Учетные записи служб и зависимости в Team Foundation Server
Вы сможете лучше управлять сервером Visual Studio Team Foundation Server (TFS), поняв принципы работы служб и учетных записей нескольких служб, которые включает каждое развертывание TFS и от которых зависит каждое развертывание. В зависимости от способа установки и настройки TFS все эти службы и учетные записи служб могут быть запущены на одном или нескольких компьютерах. Это влияет на определенные аспекты управления развертыванием. Например, если серверные компоненты развертывания запущены на нескольких компьютерах, необходимо убедиться, что учетные записи служб, используемые для развертывания, имеют необходимые уровни доступа и разрешения.
В Team Foundation Server существуют службы и учетные записи служб, которые работают на следующих компьютерах в развертывании:
любой сервер, где размещены одна или несколько баз данных Team Foundation Server;
любой сервер, где размещены компоненты уровня приложений Team Foundation;
любой компьютер, где запущена прокси-версия Team Foundation Server;
любой компьютер построения;
любая тестовая машина;
любой компьютер, где запущен один или несколько компонентов Visual Studio Lab Management.
Вы можете устанавливать и развертывать различные компоненты TFS разными способами. Распределение компонентов в вашем развертывании определяет, какие службы и учетные записи служб работают на каждом физическом компьютере. Кроме того, возможно, потребуется управлять учетными записями служб для программного обеспечения, которое настроено на работу с TFS, например учетные записи служб для Продукты SharePoint и SQL Server.
Учетные записи служб Team Foundation Server
Хотя TFS использует несколько учетных записей служб, можно использовать один домен или учетную запись рабочей группы для всех или большинства из них. Например, можно использовать одну доменную учетную запись "Contoso\Example" в качестве учетной записи службы для Team Foundation Server (TFSService) и в качестве учетной записи источников данных для SQL Server Reporting Services (TFSReports). Однако некоторые учетные записи служб могут требовать разрешений различных уровней. Например, служба TFSService должна иметь разрешение Вход в качестве службы, а служба TFSReports должна иметь разрешение Разрешить локальный вход в систему. При использовании одной учетной записи "Contoso\Example" в обоих случаях необходимо присвоить ей оба этих разрешения. Кроме того, службе TFSService требуется значительно больше разрешений для правильной работы, чем службе TFSReports, как показано в таблице ниже в данной статье. В целях безопасности необходимо рассмотреть возможность использования отдельных учетных записей для этих двух учетных записей служб.
Важно!
Нельзя использовать учетную запись, использованную для установки Team Foundation Server, в качестве учетной записи для какой-либо из этих служб.
Если Team Foundation Server развернут в домене Active Directory, следует задать параметр Учетная запись важна и не может быть делегирована для служебных учетных записей. Например, в следующей таблице этот параметр следует задать для TFSService. Дополнительные сведения о необходимых учетных записях служб и именах заполнителей, используемых в документации по Team Foundation Server, см. в разделе Учетные записи, необходимые для установки Team Foundation Server Руководства по установке Team Foundation. Дополнительные сведения о том, как ограничить делегирование учетных записей в Active Directory, см. на странице веб-сайта Майкрософт Включение делегированной проверки подлинности.
Поскольку необходимо управлять несколькими учетными записями служб, каждая учетная запись службы обозначается заполнителем, который отражает ее назначение по списку ниже в данном разделе. Имя заполнителя не является фактическим именем учетной записи, используемым для каждой учетной записи службы. Фактическое имя учетной записи зависит от развертывания. В предыдущем примере как для TFSService, так и для TFSReports использовалась учетная запись "Contoso\Example". В своем развертывании вы можете создать учетные записи домена с данными именами "TFSService" и "TFSReports," можно использовать и системную учетную запись сетевой службы в качестве учетной записи службы Team Foundation Server.
Важно!
Если отдельно не указано иное, ни одна группа и учетная запись из следующей таблицы не должна входить в число группы "Администраторы" ни на одном сервере в вашем развертывании Team Foundation Server.
В следующей таблице приведены все учетные записи служб, которые могут использоваться в развертывании TFS:
Учетная запись службы |
Имя заполнителя и тип возможной учетной записи |
Требуемое разрешение и членство в группе |
Примечания |
|---|---|---|---|
Учетная запись службы Team Foundation Server |
TFSService, которая может быть локальной учетной записью, доменной учетной записью, системной службой Local Service в рабочей группе или системной службой Network Service в домене |
|
Данная учетная запись службы используется для всех веб-служб Team Foundation Server. Если в качестве данной учетной записи используется учетная запись домена, она должна быть членом домена, которому полностью доверяют все компьютеры в развертывании. |
Учетная запись источника данных для служб отчетов SQL Server |
TFSReports, которая может быть локальной учетной записью, доменной учетной записью или системной службой Local Service в рабочей группе |
|
Данная учетная запись службы получает данные для отчетов от служб отчетов. |
Учетная запись службы Team Foundation Build |
TFSBuild, которая может быть локальной учетной записью, доменной учетной записью или системной службой Local Service в рабочей группе |
вход в систему в качестве службы; |
Данная учетная запись службы используется, когда построения настроены и информация о состоянии построения передается между контроллером построений и агентами построения. |
Учетная запись службы Lab Management |
TFSLab, которая может быть локальной учетной записью, доменной учетной записью, системной службой Local Service в рабочей группе или системной службой Network Service в домене |
вход в систему в качестве службы; |
Данная учетная запись службы используется, когда информация о Lab Management передается между Team Foundation Server и агентом лаборатории, запущенным на виртуальной машине. |
Учетная запись службы прокси-службы Team Foundation Server |
TFSProxy, которая может быть локальной учетной записью, доменной учетной записью, системной службой Local Service в рабочей группе или системной службой Network Service в домене |
вход в систему в качестве службы; |
Данная учетная запись службы используется для всех прокси-служб. Если в качестве данной учетной записи используется учетная запись домена, она должна быть членом домена, которому полностью доверяют все компьютеры в развертывании. |
Учетная запись службы для агента тестирования и контроллера агентов тестирования |
TFSTest, которая может быть локальной учетной записью, доменной учетной записью или системной службой Network Service в домене. |
вход в систему в качестве службы; |
Данная учетная запись службы используется, когда информация о тестах передается между контроллером агентов тестирования и агентом тестирования. |
Учетные записи служб для веб-приложений SharePoint |
WebAppService |
Локальный вход в систему |
Необходимо добавить хотя бы одну учетную запись службы для каждого веб-приложения SharePoint, которое настроено для использования с Team Foundation Server. Данная учетная запись службы используется для создания порталов командных проектов и обеспечения функциональности панели мониторинга. |
Учетная запись службы для Visual Studio Online |
Служба учетных записей (CollectionName) |
Отсутствует. Эта учетная запись применяется только при использовании размещенного развертывания TFS. Она создается автоматически, ее можно просмотреть через страницу администрирования Team Web Access. |
Эта учетная запись службы создается автоматически при создании коллекции в Visual Studio Online и используется, когда клиенты взаимодействуют с размещенной службой. |
1 Вы можете интегрировать свое развертывание с Продукты SharePoint без разрешения, но если учетная запись службы не является членом группы "Администраторы фермы", необходимо выполнение дополнительных действий. Для получения дополнительной информации см. Integrate with SharePoint Products Without Administrative Permissions.
Службы, работающие в учетных записях служб
Следующие службы работают под учетными записями служб в развертывании Team Foundation Server:
Имя службы |
Учетная запись службы |
Логический уровень |
|---|---|---|
Служба покрытия кода |
TFSService |
уровень приложений |
Веб-службы Team Foundation Server |
TFSService |
уровень приложений |
SQL Server Reporting Services (MSSQLSERVER или имя_экземпляра при использовании именованного экземпляра) |
Local System или доменная учетная запись |
уровень приложений |
Веб-служба отчетов |
Локальная система, сетевая служба или учетная запись домена |
уровень приложений |
Администрирование SharePoint (если система Продукты SharePoint установлена и настроена для использования с Team Foundation Server) |
Локальная система, сетевая служба или учетная запись домена |
уровень приложений |
Таймер SharePoint (если система Продукты SharePoint установлена и настроена для использования с Team Foundation Server) |
Доменная учетная запись |
уровень приложений |
Узел службы Visual Studio Team Foundation Build (если установлено построение Team Foundation Build) |
TFSBuild |
компьютер построения |
Агент фоновых заданий Visual Studio Team Foundation |
TFSService |
уровень приложений |
Контроллер тестирования Visual Studio |
TFSTest |
любой компьютер |
Visual Studio Test Agent |
TFSTest |
тестовый компьютер |
Сервер анализа данных (MSSQLSERVER или имя_экземпляра при использовании именованного экземпляра) |
Local System или доменная учетная запись |
уровень данных |
Обозреватель SQL Server |
Локальная служба или доменная учетная запись |
уровень данных |
SQL Server (MSSQLSERVER или имя_экземпляра при использовании именованного экземпляра) |
Локальная система, сетевая служба или учетная запись домена |
уровень данных |
Агент SQL Server (MSSQLSERVER или имя_экземпляра при использовании именованного экземпляра) |
Локальная система, сетевая служба или учетная запись домена |
уровень данных |
Служба учетных записей (CollectionName) |
Automatic |
Веб-уровень (только Visual Studio Online) |
Дополнительные сведения об учетных записях служб для SQL Server см. на следующей странице на веб-сайте Майкрософт: Электронная документация по SQL Server 2014. Последние сведения об учетных записях служб в Team Foundation см. в разделе Руководство по установке Team Foundation Server.
Примечание
При изменении учетной записи службы Team Foundation Build необходимо убедиться, что новая учетная запись службы является членом группы служб построения.Также необходимо убедиться, что учетная запись имеет разрешения на чтение и запись для папок временных файлов и временной папки ASP.NET.Подобным образом, если изменить учетную запись для службы прокси-сервера Team Foundation Server, необходимо убедиться, что она является членом соответствующих групп.Для получения дополнительной информации см. Setting Up a Build Computer.
Вопросы и ответы
Вопрос. Назначаются ли учетные записи служб группе уровня доступа?
Ответ. По умолчанию учетные записи служб добавляются на уровень доступа по умолчанию. Если вы делаете заинтересованное лицо уровнем доступа по умолчанию, то необходимо добавить учетную запись службы TFS в базовую или расширенную группу.
Вопрос. Требуется ли учетным записям служб лицензия?
О. Нет. Учетным записям служб не требуется отдельная лицензия.
Вопрос. Как изменить пароль или учетную запись для учетной записи службы?
Ответ. См. следующие статьи: