локальной службой в рабочей группе.
Вход в систему в качестве службы.
Данная учетная запись службы используется, когда построения настроены и информация о состоянии построения передается между контроллером построений и агентами построения.
службы SQL Server Reporting Services
TFSReports, который может быть локальной учетной записью, учетной записью домена или локальной службой в рабочей группе.
Разрешить локальный вход на сервере уровня приложений и на сервере, работающем SQL Server Reporting Services
TFSWareHouseDataReader на сервере отчетов.
Данная учетная запись службы получает данные для отчетов от служб отчетов.
прокси-сервер Azure DevOps Server
TFSProxy, которая может быть локальной учетной записью, учетной записью домена, локальной службой в рабочей группе или сетевой службой в домене.
Вход в систему в качестве службы.
Используется для всех прокси-служб. Если в качестве данной учетной записи используется учетная запись домена, она должна быть членом домена, которому полностью доверяют все компьютеры в развертывании.
Агент тестирования и контроллер агента тестирования
TFSTest: может быть локальной учетной записью, учетной записью домена или сетевой службой в домене.
Вход в систему в качестве службы.
Используется при обмене информацией о тестах между контроллером агента тестирования и агентом тестирования.
Службы, которые выполняются под учетными записями служб
В следующей таблице перечислены службы, которые выполняются под учетными записями служб в локальном развертывании Azure DevOps.
| Имя службы | Учетная запись службы | Логический уровень |
|---|---|---|
| Служба покрытия кода | Tfsservice | уровень приложений |
| Веб-службы Azure DevOps Server | Tfsservice | уровень приложений |
| SQL Server Reporting Services (MSSQLSERVER или InstanceName при использовании именованного экземпляра) | Local System или доменная учетная запись | уровень приложений |
| Веб-служба отчетов | Локальная система, сетевая служба или учетная запись домена | уровень приложений |
| Узел службы сборки Visual Studio Team Foundation (если установлена сборка Team Foundation) | TFSBuild | компьютер построения |
| Агент фоновых заданий Visual Studio Team Foundation | Tfsservice | уровень приложений |
| Контроллер тестирования Visual Studio | TFSTest | любой компьютер |
| Агент тестирования Visual Studio | TFSTest | тестовый компьютер |
| Analysis Server (MSSQLSERVER или InstanceName , если используется именованный экземпляр) | Local System или доменная учетная запись | уровень данных |
| Обозреватель SQL Server | Локальная служба или доменная учетная запись | уровень данных |
| SQL Server (MSSQLSERVER или InstanceName, если используется именованный экземпляр) | Локальная система, сетевая служба или учетная запись домена | уровень данных |
| агент SQL Server (MSSQLSERVER или InstanceName, если используется именованный экземпляр) | Локальная система, сетевая служба или учетная запись домена | уровень данных |
| Служба учетных записей (CollectionName) | Автоматически | веб-уровень (только Azure DevOps Services) |
Дополнительные сведения об учетных записях служб для SQL Server см. на следующей странице веб-сайта Майкрософт: SQL Server электронной документации. Последние сведения об учетных записях служб Azure DevOps Server см. в статье Установка и настройка Azure DevOps в локальной среде.
Примечание
При изменении учетной записи службы для Team Foundation Build необходимо убедиться, что новая учетная запись службы входит в группу Служб сборки. Также необходимо убедиться, что учетная запись имеет разрешения на чтение и запись для папок временных файлов и временной папки ASP.NET. Аналогичным образом, при изменении учетной записи службы прокси-сервера Team Foundation Server необходимо убедиться, что учетная запись является членом соответствующих групп. Дополнительные сведения см. в разделе Настройка системы сборки.
Вопросы и ответы
Вопрос. Учетные записи служб назначаются группе уровня доступа?
A: По умолчанию учетные записи служб добавляются на уровень доступа по умолчанию. Если вы сделаете заинтересованных лиц уровнем доступа по умолчанию, необходимо добавить учетную запись службы Azure DevOps Server в группу "Базовый" или "Дополнительно".
Вопрос. Для учетных записей служб требуется лицензия?
Ответ. Нет. Для учетных записей служб не требуется отдельная лицензия.
Вопрос. Разделы справки изменить пароль или учетную запись для учетной записи службы?
A: См. раздел Изменение учетной записи службы или пароля.