Cuentas de servicio y dependencias
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Puede administrar mejor Azure DevOps Server si comprende los servicios y varias cuentas de servicio que cada implementación de Azure DevOps incluye y en qué depende cada implementación. En función de cómo haya instalado y configurado Azure DevOps, estos servicios y cuentas de servicio pueden ejecutarse en un equipo o pueden ejecutarse en muchos equipos. Esto cambia ciertos aspectos de la administración de la implementación. Por ejemplo, si los componentes del lado servidor de la implementación se ejecutan en más de un equipo, debe asegurarse de que las cuentas de servicio que usa la implementación tengan el acceso y los permisos que necesitan para funcionar correctamente.
Azure DevOps Server tiene servicios y cuentas de servicio que se ejecutan en los siguientes equipos de una implementación:
- cualquier servidor que hospede una o varias bases de datos para Azure DevOps Server
- cualquier servidor que hospede componentes del nivel de aplicación para Azure DevOps Server
- cualquier equipo que ejecute el proxy de servidor de Azure DevOps
- cualquier equipo de compilación
- cualquier máquina de prueba
Puede instalar e implementar diferentes características de Azure DevOps Server de varias maneras. La distribución de características de la implementación determina qué servicios y cuentas de servicio se ejecutan en qué equipos físicos. Además, es posible que tenga que administrar las cuentas de servicio de los programas de software configurados para trabajar con Azure DevOps Server, como las cuentas de servicio de SQL Server.
Cuentas de servicio
Aunque Azure DevOps Server usa varias cuentas de servicio, puede usar el mismo dominio o cuenta de grupo de trabajo para la mayoría de ellas o todas ellas. Por ejemplo, puede usar la misma cuenta Contoso\\Example de dominio que la cuenta de servicio de Azure DevOps Server (TFSService) y la cuenta de orígenes de datos para SQL Server Reporting Services (TFSReports). Sin embargo, las distintas cuentas de servicio pueden requerir distintos niveles de permisos. Por ejemplo, TFSService debe tener el permiso Iniciar sesión como servicio y TFSReports debe tener el permiso Permitir inicio de sesión localmente . Si usa la misma cuenta Contoso\\Example para ambos, debe concederle ambos permisos. Además, TFSService requiere mucho más permisos para funcionar correctamente que los que requiere TFSReports , como se muestra en la tabla más adelante en este tema. Para fines de seguridad, debe considerar la posibilidad de usar cuentas independientes para estas dos cuentas de servicio.
Importante
No debe usar la cuenta que se usó para instalar Azure DevOps Server como cuenta para cualquiera de estas cuentas de servicio.
Si ha implementado Azure DevOps Server en un dominio de Active Directory, debe establecer la opción Cuenta confidencial y no se puede delegar para las cuentas de servicio. Por ejemplo, en la tabla siguiente, debe establecer esa opción para TFSService. Para más información sobre las cuentas de servicio necesarias y los nombres de marcador de posición usados en la documentación de Azure DevOps Server, consulte el tema "Cuentas necesarias para la instalación de Azure DevOps Server" en la guía de instalación de Team Foundation. Para obtener más información sobre la delegación de cuentas en Active Directory, consulte la página siguiente en el sitio web de Microsoft: Delegación de autoridad en Active Directory.
Dado que debe administrar varias cuentas de servicio, se hace referencia a cada cuenta de servicio mediante un nombre de marcador de posición que identifica su función, como se muestra en la tabla más adelante en este tema. El nombre del marcador de posición no es el nombre real de la cuenta que usa para cada cuenta de servicio. El nombre real de la cuenta varía en función de la implementación. En el ejemplo anterior, la cuenta usada para TFSService y TFSReports era Contoso\\Example. En su propia implementación, puede crear cuentas de dominio con los nombres específicos de TFSService y TFSReports, o bien puede usar el servicio de red de la cuenta de sistema como cuenta de servicio para Team Foundation Server.
Importante
A menos que se indique específicamente lo contrario, ningún grupo o cuenta de la tabla siguiente debe ser miembro del grupo Administradores en cualquiera de los servidores de la implementación de Azure DevOps Server.
En la tabla siguiente se enumeran la mayoría de las cuentas de servicio que se pueden usar en una implementación de Azure DevOps Server. Para obtener cuentas de servicio adicionales que no aparecen aquí, consulte Permisos y grupos, Cuentas de servicio.
Cuenta de servicio para
Nombre de marcador de posición y tipo de cuenta utilizable
Permisos necesarios y pertenencia a grupos
Notas
Azure DevOps Services
Servicio de cuenta (CollectionName)
Ninguno. Esta cuenta solo se usa si usa una implementación hospedada de Azure DevOps.
Se crea automáticamente al crear una organización en Azure DevOps Services. Se usa cuando los clientes se comunican con el servicio hospedado y se pueden ver a través de la página de administración del portal web.
Azure DevOps Server
TFSService: puede ser una cuenta local, una cuenta de dominio, un servicio local en un grupo de trabajo o un servicio de red en un dominio.
Inicio de sesión como servicio en el servidor de nivel de aplicación
Esta cuenta de servicio se usa para todos los servicios web de Azure DevOps. Si usa una cuenta de dominio para esta cuenta, debe ser miembro de un dominio en el que todos los equipos de la implementación confíen plenamente.
Team Foundation Build
TFSBuild, que puede ser una cuenta local, una cuenta de dominio o un servicio local en un grupo de trabajo
Iniciar sesión como servicio
Esta cuenta de servicio se usa cuando se configuran las compilaciones y cuando se comunica la información de estado de compilación entre el controlador de compilación y los agentes de compilación.
SQL Server Reporting Services
TFSReports, que puede ser una cuenta local, una cuenta de dominio o un servicio local en un grupo de trabajo
Permitir iniciar sesión localmente en el servidor de nivel de aplicación y en el servidor que ejecuta TFSWareHouseDataReader de SQL Server Reporting Services
en el servidor de informes
Esta cuenta de servicio recupera los datos de los informes de Reporting Services.
Proxy de servidor de Azure DevOps
TFSProxy, que puede ser una cuenta local, una cuenta de dominio, un servicio local en un grupo de trabajo o un servicio de red en un dominio
Iniciar sesión como servicio
Se usa para todos los servicios proxy. Si usa una cuenta de dominio para esta cuenta, debe ser miembro de un dominio en el que todos los equipos de la implementación confíen plenamente.
Agente de prueba y controlador de agente de prueba
TFSTest: puede ser una cuenta local, una cuenta de dominio o un servicio de red en un dominio.
Iniciar sesión como servicio
Se usa cuando se comunica información sobre las pruebas entre el controlador del agente de prueba y el agente de prueba.
Servicios que se ejecutan en cuentas de servicio
En la tabla siguiente se enumeran los servicios que se ejecutan en cuentas de servicio en una implementación de Azure DevOps local.
| Nombre del servicio | Cuenta de servicio | Nivel lógico |
|---|---|---|
| Servicio de cobertura de código | TFSService | nivel de aplicación |
| Servicios web de Azure DevOps Server | TFSService | nivel de aplicación |
| SQL Server Reporting Services (MSSQLSERVER o InstanceName si usa una instancia con nombre) | Sistema local o una cuenta de dominio | nivel de aplicación |
| Servicio web de informes | Sistema local, servicio de red o una cuenta de dominio | nivel de aplicación |
| Host del servicio de compilación de Visual Studio Team Foundation (si team Foundation Build está instalado) | TFSBuild | equipo de compilación |
| Agente de trabajo en segundo plano de Visual Studio Team Foundation | TFSService | nivel de aplicación |
| Visual Studio Test Controller | TFSTest | cualquier equipo |
| Visual Studio Test Agent | TFSTest | equipo de prueba |
| Analysis Server (MSSQLSERVER o InstanceName si usa una instancia con nombre) | Sistema local o una cuenta de dominio | capa de datos |
| SQL Server Browser | Servicio local o una cuenta de dominio | capa de datos |
| SQL Server (MSSQLSERVER o InstanceName si usa una instancia con nombre) | Sistema local, servicio de red o una cuenta de dominio | capa de datos |
| Agente SQL Server (MSSQLSERVER o InstanceName si se usa una instancia con nombre) | Sistema local, servicio de red o una cuenta de dominio | capa de datos |
| Servicio de cuenta (CollectionName) | Automático | nivel web (solo Azure DevOps Services) |
Para obtener más información sobre las cuentas de servicio para SQL Server, vea la página siguiente en el sitio web de Microsoft: Libros en pantalla de SQL Server. Para obtener la información más reciente sobre las cuentas de servicio de Azure DevOps Server, consulte Instalación y configuración de Azure DevOps local.
Nota:
Si cambia la cuenta de servicio de Team Foundation Build, debe asegurarse de que la nueva cuenta de servicio sea miembro del grupo Servicios de compilación. También debe asegurarse de que la cuenta tiene permisos de lectura y escritura en las carpetas temporales y la carpeta ASP.NET temporal. Del mismo modo, si cambia la cuenta de servicio para el servicio proxy de Team Foundation Server, debe asegurarse de que la cuenta sea miembro de los grupos adecuados. Para obtener más información, vea Configurar el sistema de compilación.
Preguntas y respuestas
P: ¿Se asignan cuentas de servicio a un grupo de nivel de acceso?
R: De forma predeterminada, las cuentas de servicio se agregan al nivel de acceso predeterminado. Si convierte a las partes interesadas en el nivel de acceso predeterminado, debe agregar la cuenta de servicio de Azure DevOps Server al grupo Básico o Avanzado.
P: ¿Las cuentas de servicio requieren una licencia?
R: No. Las cuentas de servicio no requieren una licencia independiente.
P: ¿Cómo cambiar la contraseña o la cuenta de una cuenta de servicio?
R: Consulte Cambio de la cuenta de servicio o la contraseña.