設定群組以在 Azure DevOps 內部部署中使用
Azure DevOps Server 2022 |Azure DevOps Server 2020 |Azure DevOps Server 2019
如果您為其建立 Windows 或 Active Directory 群組,則管理 Azure DevOps Server 中的使用者會比較容易,特別是如果您的部署包含 SQL Server Reporting Services。
Azure DevOps Server 部署中的使用者、群組和許可權
Azure DevOps Server 和 SQL Server Reporting Services 全都會維護群組、用戶和許可權的相關信息。 若要以較簡單方式透過這些程式管理使用者和使用權限,您可以在部署中使用類似的存取需求建立使用者群組,讓這些群組能夠適當存取不同的軟體程式,然後視需要從群組加入或移除使用者。 如此會比在三個不同程式分別維護個別使用者或群組來的容易。
如果您的伺服器位於 Active Directory 網域中,其中一個選項是建立特定的 Active Directory 群組來管理您的使用者,例如專案集合中所有專案的開發人員和測試人員群組,或可建立和管理集合中專案的一組使用者。 同樣地,您可以建立無法設定使用 Network Service 系統帳戶做為服務帳戶之服務的 Active Directory 帳戶。 若要這樣做,請為 SQL Server Reporting Services 中報表的讀取許可權數據源帳戶建立 Active Directory 帳戶。
重要
如果您決定在 Azure DevOps Server 中使用 Active Directory 群組,請考慮建立專用於 Azure DevOps Server 中使用者管理的特定群組。 使用先前為另一個用途所建立的群組,特別是由不熟悉 Azure DevOps Server 的其他群組所管理時,當成員資格變更以支援其他函式時,可能會導致非預期的用戶結果。
安裝期間的預設選擇是使用網路服務系統帳戶作為 Azure DevOps Server 和 SQL Server 的服務帳戶。 如果您是基於安全性考量或其他原因 (如向外延展部署) 想要使用特定的帳戶做為服務帳戶,也可以這麼做。 您也可以建立特定的 Active Directory 帳戶,以作為數據源讀取器帳戶的服務帳戶,以供 SQL Server Reporting Services 使用。
如果您的伺服器位於 Active Directory 網域,但您沒有建立 Active Directory 群組或帳戶的許可權,或是在工作組中安裝伺服器而不是網域,您可以建立和使用本機群組來管理跨 SQL Server 的使用者,以及 Azure DevOps Server。 同樣地,您可以建立本機帳戶做為服務帳戶。 不過,請記得本機群組與帳戶沒有像網域群組和帳戶那麼強固。 例如,在伺服器故障事件中,您會需要在新伺服器上重新建立群組和帳戶。 如果您使用 Active Directory 群組和帳戶,即使裝載 Azure DevOps Server 的伺服器失敗,仍會保留群組和帳戶。
例如,在檢閱新部署的企業需求和專案管理人員的安全性需求之後,您可以選擇建立三個群組來管理部署中的大部分使用者:
一般群組,適用於將完全參與預設專案集合中所有專案的開發人員和測試人員。 這個群組包含大部分的使用者。 您可將此群組命名為 TFS_ProjectContributors。
一小組的專案系統管理員,在集合中具有建立和管理專案的使用權限。 您可將此群組命名為 TFS_ProjectAdmins。
一組特殊及受限的承包商群組,其只能存取其中一個專案。 您可將此群組命名為 TFS_RestrictedAccess。
稍後,當部署展開時,您可決定建立其他群組。
在 Active Directory 中建立群組
- 在 Active Directory 中建立最符合您企業需求的本機網域、全域或通用類型安全性群組。 例如,如果這個群組需要來自多個網域的使用者,那麼通用群組類型將會最符合您的需求。 如需詳細資訊,請參閱建立新的群組 (Active Directory 網域服務) 。
在伺服器上的建立本機群組
- 建立本機群組,並命名為會快速識別出其用途的名稱。 根據預設,您所建立之任何群組在該電腦上會具有與使用者預設群組對等的使用權限。 如需詳細資訊,請參閱 建立本機群組。
建立帳戶做為 Active Directory 中的服務帳戶
- 在 Active Directory 中建立帳戶、根據您的商務需求設定密碼原則,並確定已為帳戶選取 [信任 委派帳戶]。 如需詳細資訊,請參閱建立新的使用者帳戶 (Active Directory 網域服務) 和瞭解使用者帳戶 (Active Directory 網域服務) 。
建立本機帳戶做為伺服器上的服務帳戶
- 建立本機帳戶當成服務帳戶來使用,然後根據企業的安全性需求修改它的群組成員資格和其他屬性。 如需詳細資訊,請參閱 建立本機用戶帳戶。
接下來嘗試這個
問答集
問:我可以使用群組來限制對 Azure DevOps Server 中的專案或功能的存取嗎?
答: 是,您可以。 您可以建立特定群組來 授與或限制存取權,以選取功能、函式和專案,以 管理存取層級和其他用途。