设置组以在本地 Azure DevOps 中使用

Azure DevOps Server |Azure DevOps Server |Azure DevOps Server 2022 |Azure DevOps Server 2020

如果为其创建 Windows 或 Active Directory 组，尤其是在部署包含 SQL Server Reporting Services 的情况下，在 Azure DevOps Server 中管理用户要容易得多。

Azure DevOps Server 部署中的用户、组和权限

Azure DevOps Server 和 SQL Server Reporting Services 都维护自己有关组、用户和权限的信息。 若要简化跨这些程序管理用户和权限，可以在部署中创建具有类似访问要求的用户组，在不同的软件程序中为这些组提供适当的访问权限，然后根据需要添加或删除组中的用户。 这比在三个单独的程序中单独维护单个用户或用户组要容易得多。

如果服务器位于 Active Directory 域中，一个选项是创建特定的 Active Directory 组来管理用户，例如项目集合中所有项目的开发人员和测试人员组，或者一组可在集合中创建和管理项目的用户。 同样，可以为无法配置为使用网络服务系统帐户作为服务帐户的服务创建 Active Directory 帐户。 为此，请为 SQL Server Reporting Services 中的报表的读取访问数据源帐户创建 Active Directory 帐户。

安装期间的默认选择是使用网络服务系统帐户作为 Azure DevOps Server 和 SQL Server 的服务帐户。 如果要出于安全目的或其他原因（例如横向扩展部署）使用特定帐户作为服务帐户，则可以。 可能还需要创建一个特定的 Active Directory 帐户，以用作 SQL Server Reporting Services 的数据源读取器帐户的服务帐户。

如果服务器位于 Active Directory 域中，但无权创建 Active Directory 组或帐户，或者如果要在工作组而不是域中安装服务器，则可以创建和使用本地组跨 SQL Server 和 Azure DevOps Server 管理用户。 同样，可以创建一个用作服务帐户的本地帐户。 但是，请记住，本地组和帐户不如域组和帐户那么可靠。 例如，如果服务器发生故障，则需要在新服务器上从头开始重新创建组和帐户。 如果使用 Active Directory 组和帐户，即使托管 Azure DevOps Server 的服务器失败，组和帐户也会保留。

例如，在查看新部署的业务要求以及项目经理的安全要求后，你可能会决定创建三个组来管理部署中的大多数用户：

• 专为将全面参与默认项目集合中所有项目的开发人员和测试人员设立的普通组。 此组将包含大多数用户。 可以将此组命名为TFS_ProjectContributors。

• 一小组项目管理员有权在集合中创建和管理项目。 可以将此组命名为TFS_ProjectAdmins。

• 一个特殊、受限的承包商组，他们只能访问其中一个项目。 可以将此组命名为TFS_RestrictedAccess。

稍后，随着部署的扩展，你可能会决定创建其他组。

在 Active Directory 中创建组

• 在 Active Directory 中创建一个本地域、全局或通用组的安全组，尽可能满足业务需求。 例如，如果组需要包含来自多个域的用户，则通用组类型最适合你的需求。 有关详细信息，请参阅“创建新组”（Active Directory 域服务）。

在服务器上创建本地组

• 创建本地组并为其指定一个名称，以便快速标识其用途。 默认情况下，你创建的任何组都将在该计算机上具有“用户”默认组的等效权限。 有关详细信息，请参阅 “创建本地组”。

在 Active Directory 中创建用作服务帐户的帐户

• 在 Active Directory 中创建帐户，根据业务要求设置密码策略，并确保为帐户选择 委派信任帐户 。 有关详细信息，请参阅创建新的用户帐户（Active Directory 域服务）和了解用户帐户（Active Directory 域服务）。

创建用作服务器上的服务帐户的本地帐户

• 创建一个本地帐户以用作服务帐户，然后根据业务的安全要求修改其组成员身份和其他属性。 有关详细信息，请参阅 “创建本地用户帐户”。

接下来尝试此操作

问题解答

问：是否可以使用组来限制对 Azure DevOps Server 中的项目或功能的访问？

A: 是的，你可以。 可以创建用于 授予或限制对选择功能、函数和项目的访问权限的特定组，以便 管理访问级别和其他目的。