设置组以在本地 Azure DevOps 中使用
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
如果为用户创建 Windows 或 Active Directory 组,则管理Azure DevOps Server中的用户要容易得多,尤其是在部署包括SQL Server Reporting Services时。
Azure DevOps Server部署中的用户、组和权限
Azure DevOps Server和SQL Server Reporting Services都维护自己的有关组、用户和权限的信息。 若要使在这些程序中管理用户和权限变得更加简单,您可使用部署中的类似访问要求创建用户组,在不同的软件程序中向这些组提供相应的访问权限,然后根据需要在组中添加或移除用户。 这比在三个不同的程序中单独保留各个用户或用户组要容易得多。
如果服务器位于 Active Directory 域中,一个选项是创建特定的 Active Directory 组来管理用户,例如项目集合中所有项目的一组开发人员和测试人员,或一组可在集合中创建和管理项目的用户。 同样,您可为不能配置为使用 Network Service 系统帐户作为服务帐户的服务创建一个 Active Directory 帐户。 为此,请为 SQL Server Reporting Services 中的报表的读取访问数据源帐户创建 Active Directory 帐户。
重要
如果决定在 Azure DevOps Server 中使用 Active Directory 组,请考虑创建专用于Azure DevOps Server中的用户管理的特定组。 使用以前为另一个目的创建的现有组,特别是如果它们由不熟悉Azure DevOps Server的其他人管理,则当成员身份更改为支持某些其他功能时,可能会导致意外的用户后果。
安装过程中的默认选择是使用网络服务系统帐户作为Azure DevOps Server和SQL Server的服务帐户。 如果要为安全起见或其他原因(如扩展部署)使用特定帐户作为服务帐户,则可这样做。 你可能还希望创建一个特定的 Active Directory 帐户,以用作SQL Server Reporting Services数据源读取者帐户的服务帐户。
如果服务器位于 Active Directory 域中,但你无权创建 Active Directory 组或帐户,或者如果你在工作组而不是域中安装服务器,则可以创建和使用本地组来管理跨SQL Server的用户,并Azure DevOps Server。 同样,您可创建一个本地帐户用作服务帐户。 但是,请记住本地组和帐户不如域组和帐户可靠。 例如,在出现服务器故障的情况下,您需要在新服务器上从头开始重新创建组和帐户。 如果使用 Active Directory 组和帐户,即使托管Azure DevOps Server的服务器发生故障,也会保留组和帐户。
例如,在与项目经理一起评审新部署的业务要求和安全要求之后,您可决定创建三个组来管理部署中的大部分用户:
面向将完全参与默认项目集合中所有项目的开发人员和测试人员的常规组。 此组将包含大部分用户。 您可将此组命名为 TFS_ProjectContributors。
一小组有权在集合中创建和管理项目的项目管理员。 您可将此组命名为 TFS_ProjectAdmins。
一个特殊的、受限的承包商组,这些承包商仅对其中一个项目具有访问权限。 您可将此组命名为 TFS_RestrictedAccess。
之后,随着部署扩展,您可能会决定创建其他组。
创建 Active Directory 组
- 在 Active Directory 中创建一个属于本地域、全局或通用组的安全组,以最好地满足您的业务需求。 例如,如果此组需要包含来自多个域的用户,则通用组类型将最适合您的需求。 有关详细信息,请参阅创建新组 (Active Directory 域服务) 。
在服务器上创建本地组
- 创建一个本地组并为其指定可以快速识别其用途的名称。 默认情况下,您创建的任何组将具有与该计算机上“用户”默认组等效的权限。 有关详细信息,请参阅 创建本地组。
在 Active Directory 中创建一个帐户用作服务帐户
- 在 Active Directory 中创建一个帐户,根据业务要求设置密码策略,并确保为该 帐户选择受信任的帐户进行委派 。 有关详细信息,请参阅创建新的用户帐户 (Active Directory 域服务) 和了解用户帐户 (Active Directory 域服务) 。
在服务器上创建一个本地帐户用作服务帐户
- 创建一个本地帐户用作服务帐户,然后根据业务的安全需求修改其组成员资格以及其他属性。 有关详细信息,请参阅 创建本地用户帐户。
接下来尝试此操作
问题解答
问:是否可以使用组来限制对Azure DevOps Server中的项目或功能的访问?
答: 可以。 可以创建特定组,以 授予或限制对所选功能、函数和项目的访问权限,以便 管理访问级别和其他目的。