Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
La gestione degli utenti in Azure DevOps Server è molto più semplice se si creano gruppi di Windows o Active Directory, in particolare se la distribuzione include SQL Server Reporting Services.
Utenti, gruppi e autorizzazioni nelle distribuzioni di Azure DevOps Server
Azure DevOps Server e SQL Server Reporting Services mantengono tutte le proprie informazioni su gruppi, utenti e autorizzazioni. Per semplificare la gestione di utenti e autorizzazioni in questi programmi, è possibile creare gruppi di utenti con requisiti di accesso simili nella distribuzione, concedere a tali gruppi l'accesso appropriato nei diversi programmi software e quindi aggiungere o rimuovere utenti da un gruppo in base alle esigenze. Questo è molto più semplice rispetto alla gestione di singoli utenti o gruppi di utenti separatamente in tre programmi separati.
Se il server si trova in un dominio di Active Directory, un'opzione consiste nel creare gruppi di Active Directory specifici per gestire gli utenti, ad esempio un gruppo di sviluppatori e tester per tutti i progetti nella raccolta di progetti o un gruppo di utenti che possono creare e amministrare progetti nella raccolta. Analogamente, è possibile creare un account Active Directory per i servizi che non possono essere configurati per l'uso dell'account di sistema del servizio di rete come account del servizio. A tale scopo, creare un account Active Directory per l'account origine dati con accesso in lettura per i report in SQL Server Reporting Services.
Importante
Se si decide di usare i gruppi di Active Directory in Azure DevOps Server, è consigliabile crearne di specifici il cui scopo è dedicato alla gestione degli utenti in Azure DevOps Server. L'uso di gruppi esistenti in precedenza creati per un altro scopo, in particolare se sono gestiti da altri utenti che non hanno familiarità con Azure DevOps Server, può causare conseguenze impreviste per l'utente quando l'appartenenza cambia per supportare altre funzioni.
La scelta predefinita durante l'installazione consiste nell'usare l'account di sistema del servizio di rete come account del servizio per Azure DevOps Server e SQL Server. Se si vuole usare un account specifico come account del servizio per scopi di sicurezza o altri motivi, ad esempio una distribuzione con scalabilità orizzontale, è possibile. Potresti anche voler creare un account Active Directory specifico da utilizzare come account di servizio per l'account lettore della fonte di dati per SQL Server Reporting Services.
Se il server si trova in un dominio di Active Directory ma non si dispone delle autorizzazioni per creare gruppi o account di Active Directory o se si installa il server in un gruppo di lavoro anziché in un dominio, è possibile creare e usare gruppi locali per gestire gli utenti in SQL Server e Azure DevOps Server. Analogamente, è possibile creare un account locale da usare come account del servizio. Tenere tuttavia presente che i gruppi e gli account locali non sono affidabili come gruppi e account di dominio. Ad esempio, in caso di errore del server, è necessario ricreare i gruppi e gli account da zero nel nuovo server. Se si usano gruppi e account di Active Directory, i gruppi e gli account verranno mantenuti anche se il server che ospita Azure DevOps Server non riesce.
Ad esempio, dopo aver esaminato i requisiti aziendali per la nuova distribuzione e i requisiti di sicurezza con i project manager, è possibile decidere di creare tre gruppi per gestire la maggior parte degli utenti nella distribuzione:
Gruppo generale per sviluppatori e tester che partecipano completamente a tutti i progetti nella raccolta di progetti predefinita. Questo gruppo conterrà la maggior parte degli utenti. È possibile denominare questo gruppo TFS_ProjectContributors.
Un piccolo gruppo di amministratori del progetto che avrà le autorizzazioni per creare e gestire progetti nella raccolta. È possibile denominare questo gruppo TFS_ProjectAdmins.
Un gruppo speciale limitato di terzisti che avrà accesso solo a uno dei progetti. È possibile denominare questo gruppo TFS_RestrictedAccess.
Successivamente, man mano che la distribuzione si espande, è possibile decidere di creare altri gruppi.
Per creare un gruppo in Active Directory
- Creare un gruppo di sicurezza che sia un dominio locale, un gruppo globale o universale in Active Directory, in base alle esigenze aziendali. Ad esempio, se il gruppo deve contenere utenti di più domini, il tipo di gruppo universale sarà più adatto alle proprie esigenze. Per altre informazioni, vedere Creare un nuovo gruppo (Servizi di dominio Active Directory).
Per creare un gruppo locale nel server
- Creare un gruppo locale e assegnargli un nome che ne identificherà rapidamente lo scopo. Per impostazione predefinita, qualsiasi gruppo creato avrà le autorizzazioni equivalenti del gruppo Utenti predefinito in tale computer. Per altre informazioni, vedere Creare un gruppo locale.
Per creare un account da usare come account di servizio in Active Directory
- Creare un account in Active Directory, impostare i criteri password in base ai requisiti aziendali e assicurarsi che l'account sia attendibile per la delega sia selezionato per l'account. Per altre informazioni, vedere Creare un nuovo account utente (Active Directory Domain Services) e Informazioni sugli account utente (Active Directory Domain Services).
Per creare un account locale da usare come account del servizio nel server
- Creare un account locale da usare come account del servizio e quindi modificarne l'appartenenza al gruppo e altre proprietà in base ai requisiti di sicurezza per l'azienda. Per altre informazioni, vedere Creare un account utente locale.
Provare a eseguire questa operazione successiva
Domande e risposte
D: È possibile usare i gruppi per limitare l'accesso a progetti o funzionalità in Azure DevOps Server?
A: Sì, puoi. È possibile creare gruppi specifici per concedere o limitare l'accesso a funzionalità, funzioni e progetti selezionati, per gestire i livelli di accesso e altri scopi.