Ändern des „Ausführen als“-Dienstkontos

Je nach Ihrer Umgebung und den Datenzugangsanforderungen sollten oder müssen Sie möglicherweise das Konto "Als Dienst ausführen" ändern. Es gibt zwei wesentliche Szenarien, in denen Sie das Konto "Als Dienst ausführen" ändern:

  • Ersetzen des standardmäßigen lokalen Kontos "Ausführen als" (NetworkService) mit einem Domänenkonto. Wenn Sie in einer Umgebung arbeiten, in der die meisten Datenquellen im Kontext von Active Directory (Windows NT-integrierte Sicherheit) authentifiziert werden, dann müssen Sie das Konto "Als Dienst ausführen" so konfigurieren, dass es ein Domänenkonto verwendet, nicht das lokale Netzwerkdienst (NetworkService)-Konto.
  • Ändern eines vorhandenen Domänen-Kontos "Als Dienst ausführen" zu einem anderen Konto

In diesem Thema werden beide Szenarien beschrieben und wie das Kennwort für das Konto "Als Dienst ausführen" aktualisiert wird.

Das Konto, das Sie für das Dienstkonto "Ausführen als" verwenden, sollte nicht Mitglied des Kontos "Lokale Administratoren oder Domänenadministratoren" sein. Stattdessen wird empfohlen, für das Dienstkonto "Ausführen als" ein Domänenbenutzerkonto zu verwenden, das kein Administrator ist. Die Verwendung eines Domänenkontos, das nicht Mitglied dieser Administratorgruppen ist, gilt als eine bewährte Sicherheitsmethode und kann helfen zu vermeiden, dass auf bestimmte Datenquellen und Ordner zugegriffen wird. Informationen zu bewährten Methoden beim Erstellen eines Dienstkontos vom Typ "Ausführen als" finden Sie unter Erstellen des Kontos "Als Dienst ausführen".

Hinweis: Ab Tableau Server 2023.3.x: Wenn das Dienstkonto „Ausführen als“ zum Verwenden eines Domänenkontos konfiguriert ist, müssen Administratoren auch eine Server-Zulassungsliste für Dateizugriffe mithilfe des Befehls tsm configuration set konfigurieren. Die Zulassungsliste schränkt den Zugriff auf dateibasierte Datenquellen auf angegebene lokale oder freigegebene Verzeichnispfade ein. Weitere Informationen und Schritte zum Konfigurieren einer Server-Zulassungsliste finden Sie unter Checkliste für die Absicherung.

Ersetzen des standardmäßigen Kontos "Als Dienst ausführen" (NetworkService) mit einem Domänenkonto

Wenn Sie das Standard-NetworkService-Konto durch ein Domänenkonto ersetzen möchten, wird empfohlen, ein dediziertes Konto für das Konto "Als Dienst ausführen" zu verwenden. Befolgen Sie diese Schritte:

  1. Erstellen des Kontos "Als Dienst ausführen" in Active Directory
  2. Konfigurieren von Tableau Server zur Verwendung des Kontos "Als Dienst ausführen"

Erstellen des Kontos "Als Dienst ausführen"

Wenden Sie die folgenden bewährten Methoden an:

  • Es ist wichtig, ein Verständnis dafür zu entwickeln, wie das Konto "Als Dienst ausführen" im Namen der Benutzer in Ihrer Organisation auf Daten zugreift. In einigen Fällen greifen Benutzer versehentlich auf Daten zu, für die ihre Benutzerkonten nicht explizit zugelassen sind. Bevor Sie ein Konto "Als Dienst ausführen" erstellen, überprüfen Sie Datenzugriff mit dem Konto "Als Dienst ausführen".
  • Erstellen Sie ein spezielles Konto in Active Directory für das Tableau Server-"Ausführen als"-Dienstkonto." Mit anderen Worten: Verwenden Sie kein vorhandenes Konto dafür. Durch Verwendung eines speziellen Kontos können Sie sicher sein, dass auf die Datenressourcen, die Sie für Tableau Server zulassen, nur vom Tableau Server-Konto "Als Dienst ausführen" zugegriffen werden kann.
  • Das Konto "Als Dienst ausführen" wird verwendet, um Abfragen zu Benutzern und Gruppenmitgliedschaften in Active Directory zu stellen. Standardmäßig haben das Konto für Netzwerkdienste und Standarddomänenbenutzer die Berechtigungen, Abfragen an Active Directory zu stellen. Schränken Sie die Lese- oder Abfrageberechtigung für das Konto "Als Dienst ausführen" nicht ein.
  • Verwenden Sie kein Konto mit irgendwelchen Berechtigungen für die Domänenverwaltung. Insbesondere wenn Sie ein Konto in Active Directory erstellen, sollten Sie ein Konto in der Domänenbenutzergruppe erstellen. Fügen Sie das Konto, das Sie erstellen, keiner Active Directory-Sicherheitsgruppe hinzu, da dies nur unnötig die Berechtigungen für das Konto erweitern würde.
  • Lassen Sie die Datenquellen in Ihrem Verzeichnis nur für dieses eine Konto zu. Das Konto, das Sie für "Als Dienst ausführen" verwenden, braucht nur Lesezugriff auf die entsprechenden Datenquellen und Netzwerkfreigaben zu haben.
  • Wenn sich Benutzer in Ihrer Organisation über Smart Cards authentifizieren, deaktivieren Sie die Anmeldeoption über Smart Cards für das Konto "Als Dienst ausführen".
  • Wenn Sie Tableau Server in einem anderen als dem Systemverzeichnis installiert haben, dann müssen Sie das Systemlaufwerk so konfigurieren, dass die zusätzlichen Berechtigungen für das Konto "Als Dienst ausführen" zugelassen werden. Das Systemlaufwerk ist das Laufwerk, in dem Windows installiert ist. Wenn Sie beispielsweise Windows im Laufwerk C:/ installiert haben, dann ist C:/ Ihr Systemlaufwerk. Wenn Sie Tableau Server auf einem anderen Laufwerk (D:/, E:/ usw.) installieren, müssen Sie Berechtigungen für das Konto "Als Dienst ausführen" auf dem Systemlaufwerk konfigurieren. Weitere Informationen finden Sie unter Erforderliche Einstellungen für "Ausführen als"-Dienstkonto.

Konfigurieren des Kontos "Als Dienst ausführen" in Tableau Server

Nachdem Sie das Konto "Als Dienst ausführen" in Active Directory erstellt haben, konfigurieren Sie Tableau Server so, dass dieses Konto verwendet wird.

Verwenden Sie die TSM-Web-UI, um das Konto "Als Dienst ausführen" zum ersten Mal zu konfigurieren.

So aktualisieren Sie das Konto "Als Dienst ausführen"

  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Klicken Sie auf die Registerkarte Sicherheit und dann auf die Registerkarte Konto "Als Dienst ausführen".

  3. Wählen Sie Benutzerkonto aus und geben Sie dann den Benutzernamen und das Kennwort für das Dienstkonto ein. Geben Sie als Domänennamen domain\account ein, wobei der Domänenname der NetBIOS-Name der Domäne ist, in der sich der Benutzer befindet:

  4. Klicken Sie auf Speichern, um den Benutzernamen und das Kennwort zu überprüfen.

  5. Klicken Sie abschließend auf Ausstehende Änderungen und dann auf Änderungen anwenden und neu starten.

Nach dem Aktualisieren des Kontos "Als Dienst ausführen" konfiguriert Tableau Server automatisch Berechtigungen auf dem lokalen Computer für das von Ihnen eingegebene Konto.

Ändern eines vorhandenen Domänen-Kontos "Als Dienst ausführen" zu einem anderen Konto

Wenn Sie ein vorhandenes Konto "Als Dienst ausführen" zu einem anderen Konto ändern möchten, müssen Sie Berechtigungen auf dieses neue Konto anwenden. Zum erneuten Anwenden von Berechtigungen auf Ihr Konto "Als Dienst ausführen" müssen Sie zunächst Berechtigungen zurücksetzen, indem Sie sie auf das standardmäßige Konto "NetworkService" anwenden.

Bevor Sie beginnen, überprüfen Sie, ob das neue Konto, das Sie für das Konto "Als Dienst ausführen" verwenden, den zuvor in diesem Abschnitt beschriebenen bewährten Methoden entspricht, Erstellen des Kontos "Als Dienst ausführen".

Für diese Prozedur müssen Sie den Tableau Server-Dienst zweimal neu starten. Daher sollten Sie diese Prozedur außerhalb der Stoßzeiten ausführen.

Verwenden der TSM-Webschnittstelle
  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Klicken Sie auf die Registerkarte Sicherheit und dann auf die Registerkarte Konto "Als Dienst ausführen".

  3. Wählen Sie unter Benutzerkontodie Option NT\NetworkService aus.

  4. Klicken Sie auf Speichern.

  5. Klicken Sie abschließend auf Ausstehende Änderungen und dann auf Änderungen anwenden und neu starten.

  6. Öffnen Sie nach dem Neustart des Servers TSM, und navigieren Sie zur Registerkarte Konto "Als Dienst ausführen".

  7. Wählen Sie Benutzerkonto aus, und geben Sie dann den Benutzernamen und das Kennwort für das Dienstkonto ein. Geben Sie als Domänennamen domain\account ein, wobei der Domänenname der NetBIOS-Name der Domäne ist, in der sich der Benutzer befindet:

  8. Klicken Sie auf Speichern, um den Benutzernamen und das Kennwort zu überprüfen.

  9. Klicken Sie abschließend auf Ausstehende Änderungen und dann auf Änderungen anwenden und neu starten.

  10. Widerrufen Sie die Berechtigungen für das vorherige Konto. Siehe Widerrufen von Berechtigungen des "Ausführen als"-Dienstkontos.

Verwenden der TSM-Befehlszeile
  1. Stellen Sie das Konto "Als Dienst ausführen" als Network Service ein. Führen Sie den folgenden Befehl aus:

    tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"

  2. Führen Sie den folgenden Befehl aus, um diese Änderung zu speichern und neu zu starten:

    tsm pending-changes apply

  3. Legen Sie das Konto "Als Dienst ausführen" auf das neue Konto fest. Führen Sie die folgenden Befehle aus:

    tsm configuration set -k service.runas.username -v <domain\username>

    tsm configuration set -k service.runas.password -v "<password>"

    Schließen Sie das Kennwort mit doppelten Anführungszeichen ein, um sicherzustellen, dass Sonderzeichen ordnungsgemäß verarbeitet werden. Führen Sie zur Ansicht des gespeicherten Kennworts den folgenden Befehl aus:

    tsm pending-changes list

    Das Kennwort wird in Active Directory validiert. Wenn es gültig ist, wird es verschlüsselt und gespeichert. TSM sendet keinen Bericht zu Erfolg oder Fehler.

  4. Führen Sie den folgenden Befehl aus, um diese Änderung zu speichern und neu zu starten:

    tsm pending-changes apply

    Problembehebung:

    • Überprüfen Sie, ob der Server gestartet wurde. Wenn es sich um einen degradierten Status handelt, haben Sie möglicherweise ein falsches Kennwort eingegeben. Zeigen Sie das gespeicherte Kennwort an, indem Sie den Befehl configuration get ausführen. Mit diesem Befehl wird das Kennwort entschlüsselt und in der Shell angezeigt. Führen Sie den folgenden Befehl aus:

      tsm configuration get -k service.runas.password

      Wenn das vorherige Kennwort angezeigt wird, haben Sie kein gültiges Kennwort eingegeben.

    • Geben Sie das richtige Kennwort ein (siehe Schritt 3), und führen Sie den folgenden Befehl aus, um die Datei zu speichern und neu zu starten:

      tsm pending-changes apply

  5. Widerrufen Sie die Berechtigungen für das vorherige Konto. Siehe Widerrufen von Berechtigungen des "Ausführen als"-Dienstkontos.

Aktualisieren des Kennworts für das Konto "Als Dienst ausführen"

Wenn das Kennwort für das Konto "Als Dienst ausführen" in Active Directory aktualisiert wurde, müssen Sie es auch in Tableau Server aktualisieren. Das Kennwort für das Konto "Als Dienst ausführen" wird verschlüsselt und in Tableau Server gespeichert. Weitere Informationen dazu finden Sie unter Verwalten von Servergeheimnissen.

Wenn Sie Tableau Server in einer verteilten Umgebung ausführen, müssen Sie nur das Passwort mit TSM auf dem Initialknoten im Cluster aktualisieren. TSM wird diese Konfiguration automatisch an jeden Knoten verteilen.

Verwenden der TSM-Webschnittstelle
  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Klicken Sie auf die Registerkarte Sicherheit und dann auf die Registerkarte Konto "Als Dienst ausführen".

  3. Geben Sie unter Benutzerkontodas Kennwort für das Dienstkonto ein.

  4. Klicken Sie auf Speichern, um das Passwort zu verifizieren.

  5. Klicken Sie abschließend auf Ausstehende Änderungen und dann auf Änderungen anwenden und neu starten.

Verwenden der TSM-Befehlszeile
  1. Legen Sie das neue Kennwort fest. Führen Sie den folgenden Befehl aus:

    tsm configuration set -k service.runas.password -v "<password>"

    Schließen Sie das Kennwort mit doppelten Anführungszeichen ein, um sicherzustellen, dass Sonderzeichen ordnungsgemäß verarbeitet werden. Um zu überprüfen, ob Sonderzeichen richtig mit Escape-Zeichen versehen wurden, führen Sie den folgenden Befehl aus, um das Kennwort wie gespeichert anzuzeigen:

    tsm pending-changes list

    Das Kennwort wird in Active Directory validiert. Wenn es gültig ist, wird es verschlüsselt und gespeichert. TSM sendet keinen Bericht zu Erfolg oder Fehler.

  2. Führen Sie den folgenden Befehl aus, um diese Änderung zu speichern und neu zu starten:

    tsm pending-changes apply

    Problembehebung:

    • Überprüfen Sie, ob der Server gestartet wurde. Wenn es sich um einen degradierten Status handelt, haben Sie möglicherweise ein falsches Kennwort eingegeben. Zeigen Sie das gespeicherte Kennwort an, indem Sie den Befehl configuration get ausführen. Mit diesem Befehl wird das Kennwort entschlüsselt und in der Shell angezeigt. Führen Sie den folgenden Befehl aus:

      tsm configuration get -k service.runas.password

      Wenn das vorherige Kennwort angezeigt wird, haben Sie kein gültiges Kennwort eingegeben.

    • Geben Sie das richtige Kennwort ein (siehe Schritt 1), und führen Sie den folgenden Befehl aus, um die Datei zu speichern und neu zu starten:

      tsm pending-changes apply

Problembehandlung: Aktualisieren des Kennworts in der Microsoft Services-Konsole

In einigen Fällen werden möglicherweise Fehler angezeigt, nachdem das Kennwort für das Konto "Als Dienst ausführen" aktualisiert wurde. Ist dies der Fall, müssen Sie das Kennwort für den Tableau Server Services Manager manuell aktualisieren. Aktualisieren Sie das Kennwort in der Microsoft Services Management-Konsole.

Falls Sie Tableau Server in einer verteilten Bereitstellung ausführen, müssen Sie diesen Befehl auf allen Knoten im Cluster ausführen.

  1. Beenden Sie Tableau Server.

    • Führen Sie zum Verwenden von TSM CLI die folgenden Befehle aus:

      tsm stop

    • Um die TSM Web UI zu verwenden, klicken Sie oben rechts auf der Seite neben dem Status auf die Dropdown-Liste, und klicken Sie dann auf Tableau Server beenden:

  2. Öffnen Sie das Services MMC Snap-in auf dem Windows-Computer, auf dem Tableau Server ausgeführt wird.

  3. Doppelklicken Sie auf den Tableau Server Services Manager, um die Eigenschaftenseite zu öffnen.

  4. Klicken Sie auf der Seite Eigenschaften des Tableau Server Service Manager auf die Registerkarte Anmelden, und geben Sie das Kennwort für das Dienstkonto ein.

  5. Klicken Sie auf Anwenden und dann auf OK.

  6. Starten Sie den Tableau Server Services Manager neu, indem Sie mit der rechten Maustaste auf den Dienstnamen klicken und dann auf Neu starten klicken.

  7. Starten Sie Tableau Server.

    • Führen Sie zum Verwenden von TSM CLI den folgenden Befehl aus:

      tsm start

    • Um die TSM Web UI zu verwenden, klicken Sie oben rechts auf der Seite neben dem Status auf die Dropdown-Liste, und klicken Sie dann auf Tableau Server starten.

Zugehörige Aufgaben

Das Konto "Als Dienst ausführen" spielt bei vielen Aktionen unter Tableau Server eine zentrale Rolle, besonders bei Aktionen, die mit dem Fernzugriff auf Daten zu tun haben. Um Zugriffsfehler zu vermeiden, sollten Sie sich die hier aufgeführten Aufgaben durchlesen und den Links zu den Aufgaben folgen, die für Ihr Szenario zutreffen.

  • Wenn Sie Tableau Server in einer Organisation mit mehreren Active Directory-Domänen ausführen, finden Sie Informationen hierzu unter Vertrauensanforderungen an Domänen für Active Directory-Bereitstellungen.
  • Zur Aktivierung der einmaligen Anmeldung über Kerberos ist eine zusätzliche Konfiguration für das Konto "Als Dienst ausführen" erforderlich. Informationen zur Aktivierung der einmaligen Anmeldung über Kerberos bei Tableau Server finden Sie unter Kerberos.
  • Zur Aktivierung des Identitätswechsels ist eine zusätzliche Konfiguration für das Konto "Als Dienst ausführen" erforderlich. Informationen zur Bereitstellung und Aktivierung des Identitätswechsels mit Microsoft SQL Server finden Sie unter Identitätswechsel mit eingebetteten SQL-Anmeldeinformationen.
  • Wenn Sie Tableau Server nicht im Systemlaufwerk installiert haben, müssen Sie manuell einige Berechtigungen für das Konto "Als Dienst ausführen" festlegen. Weitere Informationen finden Sie unter Erforderliche Einstellungen für "Ausführen als"-Dienstkonto.
  • Wenn Sie das Konto "Als Dienst ausführen" geändert haben, wird empfohlen, die Berechtigungen für das vorherige Konto zu widerrufen. Siehe Widerrufen von Berechtigungen des "Ausführen als"-Dienstkontos.
  • Wenn in Ihrer Organisation eine Weiterleitungsproxylösung verwendet wird, müssen Sie die lokalen LAN-Einstellungen auf Tableau Server möglicherweise mit dem Konto "Als Dienst ausführen" neu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren eines Forward-Proxyservers. In diesem Szenario muss das Konto "Als Dienst ausführen" für die Product Key-Vorgänge vorübergehend auch als das Anmeldekonto für Tableau Server Administrative Controller konfiguriert werden. Nähere Informationen hierzu finden Sie im Abschnitt Konfigurieren von Product Key-Vorgängen mit Forward-Proxy.
  • Wenn Sie das Resource Monitoring Tool in Ihrem Unternehmen verwenden, kann das "Ausführen als"-Dienstkonto zur Authentifizierung und zum Sammeln von Hardwareinformationen verwendet werden. Bestätigen Sie beim Aktualisieren eines "Ausführen als"-Kontos die Konnektivität zwischen RMT und Tableau Server in den RMT-Umgebungseinstellungen:
    1. Melden Sie sich bei RMT als Administrator an.
    2. Navigieren Sie zur Seite "Umgebungen" (Admin > Umgebungen).
    3. Klicken Sie für die aktualisierte Umgebung auf Bearbeiten.
    4. Überprüfen Sie in der Liste Servers, ob der Agentendienst auf jedem Server als verbunden angezeigt wird. Bewegen Sie den Mauszeiger über den Status "Verbunden", um einen Zeitstempel der letzten empfangenen Heartbeat-Nachricht anzuzeigen.
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.