Cambiar la cuenta Ejecutar como servicio
En función del entorno y los requisitos de acceso a datos, es posible que quiera o deba cambiar la cuenta de servicio Ejecutar como. Hay dos escenarios principales en los que se cambia la cuenta Ejecutar como servicio:
- Sustitución de la cuenta predeterminada local Ejecutar como (NetworkService) por una cuenta de dominio. Si trabaja en un entorno donde la mayoría de las fuentes de datos se autentican en el contexto de Active Directory (seguridad integrada de Windows NT), tendrá que configurar la cuenta Ejecutar como servicio para que use una cuenta de dominio, no la cuenta local (NetworkService).
- Cambio de una cuenta de dominio Ejecutar como servicio existente por una cuenta diferente.
En este tema se describen ambos escenarios y se describe cómo actualizar la contraseña de la cuenta Ejecutar como servicio.
La cuenta que usa para la cuenta de servicio Ejecutar como no debe ser miembro de la cuenta de Administradores locales ni Administradores de dominio. En su lugar, recomendamos que utilice una cuenta de usuario de dominio que no sea un administrador para la cuenta de servicio Ejecutar como. El uso de una cuenta de dominio que no sea miembro de estos grupos de administradores es una práctica recomendada de seguridad y puede ayudar a evitar el acceso a determinadas fuentes de datos y carpetas. Para obtener información sobre las prácticas recomendadas para crear una cuenta de servicio Ejecutar como, consulte Crear la cuenta Ejecutar como servicio.
Nota: A partir de la versión 2023.3.x deTableau Server, si la cuenta Ejecutar como servicio está configurada para usar una cuenta de dominio, los administradores también deben configurar la lista de servidores permitidos que pueden acceder a los archivos mediante el comando tsm configuration set
. La lista de permitidos limita el acceso a las fuentes de datos basadas en archivos a las rutas de directorio locales o compartidas especificadas. Para obtener más información y ver los pasos necesarios para configurar una lista de servidores permitidos, consulte Lista de comprobación de mejora de la seguridad.
Sustituir la cuenta predeterminada local Ejecutar como (NetworkService) por una cuenta de dominio
Si va a reemplazar la cuenta de NetworkService predeterminada por una cuenta de dominio, se recomienda usar una cuenta dedicada para la cuenta Ejecutar como servicio. Siga estos pasos:
- Crear la cuenta Ejecutar como servicio en Active Directory
- Configurar Tableau Server para que use la cuenta Ejecutar como servicio
Crear la cuenta Ejecutar como servicio
Siga estos procedimientos recomendados:
- Es importante comprender la manera en la que la cuenta de servicio Ejecutar como accede a los datos en nombre de los usuarios de su organización. En algunos casos, los usuarios pueden acceder inadvertidamente a datos para los que sus cuentas de usuario no tienen permiso explícito. Antes de crear una cuenta de servicio Ejecutar como, consulte Acceso a datos con la cuenta Ejecutar como servicio.
- Cree una cuenta exclusiva en Active Directory para la cuenta Ejecutar como servicio de Tableau Server. En otras palabras, no use una cuenta existente. Usar una cuenta exclusiva garantiza que los recursos de datos a los que dé permiso para Tableau Server solo sean accesibles desde la cuenta Ejecutar como servicio de Tableau Server.
- La cuenta Ejecutar como servicio se usa para realizar consultas de usuarios y sobre la pertenencia a grupos en Active Directory. De forma predeterminada, la cuenta de Network Service y los usuarios del dominio predeterminado tienen permiso para realizar consultas en Active Directory. No restrinja los permisos de lectura o consulta de la cuenta Ejecutar como servicio.
- No use una cuenta con ningún tipo de permisos administrativos de dominio. Especialmente, cuando cree una cuenta en Active Directory, hágalo en el grupo de usuarios de dominio. No añada la cuenta que cree a ningún grupo de seguridad de Active Directory que eleve innecesariamente los permisos de esta.
- Conceda permiso a las fuentes de datos que haya en su directorio para esta cuenta. La cuenta que usará para la cuenta Ejecutar como servicio solo necesita acceso de lectura a las fuentes de datos y los recursos compartidos de la red adecuados.
- Si los usuarios de su organización se autentican con tarjetas inteligentes, deshabilite la opción de inicio de sesión con tarjeta inteligente para la cuenta Ejecutar como servicio.
- Si ha instalado Tableau Server en una unidad que no es la del sistema, tendrá que configurar la unidad del sistema para conceder permisos adicionales a la cuenta Ejecutar como servicio. La unidad del sistema es donde Windows está instalado. Por ejemplo, si instaló Windows en la unidad C:/, entonces la C:/ es la unidad del sistema. Si instala Tableau Server en cualquier otra unidad (D:/, E:/, etc.), tendrá que configurar permisos para la cuenta Ejecutar como servicio en la unidad del sistema. Consulte Configuración de la cuenta Ejecutar como servicio necesaria para obtener más información.
Configurar la cuenta Ejecutar como servicio en Tableau Server
Después de crear la cuenta Ejecutar como servicio en Active Directory, configure Tableau Server para que use esta cuenta.
Use la interfaz de usuario web de TSM para configurar la cuenta Ejecutar como servicio por primera vez.
Para configurar la cuenta Ejecutar como servicio
Abra TSM en un navegador:
https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
Haga clic en la pestaña Seguridad y seleccione la pestaña Cuenta Ejecutar como servicio.
Seleccione Cuenta de usuario y escriba el nombre de usuario y la contraseña de la cuenta del servicio. Especifique el nombre de dominio como
domain\account
, donde el nombre de dominio es el nombre NetBIOS del dominio en el que reside el usuario:Haga clic en Guardar para verificar el nombre de usuario y la contraseña.
Cuando haya terminado, haga clic en Cambios pendientes y, luego, en Aplicar cambios y reiniciar.
Después de actualizar la cuenta Ejecutar como servicio, Tableau Server configurará automáticamente los permisos en el equipo local para la cuenta especificada.
Cambiar una cuenta de dominio Ejecutar como servicio existente por una cuenta diferente
Para cambiar una cuenta de Ejecutar servicio de dominio existente por una cuenta diferente, debe aplicar permisos a esa cuenta nueva. Para aplicar los permisos a su nueva cuenta Ejecutar como servicio, primero debe restablecer los permisos aplicándolos a la cuenta de NetworkService predeterminada.
Antes de comenzar, compruebe que la cuenta nueva que usará para la cuenta Ejecutar como servicio cumpla los procedimientos recomendados descritos anteriormente en la sección Crear la cuenta Ejecutar como servicio.
Para este proceso es necesario que restablezca los servicios de Tableau Server dos veces, por lo que se recomienda que ejecute este proceso fuera de horas.
Abra TSM en un navegador:
https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
Haga clic en la pestaña Seguridad y seleccione la pestaña Cuenta Ejecutar como servicio.
En Cuenta de usuario, seleccione NT Authority\NetworkService.
Haga clic en Guardar.
Cuando haya terminado, haga clic en Cambios pendientes y, luego, en Aplicar cambios y reiniciar.
Una vez reiniciado el servidor, abra TSM y desplácese hasta la pestaña Cuenta Ejecutar como servicio.
Seleccione Cuenta de usuario y escriba el nombre de usuario y la contraseña de la cuenta de servicio. Especifique el nombre de dominio como
domain\account
, donde el nombre de dominio es el nombre NetBIOS del dominio en el que reside el usuario:Haga clic en Guardar para verificar el nombre de usuario y la contraseña.
Cuando haya terminado, haga clic en Cambios pendientes y, luego, en Aplicar cambios y reiniciar.
Revoque los permisos de la cuenta anterior. Consulte Revocar permisos de la cuenta Ejecutar como servicio.
Restablezca la configuración de NetworkService de la cuenta Ejecutar como servicio. Ejecute el comando siguiente:
tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"
Ejecute el siguiente comando para guardar este cambio y reiniciar:
tsm pending-changes apply
Establezca la cuenta Ejecutar como servicio en la nueva cuenta. Ejecute los comandos siguientes:
tsm configuration set -k service.runas.username -v <domain\username>
tsm configuration set -k service.runas.password -v "<password>"
Incluya la contraseña con comillas dobles para asegurarse de que los caracteres especiales de la cadena se procesan correctamente. Para ver la contraseña tal y como quedará almacenada, ejecute este comando:
tsm pending-changes list
La contraseña se validará con Active Directory. Si es válida, la contraseña se cifrará y se guardará. TSM no informará de si la operación ha sido correcta o incorrecta.
Ejecute el siguiente comando para guardar y reiniciar:
tsm pending-changes apply
Solución de problemas:
Compruebe que el servidor se ha iniciado. Si se encuentra en estado degradado, es posible que haya introducido una contraseña incorrecta. Para ver la contraseña almacenada, ejecute el comando
configuration get
. Este comando descifrará y mostrará la contraseña en el shell. Ejecute el comando siguiente:tsm configuration get -k service.runas.password
Si aparece la contraseña anterior, no ha escrito una contraseña válida.
Escriba la contraseña correcta (vea el Paso 3) y, a continuación, ejecute el siguiente comando para guardar y reiniciar:
tsm pending-changes apply
Revoque los permisos de la cuenta anterior. Consulte Revocar permisos de la cuenta Ejecutar como servicio.
Actualizar la contraseña de la cuenta Ejecutar como servicio
Si se ha actualizado la contraseña de la cuenta Ejecutar como servicio en Active Directory, debe actualizarla en Tableau Server. La contraseña de la cuenta Ejecutar como servicio está cifrada y almacenada en Tableau Server. Para obtener más información, consulte Administrar secretos del servidor.
Si ejecuta Tableau Server en una implementación distribuida, solo deberá actualizar la contraseña con TSM en el nodo inicial del clúster. TSM distribuirá esta configuración a cada nodo automáticamente.
Abra TSM en un navegador:
https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
Haga clic en la pestaña Seguridad y seleccione la pestaña Cuenta Ejecutar como servicio.
En Cuenta de usuario, escriba la contraseña de la cuenta de servicio.
Haga clic en Guardar para verificar la contraseña.
Cuando haya terminado, haga clic en Cambios pendientes y, luego, en Aplicar cambios y reiniciar.
Establezca la nueva contraseña. Ejecute el comando siguiente:
tsm configuration set -k service.runas.password -v "<password>"
Incluya la contraseña con comillas dobles para asegurarse de que los caracteres especiales de la cadena se procesan correctamente. Para validar que los caracteres especiales se introdujeron correctamente, ejecute el siguiente comando para ver la contraseña como se almacenará:
tsm pending-changes list
La contraseña se validará con Active Directory. Si es válida, la contraseña se cifrará y se guardará. TSM no informará de si la operación ha sido correcta o incorrecta.
Ejecute el siguiente comando para guardar y reiniciar:
tsm pending-changes apply
Solución de problemas:
Compruebe que el servidor se ha iniciado. Si se encuentra en estado degradado, es posible que haya introducido una contraseña incorrecta. Para ver la contraseña almacenada, ejecute el comando
configuration get
. Este comando descifrará y mostrará la contraseña en el shell. Ejecute el comando siguiente:tsm configuration get -k service.runas.password
Si aparece la contraseña anterior, no ha escrito una contraseña válida.
Escriba la contraseña correcta (consulte el Paso 1) y, a continuación, ejecute el siguiente comando para guardar y reiniciar:
tsm pending-changes apply
Solución de problemas: actualizar la contraseña en la consola de Microsoft Services
En algunos casos, es posible que vea errores de servicio después de actualizar la contraseña de la cuenta Ejecutar como servicio. En ese caso, es posible que necesite actualizar manualmente la contraseña en el servicio Tableau Server Services Manager. Actualice la contraseña en la consola de administración de Microsoft Services.
Si ejecuta Tableau Server en una implementación distribuida, debe ejecutar el siguiente procedimiento en cada nodo del clúster.
Detenga Tableau Server.
Para usar la interfaz de línea de comandos de TSM, ejecute los siguientes comandos:
tsm stop
Para usar la interfaz de usuario web TSM, en la parte superior derecha de la página, haga clic en la lista desplegable situada junto al estado y, a continuación, haga clic en Detener Tableau Server:
Abra el complemento Servicios MMC en el equipo con Windows que ejecuta Tableau Server.
Haga doble clic en el servicio Tableau Server Services Manager para abrir la página de propiedades.
En la página Propiedades de Tableau Server Services Manager, haga clic en la pestaña Iniciar sesión y, a continuación, escriba la contraseña de la cuenta de servicio.
Haga clic en Aplicar y, a continuación, en Aceptar.
Reinicie el servicio Tableau Server Services Manager; para ello, haga clic con el botón secundario en el nombre del servicio y, a continuación, haga clic en Reiniciar.
Inicie Tableau Server.
Para usar la interfaz de línea de comandos de TSM, ejecute los siguientes comandos:
tsm start
Para usar la interfaz de usuario web de TSM, en la parte superior derecha de la página, haga clic en la lista desplegable situada junto al estado y, a continuación, haga clic en Iniciar Tableau Server.
Tareas relacionadas
La cuenta Ejecutar como servicio es fundamental en muchas operaciones de Tableau Server, especialmente las relacionadas con el acceso remoto a datos. Para evitar errores de acceso, revise estas tareas y visite los vínculos de las que sean relevantes para su situación.
- Si ejecuta Tableau Server en una organización con varios dominios de Active Directory, consulte Requisitos de confianza de dominios para implementaciones de Active Directory.
- Habilitar el inicio de sesión único de Kerberos requiere configuración adicional relacionada con la cuenta Ejecutar como servicio. Para habilitar el inicio de sesión único de Kerberos con Tableau Server, consulte Kerberos.
- Habilitar la suplantación requiere configuración adicional relacionada con la cuenta Ejecutar como servicio. Para implementar y habilitar la suplantación con Microsoft SQL Server, consulte Suplantar con credenciales SQL incrustadas.
- Si ha instalado Tableau Server en una unidad que no es la del sistema, tendrá que establecer manualmente algunos permisos para la cuenta Ejecutar como servicio. Consulte Configuración de la cuenta Ejecutar como servicio necesaria para obtener más información.
- En caso de que haya cambiado la cuenta Ejecutar como servicio, se recomienda anular los permisos de la cuenta anterior. Consulte Revocar permisos de la cuenta Ejecutar como servicio.
- Si la organización usa una solución de proxy de reenvío, puede que necesite volver a configurar las opciones de LAN local en Tableau Server con la cuenta Ejecutar como servicio. Para obtener más información, consulte Configurar un servidor proxy de reenvío. En esta situación, la cuenta Ejecutar como servicio también debe estar configurada temporalmente como la cuenta de inicio de sesión para el Controlador administrativo de Tableau Server en operaciones de clave de producto. Consulte Configurar operaciones de clave de producto con proxy de reenvío.
- Si utiliza Resource Monitoring Tool en su empresa, la cuenta de servicio Ejecutar como se puede utilizar para autenticar y recopilar información de hardware. Al actualizar una cuenta de ejecución, confirme la conectividad entre RMT y Tableau Server en la configuración del entorno de RMT:
- Inicie sesión en RMT como administrador.
- Vaya a la página Entornos (Administrador > Entornos).
- Haga clic en Editar para el entorno que se actualizó.
- En la lista Servidores, confirme que cada servidor muestra el Servicio de agente como Conectado. Pase el cursor sobre el estado Conectado para ver una marca de tiempo del último mensaje de latido recibido.