設定群組以用於 Azure DevOps 內部部署

Azure DevOps Server 2022 |Azure DevOps Server 2020 |Azure DevOps Server 2019

如果您為 Azure DevOps Server 建立 Windows 或 Active Directory 群組，則管理 Azure DevOps Server 中的使用者會更容易，特別是當您的部署包含 SQL Server Reporting Services 時。

Azure DevOps Server 部署中的使用者、群組和許可權

Azure DevOps Server 和 SQL Server Reporting Services 全都會維護自己有關群組、使用者和許可權的資訊。 若要讓管理這些程式的使用者和許可權更簡單，您可以在部署中建立具有類似存取需求的使用者群組、在不同的軟體程式中提供這些群組適當的存取權，然後視需要從群組新增或移除使用者。 這比在三個不同的程式中個別維護個別使用者或使用者群組要容易得多。

如果您的伺服器位於 Active Directory 網域中，其中一個選項是建立特定的 Active Directory 群組來管理您的使用者，例如專案集合中所有專案的開發人員和測試人員群組，或是一組可在集合中建立和管理項目的使用者。 同樣地，您可以為無法設定為使用網路服務系統帳戶做為服務帳戶的服務建立 Active Directory 帳戶。 若要這樣做，請為 SQL Server Reporting Services 中報表的讀取許可權數據源帳戶建立 Active Directory 帳戶。

這很重要

如果您決定在 Azure DevOps Server 中使用 Active Directory 群組，請考慮建立專用於 Azure DevOps Server 中使用者管理的特定群組。 使用先前為另一個用途建立的群組，特別是由不熟悉 Azure DevOps Server 的其他人管理，在成員資格變更以支援其他函式時，可能會導致非預期的用戶後果。

安裝期間的預設選擇是使用網路服務系統帳戶作為 Azure DevOps Server 和 SQL Server 的服務帳戶。 如果您想要將特定帳戶作為服務帳戶做為安全性用途或其他原因，例如向外延展部署，您可以。 您可能也想要建立特定的 Active Directory 帳戶，以作為 SQL Server Reporting Services 數據源讀取器帳戶的服務帳戶。

如果您的伺服器位於 Active Directory 網域中，但您沒有建立 Active Directory 群組或帳戶的許可權，或如果您要在工作組中安裝伺服器，而不是網域，您可以建立和使用本地組來管理 SQL Server 和 Azure DevOps Server 的使用者。 同樣地，您可以建立本地帳戶作為服務帳戶。 不過，請記住，本機群組和帳戶不像網域群組和帳戶那麼強固。 例如，在發生伺服器失敗時，您必須在新伺服器上從頭重新建立群組和帳戶。 如果您使用 Active Directory 群組和帳戶，即使裝載 Azure DevOps Server 的伺服器失敗，也會保留群組和帳戶。

例如，在檢閱新部署的商務需求與專案經理的安全性需求之後，您可能會決定建立三個群組來管理部署中的多數使用者：

• 一般群組，適用於將完全參與預設專案集合中所有專案的開發人員和測試人員。 此群組將包含大部分的使用者。 您可以將此群組命名為TFS_ProjectContributors。

• 一小群將有權在集合中建立和管理專案的專案管理員。 您可以將此群組命名為TFS_ProjectAdmins。

• 一個特殊、受限制的承包商群組，他們只能存取其中一個專案。 您可以將此群組命名為TFS_RestrictedAccess。

稍後，隨著部署的展開，您可能會決定建立其他群組。

在 Active Directory 中建立群組

• 請在 Active Directory 中建立一個安全性群組，該群組可以是本機網域群組、全域群組或通用群組，以最符合您的業務需求。 例如，如果群組需要包含來自多個網域的使用者，通用群組類型最符合您的需求。 如需詳細資訊，請參閱建立新的群組（Active Directory 網域服務）。

在伺服器上建立本地群組

• 建立本地組，併為其指定可快速識別其用途的名稱。 根據預設，您建立的任何群組都會在該計算機上具有用戶預設群組的對等許可權。 如需詳細資訊，請參閱 建立本地組。

若要建立帳戶以作為Active Directory中的服務帳戶

• 在 Active Directory 中建立帳戶，根據您的業務需求設定密碼原則，並確保已選取「帳戶具備委派信任」選項。 如需詳細資訊，請參閱建立新的用戶帳戶（Active Directory 網域服務）和瞭解用戶帳戶（Active Directory 網域服務）。

若要建立本機帳號，以作為伺服器上的服務帳號

• 建立本機帳戶以作為服務帳戶使用，然後根據您企業的安全性需求修改其群組成員資格和其他屬性。 如需詳細資訊，請參閱 建立本機用戶帳戶。

試試看這個

將使用者新增至專案

問與答

問：我是否可以使用群組來限制存取 Azure DevOps Server 中的專案或功能？

A： 是的，您可以。 您可以建立特定群組來 授與或限制存取權，以選取功能、函式和專案，以 管理存取層級和其他用途。