"Ausführen als"-Dienstkonto

Das Konto Als Dienst ausführen ist ein Windows-Konto, das von Tableau Server verwendet wird ("wird ausgeführt als"), wenn es auf Ressourcen zugreift. Beispielsweise liest und schreibt Tableau Server Dateien auf dem Computer, auf dem Tableau Server installiert ist. Aus der Sicht von Windows führt Tableau Server dies als "Ausführen als"-Dienstkonto aus." In einigen Fällen kann Tableau Server das Konto "Als Dienst ausführen" verwenden, um auf Daten aus externen Quellen zuzugreifen, wie zum Beispiel Datenbanken oder Dateien in einem freigegebenen Netzwerkverzeichnis.

Bei der Planung der Bereitstellung von Tableau Server müssen Sie festlegen, ob das standardmäßige Konto "Als Dienst ausführen" ausreicht, das konfiguriert wurde, um unter dem Kontext des lokalen Netzwerkdienstkontos (NT Authority\Netzwerkdienst) ausgeführt zu werden. Wenn dies nicht der Fall ist, müssen Sie das Konto "Als Dienst ausführen" aktualisieren, damit es unter einem Domänenkonto ausgeführt wird, das Zugriff auf die Ressourcen Ihrer Active Directory-Domäne(n) hat.

Hinweis: Ab Tableau Server 2023.3.x: Wenn das Dienstkonto „Ausführen als“ zum Verwenden eines Domänenkontos konfiguriert ist, müssen Administratoren auch eine Server-Zulassungsliste für Dateizugriffe mithilfe des Befehls tsm configuration set konfigurieren. Die Zulassungsliste schränkt den Zugriff auf dateibasierte Datenquellen auf angegebene lokale oder freigegebene Verzeichnispfade ein. Weitere Informationen und Schritte zum Konfigurieren einer Server-Zulassungsliste finden Sie unter Checkliste für die Absicherung.

In beiden Fällen ist es wichtig zu verstehen, welche Sicherheitsauswirkungen das Konto hat, das Tableau Server für "Als Dienst ausführen" verwendet. Insbesondere wenn Tableau Server auf andere Server, Dateifreigaben oder Datenbanken zugreifen muss, die die Windows-Authentifizierung verwenden, wird das Konto, das für "Als Dienst ausführen" konfiguriert wurde, für den Zugriff auf diese Ressourcen verwendet. Das Konto, das für "Als Dienst ausführen" konfiguriert wurde, muss auch erweiterte Berechtigungen für den lokalen Tableau Server haben. Als Sicherheitsmaßnahme hat es sich bewährt, den Umfang aller Benutzerkonten auf die mindestens erforderlichen Berechtigungen zu beschränken. Wir empfehlen Ihnen, ebenso vorzugehen, wenn Sie das Konto "Als Dienst ausführen" planen. Weitere Informationen finden Sie unter Datenzugriff mit dem Konto "Als Dienst ausführen".

Das Konto, das Sie für das Dienstkonto "Ausführen als" verwenden, sollte nicht Mitglied des Kontos "Lokale Administratoren oder Domänenadministratoren" sein. Stattdessen wird empfohlen, für das Dienstkonto "Ausführen als" ein Domänenbenutzerkonto zu verwenden, das kein Administrator ist. Die Verwendung eines Domänenkontos, das nicht Mitglied dieser Administratorgruppen ist, gilt als eine bewährte Sicherheitsmethode und kann helfen zu vermeiden, dass auf bestimmte Datenquellen und Ordner zugegriffen wird. Informationen zu bewährten Methoden beim Erstellen eines Dienstkontos vom Typ "Ausführen als" finden Sie unter Erstellen des Kontos "Als Dienst ausführen".

Das Konto "Als Dienst ausführen" können Sie bei der Installation von Tableau Server einrichten oder in der Webschnittstelle von TSM aktualisieren. Tableau Services Manager legt für das Konto "Als Dienst ausführen" Berechtigungen fest. Wenn Sie jedoch nicht sicher sind, ob das Konto, das Sie für "Als Dienst ausführen" verwenden möchten, die Anforderungen erfüllt, oder wenn Sie das Konto "Als Dienst ausführen" geändert haben und nun Berechtigungsfehler erhalten, finden Sie weitere Informationen unter Erforderliche Einstellungen für "Ausführen als"-Dienstkonto.

Standardmäßiges Konto für "Als Dienst ausführen": Netzwerkdienst

Das Netzwerkdienst-Konto ist ein vordefiniertes lokales Konto mit eingeschränkten Berechtigungen, das auf allen Windows-Computern vorhanden ist. Es hat zwar eingeschränkten administrativen Zugriff auf den lokalen Computer, auf dem es ausgeführt wird, doch mehr Zugriffsrechte auf Ressourcen als Mitglieder der standardmäßigen Active Directory-Benutzergruppe. Beispielsweise kann die Netzwerkdienst-Gruppe in die Registrierung und das Ereignisprotokoll schreiben und hat spezielle Rechte zur Anmeldung bei Anwendungsdiensten.

Standardmäßig wird das Konto "Als Dienst ausführen" auf ein lokales Konto namens "Netzwerkdienst" festgelegt. Verwenden Sie das standardmäßige Netzwerkkonto in den folgenden Fällen:

  • Sie verwenden die lokale Authentifizierung für Tableau Server.

  • Alle Benutzer in Ihrem Unternehmen beziehen extrahierte Daten in die Arbeitsmappen ein, die Sie auf Tableau Server hochladen.
  • Sie führen Tableau Server in einer Umgebung mit einem Einzelserver aus.
  • Externe Datenquellen, auf die Ihre Benutzer über Tableau Server zugreifen, erfordern nicht Windows NT Integrated Security oder Kerberos. In den meisten Zugriffsszenarien wird Windows NT Integrated Security von Microsoft SQL Server-, MSAS-, Teradata- und Oracle-Datenbanken erfordert.

Obwohl das Netzwerkdienst-Konto für den Zugriff auf Ressourcen auf entfernten Computern in derselben Active Directory-Domäne verwendet werden kann, ist es nicht empfehlenswert, das Standardkonto für diese Szenarien zu verwenden. Konfigurieren Sie stattdessen ein Domänenkonto für "Als Dienst ausführen", wenn Tableau Server eine Verbindung zu Datenquellen in Ihrer Umgebung herstellen muss. Weitere Informationen finden Sie unter Ändern des „Ausführen als“-Dienstkontos.

Konto "Als Dienst ausführen": Domänenbenutzer

Für alle Active Directory-Szenarien empfehlen wir, das Tableau Server-Konto "Als Dienst ausführen" mit einem Domänenbenutzerkonto zu aktualisieren. Aktualisieren Sie "Als Dienst ausführen" zu einem Domänenbenutzerkonto, wenn Datenquellen, auf die über Tableau Server zugegriffen wird, Windows NT Integrated Security oder Kerberos erfordern.

Bei einer dezentralen Bereitstellung von Tableau Server können Sie das Konto "Als Dienst ausführen" entweder mit einem Domänenbenutzer oder mit einem Windows-Arbeitsgruppenbenutzer aktualisieren. In jedem Fall müssen Sie dasselbe Benutzerkonto für alle Serverknoten verwenden. Weitere Informationen finden Sie unter Verteilte Anforderungen.

Weitere Informationen zur Konfiguration Ihrer Umgebung zur Verwendung eines Domänenkontos finden Sie unter Ändern des „Ausführen als“-Dienstkontos .

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.