Поделиться через

Настройка групп для использования в локальной среде Azure DevOps

  • Статья

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Управление пользователями в Azure DevOps Server гораздо проще, если вы создаете группы Windows или Active Directory для них, особенно если развертывание включает службы SQL Server Reporting Services.

Пользователи, группы и разрешения в развертываниях Azure DevOps Server

Azure DevOps Server и SQL Server Reporting Services управляют своими собственными сведениями о группах, пользователях и разрешениях. Чтобы упростить управление пользователями и разрешениями в этих программах, можно создать группы пользователей с аналогичными требованиями к доступу в развертывании, предоставить этим группам соответствующий доступ в различных программах программного обеспечения, а затем просто добавить или удалить пользователей из группы по мере необходимости. Это гораздо проще, чем обслуживание отдельных пользователей или групп пользователей отдельно в трех отдельных программах.

Если сервер находится в домене Active Directory, один из вариантов — создать определенные группы Active Directory для управления пользователями, например группу разработчиков и тестировщиков для всех проектов в коллекции проектов, или группу пользователей, которые могут создавать и администрировать проекты в коллекции. Аналогичным образом можно создать учетную запись Active Directory для служб, которые не могут быть настроены для использования учетной записи системы сетевой службы в качестве учетной записи службы. Для этого создайте учетную запись Active Directory для доступа на чтение к источнику данных отчетов в службах SQL Server Reporting Services.

Это важно

Если вы решили использовать группы Active Directory в Azure DevOps Server, рассмотрите возможность создания конкретных групп, назначение которых предназначено для управления пользователями в Azure DevOps Server. Использование существующих групп, созданных для другой цели, особенно если они управляются другими пользователями, которые не знакомы с Azure DevOps Server, могут привести к непредвиденным последствиям пользователей при изменении членства для поддержки какой-то другой функции.

Выбор по умолчанию во время установки — использовать учетную запись системы сетевой службы в качестве учетной записи службы для Azure DevOps Server и SQL Server. Если вы хотите использовать определенную учетную запись в качестве служебной для обеспечения безопасности или по другим причинам, например, для масштабного развертывания, вы можете это сделать. Вам также может понадобиться создать отдельную учетную запись Active Directory для использования в качестве служебного аккаунта для чтения источников данных в службах SQL Server Reporting Services.

Если сервер находится в домене Active Directory, но у вас нет разрешений на создание групп или учетных записей Active Directory, или если сервер устанавливается в рабочей группе, а не в домене, вы можете создавать и использовать локальные группы для управления пользователями в SQL Server и Azure DevOps Server. Аналогичным образом можно создать локальную учетную запись для использования в качестве учетной записи службы. Однако помните, что локальные группы и учетные записи не являются столь надежными, как группы домена и учетные записи. Например, в случае сбоя сервера потребуется повторно создать группы и учетные записи с нуля на новом сервере. Если вы используете группы и учетные записи Active Directory, они будут сохранены даже в случае сбоя сервера Azure DevOps Server.

Например, после проверки бизнес-требований для нового развертывания и требований к безопасности с помощью руководителей проектов можно создать три группы для управления большинством пользователей в развертывании:

  • Общая группа для разработчиков и тестировщиков, которые будут полностью участвовать во всех проектах в коллекции проектов по умолчанию. Эта группа будет содержать большинство пользователей. Вы можете назвать эту группу TFS_ProjectContributors.

  • Небольшая группа администраторов проектов, у которых есть разрешения на создание проектов и управление ими в коллекции. Вы можете назвать эту группу TFS_ProjectAdmins.

  • Специальная ограниченная группа подрядчиков, которые будут иметь доступ только к одному из проектов. Вы можете назвать эту группу TFS_RestrictedAccess.

Позже, когда развертывание расширяется, вы можете решить создать другие группы.

Создание группы в Active Directory

  • Создайте группу безопасности, которая является локальным доменом, глобальной или универсальной группой в Active Directory, как лучше всего соответствует вашим бизнес-потребностям. Например, если группе нужно содержать пользователей из нескольких доменов, универсальный тип группы лучше всего подходит для ваших потребностей. Дополнительные сведения см. в разделе "Создание группы " (доменные службы Active Directory)".

Создание локальной группы на сервере

  • Создайте локальную группу и присвойте ей имя, которое быстро определит его назначение. По умолчанию любая созданная группа будет иметь эквивалентные разрешения группы "Пользователи" по умолчанию на этом компьютере. Дополнительные сведения см. в разделе "Создание локальной группы".

Создание учетной записи для использования в качестве учетной записи службы в Active Directory

Создание локальной учетной записи для использования в качестве учетной записи службы на сервере

  • Создайте локальную учетную запись для использования в качестве учетной записи службы, а затем измените ее членство в группе и другие свойства в соответствии с требованиями безопасности для вашего бизнеса. Дополнительные сведения см. в разделе "Создание локальной учетной записи пользователя".

Попробуйте выполнить следующую попытку

Добавление пользователей в проекты

Вопросы и ответы

Вопрос. Можно ли использовать группы для ограничения доступа к проектам или функциям в Azure DevOps Server?

A: Да, Вы можете. Вы можете создавать определенные группы для предоставления или ограничения доступа для выбора функций, функций и проектов для управления уровнями доступа и другими целями.