Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
특히 배포에 SQL Server Reporting Services가 포함된 경우 Windows 또는 Active Directory 그룹을 만드는 경우 Azure DevOps Server에서 사용자를 관리하는 것이 훨씬 쉽습니다.
Azure DevOps Server 배포의 사용자, 그룹 및 권한
Azure DevOps Server 및 SQL Server Reporting Services는 모두 그룹, 사용자 및 권한에 대한 자체 정보를 유지 관리합니다. 이러한 프로그램에서 사용자 및 사용 권한을 더 간단하게 관리하려면 배포에서 유사한 액세스 요구 사항이 있는 사용자 그룹을 만들고, 해당 그룹에 다른 소프트웨어 프로그램에서 적절한 액세스 권한을 부여한 다음, 필요에 따라 그룹에서 사용자를 추가하거나 제거할 수 있습니다. 이는 개별 사용자 또는 사용자 그룹을 세 개의 개별 프로그램에서 개별적으로 유지 관리하는 것보다 훨씬 쉽습니다.
서버가 Active Directory 도메인에 있는 경우 한 가지 옵션은 프로젝트 컬렉션의 모든 프로젝트에 대한 개발자 및 테스터 그룹 또는 컬렉션에서 프로젝트를 만들고 관리할 수 있는 사용자 그룹과 같이 사용자를 관리하는 특정 Active Directory 그룹을 만드는 것입니다. 마찬가지로 네트워크 서비스 시스템 계정을 서비스 계정으로 사용하도록 구성할 수 없는 서비스에 대한 Active Directory 계정을 만들 수 있습니다. 이렇게 하려면 SQL Server Reporting Services의 보고서에 대한 읽기 액세스 데이터 원본 계정에 대한 Active Directory 계정을 만듭니다.
중요합니다
Azure DevOps Server에서 Active Directory 그룹을 사용하기로 결정한 경우 Azure DevOps Server에서 사용자 관리 전용인 특정 그룹을 만드는 것이 좋습니다. 다른 용도로 만든 기존 그룹을 사용하는 경우, 특히 Azure DevOps Server에 익숙하지 않은 다른 사용자가 관리하는 경우 다른 기능을 지원하기 위해 멤버 자격이 변경되면 예기치 않은 사용자 결과가 발생할 수 있습니다.
설치하는 동안 기본 선택은 네트워크 서비스 시스템 계정을 Azure DevOps Server 및 SQL Server의 서비스 계정으로 사용하는 것입니다. 보안 목적이나 스케일 아웃 배포와 같은 다른 이유로 특정 계정을 서비스 계정으로 사용하려는 경우 수행할 수 있습니다. SQL Server Reporting Services의 데이터 원본 판독기 계정에 대한 서비스 계정으로 사용할 특정 Active Directory 계정을 만들 수도 있습니다.
서버가 Active Directory 도메인에 있지만 Active Directory 그룹 또는 계정을 만들 수 있는 권한이 없거나 도메인 대신 작업 그룹에 서버를 설치하는 경우 로컬 그룹을 만들고 사용하여 SQL Server 및 Azure DevOps Server에서 사용자를 관리할 수 있습니다. 마찬가지로 서비스 계정으로 사용할 로컬 계정을 만들 수 있습니다. 그러나 로컬 그룹 및 계정은 도메인 그룹 및 계정만큼 강력하지 않습니다. 예를 들어 서버 오류가 발생할 경우 새 서버에서 그룹 및 계정을 처음부터 다시 만들어야 합니다. Active Directory 그룹 및 계정을 사용하는 경우 Azure DevOps Server를 호스트하는 서버가 실패하더라도 그룹 및 계정이 유지됩니다.
예를 들어 프로젝트 관리자와 함께 새 배포 및 보안 요구 사항에 대한 비즈니스 요구 사항을 검토한 후 배포에서 대부분의 사용자를 관리하는 세 개의 그룹을 만들도록 결정할 수 있습니다.
기본 프로젝트 컬렉션의 모든 프로젝트에 완전히 참여할 개발자 및 테스터를 위한 일반 그룹입니다. 이 그룹에는 대부분의 사용자가 포함됩니다. 이 그룹의 이름을 TFS_ProjectContributors 수 있습니다.
컬렉션에서 프로젝트를 만들고 관리할 수 있는 권한이 있는 소규모 프로젝트 관리자 그룹입니다. 이 그룹의 이름을 TFS_ProjectAdmins 수 있습니다.
프로젝트 중 하나에만 액세스할 수 있는 특별하고 제한된 계약자 그룹입니다. 이 그룹의 이름을 TFS_RestrictedAccess 수 있습니다.
나중에 배포가 확장되면 다른 그룹을 만들기로 결정할 수 있습니다.
Active Directory에서 그룹을 만들려면
- 비즈니스 요구 사항을 가장 잘 충족하는 로컬 도메인, 전역 또는 유니버설 그룹인 보안 그룹을 Active Directory에 만듭니다. 예를 들어 그룹에 둘 이상의 도메인의 사용자를 포함해야 하는 경우 범용 그룹 유형이 요구 사항에 가장 적합합니다. 자세한 내용은 새 그룹 만들기(Active Directory Domain Services)를 참조하세요.
서버에 로컬 그룹을 만들려면
- 로컬 그룹을 만들고 해당 용도를 빠르게 식별하는 이름을 지정합니다. 기본적으로 만드는 모든 그룹에는 해당 컴퓨터의 사용자 기본 그룹에 해당하는 권한이 있습니다. 자세한 내용은 로컬 그룹 만들기를 참조하세요.
Active Directory에서 서비스 계정으로 사용할 계정을 만들려면
- Active Directory에서 계정을 만들고, 비즈니스 요구 사항에 따라 암호 정책을 설정하며, 계정이 위임에 대해 신뢰됨이 선택되어 있는지 확인합니다. 자세한 내용은 새 사용자 계정 만들기(Active Directory Domain Services) 및 사용자 계정 이해(Active Directory Domain Services)를 참조하세요.
서버에서 서비스 계정으로 사용할 로컬 계정을 만들려면
- 서비스 계정으로 사용할 로컬 계정을 만든 다음 비즈니스의 보안 요구 사항에 따라 그룹 멤버 자격 및 기타 속성을 수정합니다. 자세한 내용은 로컬 사용자 계정 만들기를 참조하세요.
다음으로 시도해 보세요.
질문 & 답변
Q: 그룹을 사용하여 Azure DevOps Server의 프로젝트 또는 기능에 대한 액세스를 제한할 수 있나요?
A: 네 당신은 할 수 있어요. 액세스 수준 및 기타 용도를 관리하기 위해 선택 기능, 함수 및 프로젝트에 대한 액세스 권한을 부여하거나 제한하기 위한 특정 그룹을 만들 수 있습니다.