Compte Exécuter en tant que service
Le compte Exécuter en tant que service est un compte Windows que Tableau Server utilise (« exécute en tant que ») lors de l’accès aux ressources. Par exemple, Tableau Server lit et écrit des fichiers sur l’ordinateur sur lequel Tableau Server est installé. Du point de vue de Windows, Tableau Server effectue ces opérations en tant que compte Exécuter en tant que service. Dans certains cas, Tableau Server peut utiliser le compte Exécuter en tant que service pour accéder aux données depuis des sources externes, par exemple des bases de données ou des fichiers sur un répertoire réseau partagé.
Au moment où vous planifiez votre déploiement Tableau Server, vous devez déterminer si le compte Exécuter en tant que service, qui est configuré pour s’exécuter dans le contexte du compte Network Service local (NT Authority\Network Service), va être suffisant pour vos besoins. Si ce n’est pas le cas, vous devez mettre à jour le compte Exécuter en tant que service de manière à ce qu’il s’exécute sous un compte de domaine ayant accès aux ressources de votre/vos domaine(s) Active Directory.
Remarque : depuis Tableau Server version 2023.3.x, si le compte Exécuter en tant que service est configuré pour utiliser un compte de domaine, les administrateurs doivent également configurer une liste d'autorisations serveur pour l'accès aux fichiers à l'aide de la commande tsm configuration set
. La liste d’autorisations limite l’accès aux sources de données basées sur les fichiers aux chemins de répertoire locaux ou partagés spécifiés. Pour plus d'informations et pour savoir comment configurer une liste d’autorisations serveur, consultez Liste de contrôle pour une sécurité renforcée.
Dans les deux cas, il est important de comprendre les implications de sécurité du compte que Tableau Server utilise comme compte Exécuter en tant que service. Plus spécifiquement, si Tableau Server a besoin d’accéder à d’autres serveurs, partages de fichiers ou bases de données utilisant l’authentification Windows, le compte qui est configuré pour Exécuter en tant que service sera utilisé pour accéder à ces ressources. Le compte configuré pour Exécuter en tant que service doit être doté d’autorisations élevées sur le Tableau Server local. Une recommandation de sécurité générale consiste à limiter la portée de tous les comptes d’utilisateur au minimum des autorisations requises. Nous vous recommandons de faire de même lorsque vous planifiez le compte Exécuter en tant que service. Pour plus d’informations, consultez Accès aux données avec le compte Exécuter en tant que service.
Le compte que vous utilisez comme compte Exécuter en tant que service ne doit pas être membre du compte Administrateurs locaux ou Administrateurs de domaine. Au lieu de cela, nous vous recommandons d’utiliser un compte utilisateur de domaine qui n’est pas un administrateur du compte Exécuter en tant que service. L’utilisation d’un compte de domaine qui n’est pas membre de ces groupes d’administrateurs est une pratique de sécurité recommandée. Elle contribue à empêcher l’accès à des sources de données et des dossiers spécifiques. Pour plus d’informations sur les meilleures pratiques lors de la création d’un compte Exécuter en tant que service, consultez Création du compte Exécuter en tant que service.
Vous pouvez définir le compte Exécuter en tant que service pendant l’installation de Tableau Server, ou le mettre à jour à l’aide de l’interface utilisateur Web TSM. Tableau Services Manager définit des autorisations pour le compte Exécuter en tant que service, mais si vous n’êtes pas certain que le compte que vous souhaitez utiliser remplisse les conditions ou si vous avez changé de compte Exécuter en tant que service et recevez des erreurs d’autorisation, reportez-vous à Paramètres requis du compte Exécuter en tant que service.
Compte Exécuter en tant que service par défaut : Network Service
Le compte Network Service est un compte local prédéfini doté d’autorisations limitées qui existe sur tous les ordinateurs Windows. Si son accès administratif est limité à l’ordinateur local sur lequel il s’exécute, il dispose d’un accès à plus de ressources que les membres du groupe Utilisateurs par défaut Active Directory. Par exemple, le groupe Network Service peut écrire sur le registre et le journal des événements, et dispose de droits spéciaux de connexion à des services d’applications.
Par défaut, le compte Exécuter en tant que service est défini sur un compte local appelé Network Service. Utilisez le compte Network Service par défaut lorsque :
Vous utilisez l’authentification locale pour Tableau Server.
- Tous les utilisateurs de votre entreprise incluent des données extraites dans les classeurs qu’ils téléchargent sur Tableau Server.
- Vous exécutez Tableau Server dans un déploiement de serveur unique.
- Les sources de données externes auxquelles vos utilisateurs accèdent via Tableau Server ne nécessitent pas la sécurité intégrée Windows NT ou Kerberos. Dans la plupart des scénarios d’accès aux données, les bases de données Microsoft SQL Server, MSAS, Teradata et Oracle requièrent une sécurité Windows NT intégrée.
Si le compte Network Service peut être utilisé pour accéder à des ressources sur des ordinateurs distants dans le même domaine Active Directory, nous vous déconseillons d’utiliser le compte par défaut pour ces types de scénario. Au lieu de cela, configurez un compte de domaine comme compte Exécuter en tant que service si Tableau Server doit se connecter aux sources de données dans votre environnement. Voir Modifier le compte Exécuter en tant que service.
Compte Exécuter en tant que service : Utilisateur de domaine
Pour tous les scénarios Active Directory, nous vous recommandons de mettre à jour le compte Exécuter en tant que service Tableau Server avec un compte utilisateur de domaine. Mettez à jour le compte Exécuter en tant que service sur un compte utilisateur de domaine lorsque les sources de données accédées via Tableau Server nécessitent la sécurité intégrée Windows NT ou Kerberos.
Si vous avez réalisé un déploiement distribué de Tableau Server, vous devez mettre à jour le compte Exécuter en tant que service avec un utilisateur de domaine ou bien un utilisateur de groupe de travail Windows. Dans les deux cas, vous devez utiliser le même compte utilisateur pour tous les nœuds de serveur. Voir Configuration requise par les environnements distribués pour en savoir plus.
Pour configurer votre environnement de manière à utiliser un compte de domaine, voir Modifier le compte Exécuter en tant que service.