Modifier le compte Exécuter en tant que service
Selon votre environnement et vos exigences en matière d’accès aux données, vous souhaiterez ou devrez peut-être modifier le compte Exécuter en tant que service. Vous pouvez modifier le compte Exécuter en tant que service selon deux scénarios principaux :
- Remplacement du compte Exécuter en tant que compte local par défaut (NetworkService) par un compte de domaine. Si, dans votre environnement, une majorité de vos sources de données est authentifiée via Active Directory (sécurité intégrée Windows NT), vous devez configurer le compte Exécuter en tant que service de manière à ce qu’il utilise un compte de domaine, et non le compte local (NetworkService).
- Modification d’un compte de domaine existant Exécuter en tant que service en un compte différent.
Cette rubrique décrit les deux scénarios et explique comment mettre à jour le mot de passe du compte Exécuter en tant que service.
Le compte que vous utilisez comme compte Exécuter en tant que service ne doit pas être membre du compte Administrateurs locaux ou Administrateurs de domaine. Au lieu de cela, nous vous recommandons d’utiliser un compte utilisateur de domaine qui n’est pas un administrateur du compte Exécuter en tant que service. L’utilisation d’un compte de domaine qui n’est pas membre de ces groupes d’administrateurs est une pratique de sécurité recommandée. Elle contribue à empêcher l’accès à des sources de données et des dossiers spécifiques. Pour plus d’informations sur les meilleures pratiques lors de la création d’un compte Exécuter en tant que service, consultez Création du compte Exécuter en tant que service.
Remarque : depuis Tableau Server version 2023.3.x, si le compte Exécuter en tant que service est configuré pour utiliser un compte de domaine, les administrateurs doivent également configurer une liste d’autorisations serveur pour l’accès aux fichiers à l’aide de la commande tsm configuration set
. La liste d’autorisations limite l’accès aux sources de données basées sur les fichiers aux chemins de répertoire locaux ou partagés spécifiés. Pour plus d’informations et pour savoir comment configurer une liste d’autorisations serveur, consultez Liste de contrôle pour une sécurité renforcée.
Remplacement du compte Exécuter en tant que compte local par défaut (NetworkService) par un compte de domaine
Si vous comptez remplacer le compte NetworkService par défaut par un compte de domaine, nous vous recommandons d’utiliser un compte dédié pour le compte Exécuter en tant que service. Suivez ces étapes :
- Créer le compte Exécuter en tant que service dans Active Directory
- Configurer Tableau Server pour qu’il utilise le compte Exécuter en tant que service
Création du compte Exécuter en tant que service
Suivez ces recommandations :
- Il est important de comprendre comment le compte Exécuter en tant que service accède aux données pour le compte des utilisateurs de votre entreprise. Dans certains cas, les utilisateurs peuvent accéder par inadvertance à des données pour lesquelles leurs comptes utilisateur ne sont pas explicitement autorisés. Avant de créer un compte Exécuter en tant que service, consultez Accès aux données avec le compte Exécuter en tant que service.
- Créez un compte dédié dans Active Directory pour le compte Exécuter en tant que service Tableau Server. En d’autres termes, n’utilisez pas un compte existant. En utilisant un compte dédié, vous pouvez être sûr que les ressources de données auxquelles vous êtes autorisé à accéder pour Tableau Server ne sont accessibles que par le compte Exécuter en tant que service Tableau Server.
- Le compte Exécuter en tant que service est utilisé pour interroger l’appartenance des utilisateurs et des groupes dans Active Directory. Par défaut, le compte NetworkServices et les utilisateurs du domaine par défaut sont autorisés à interroger Active Directory. Ne restreignez pas les autorisations de lecture ou d’interrogation pour le compte Exécuter en tant que service.
- N’utilisez pas un compte avec n’importe quel type d’autorisation administrative de domaine. Plus spécifiquement, lorsque vous créez un compte dans Active Directory, créez un compte dans le groupe d’utilisateurs du domaine. N’ajoutez pas le compte que vous créez à des groupes de sécurité Active Directory qui élèvent les autorisations inutilement pour le compte.
- Autorisez les sources de données dans votre répertoire pour ce compte. Le compte que vous utiliserez pour Exécuter en tant que service n’a besoin que d’un accès en lecture aux sources de données et partages réseau appropriés.
- Si les utilisateurs dans votre entreprise s’authentifient par carte à puce, désactivez l’option de connexion par carte à puce pour le compte Exécuter en tant que service.
- Si vous avez installé Tableau Server sur un lecteur autre que le lecteur système, vous devez configurer le lecteur système de manière à ce qu’il accorde des autorisations supplémentaires pour le compte Exécuter en tant que service. Le lecteur système est le lecteur sur lequel Windows est installé. Par exemple, si vous avez installé Windows sur le lecteur C:/, le lecteur C:/ est votre lecteur système. Si vous installez Tableau Server sur un autre lecteur (D:/, E:/, etc.), vous devez configurer les autorisations pour le compte Exécuter en tant que service sur le lecteur système. Voir Paramètres requis du compte Exécuter en tant que service pour plus d’informations.
Configurer le compte Exécuter en tant que service dans Tableau Server
Après avoir créé le compte Exécuter en tant que service dans Active Directory, configurez Tableau Server de manière à ce qu’il utilise ce compte.
Utilisez l’interface utilisateur Web TSM pour configurer le compte Exécuter en tant que service pour la première fois.
Pour configurer le compte Exécuter en tant que service
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Cliquez sur l’onglet Sécurité puis sur l’onglet Compte Exécuter en tant que service.
Sélectionnez Compte utilisateur puis entrez le nom d’utilisateur et le mot de passe pour le compte de service. Spécifiez le nom de domaine sous la forme
domain\account
, où le nom de domaine est le nom NetBIOS du domaine où réside l’utilisateur :Cliquez sur Enregistrer pour vérifier le nom d’utilisateur et le mot de passe.
Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.
Une fois que vous avez mis à jour le compte Exécuter en tant que service, Tableau Server configure automatiquement les autorisations sur l’ordinateur local pour le compte que vous avez saisi.
Modification d’un compte de domaine existant Exécuter en tant que service en un compte différent
Pour modifier un compte Exécuter en tant que service en un compte différent, vous devez appliquer des autorisations à ce nouveau compte. Pour appliquer des autorisations à votre nouveau compte Exécuter en tant que service, vous devez d’abord réinitialiser les autorisations en les appliquant au compte NetworkService par défaut.
Avant de commencer, vérifiez que le nouveau compte que vous utiliserez pour le compte Exécuter en tant que service est conforme aux meilleures pratiques indiquées précédemment dans la section Création du compte Exécuter en tant que service.
Cette procédure exige que vous redémarriez les services Tableau Server à deux reprises, donc exécutez-la hors des heures de pointe.
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Cliquez sur l’onglet Sécurité puis sur l’onglet Compte Exécuter en tant que service.
Sous Compte utilisateur, sélectionnez Autorité NT\NetworkService.
Cliquez sur Enregistrer.
Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.
Après le redémarrage du serveur, ouvrez TSM et accédez à l’onglet Compte Exécuter en tant que service.
Sélectionnez Compte utilisateur puis entrez le nom d’utilisateur et le mot de passe pour le compte de service. Spécifiez le nom de domaine sous la forme
domain\account
, où le nom de domaine est le nom NetBIOS du domaine où réside l’utilisateur :Cliquez sur Enregistrer pour vérifier le nom d’utilisateur et le mot de passe.
Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.
Révoquez les autorisations pour le compte précédent. Voir Révoquer les autorisations du compte Exécuter en tant que service.
Réinitialisez le compte Exécuter en tant que service en NetworkService. Exécutez la commande suivante :
tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"
Exécutez la commande suivante pour enregistrer cette modification et redémarrer :
tsm pending-changes apply
Définissez le compte Exécuter en tant que service sur le nouveau compte. Exécutez les commandes suivantes :
tsm configuration set -k service.runas.username -v <domain\username>
tsm configuration set -k service.runas.password -v "<password>"
Placez le mot de passe entre guillemets doubles pour que les caractères spéciaux de la chaîne soient traités correctement. Pour afficher le mot de passe tel qu’il sera enregistré, exécutez la commande suivante :
tsm pending-changes list
Le mot de passe sera validé avec Active Directory. S’il est valide, le mot de passe sera crypté et enregistré. TSM ne génère pas de rapport de succès ou d’échec.
Exécutez la commande suivante pour enregistrer et redémarrer :
tsm pending-changes apply
Résolution des problèmes :
Vérifiez que le serveur a démarré. Si l’état est dégradé, vous avez peut-être entré un mot de passe incorrect. Affichez le mot de passe stocké en exécutant la commande
configuration get
. Cette commande décrypte et affiche le mot de passe dans l’interpréteur de commandes. Exécutez la commande suivante :tsm configuration get -k service.runas.password
Si le précédent mot de passe s’affiche, vous n’avez pas entré un mot de passe valide.
Entrez le mot de passe correct (voir Étape 3), puis exécutez la commande suivante pour enregistrer et redémarrer :
tsm pending-changes apply
Révoquez les autorisations pour le compte précédent. Voir Révoquer les autorisations du compte Exécuter en tant que service.
Mise à jour du mot de passe du compte Exécuter en tant que service
Si le mot de passe du compte Exécuter en tant que service a été mis à jour dans Active Directory, vous devez le mettre à jour pour Tableau Server. Le mot de passe du compte Exécuter en tant que service est crypté et stocké sur Tableau Server. Pour plus d’informations, consultez Gérer les secrets de serveur.
Si vous exécutez Tableau Server dans un déploiement distribué, vous devez simplement mettre à jour le mot de passe avec TSM sur le nœud initial du cluster. TSM distribue automatiquement cette configuration sur chaque nœud.
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Cliquez sur l’onglet Sécurité puis sur l’onglet Compte Exécuter en tant que service.
Sous Compte utilisateur, entrez le mot de passe du compte de service.
Cliquez sur Enregistrer pour vérifier le mot de passe.
Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.
Définissez le nouveau mot de passe. Exécutez la commande suivante :
tsm configuration set -k service.runas.password -v "<password>"
Placez le mot de passe entre guillemets doubles pour que les caractères spéciaux de la chaîne soient traités correctement. Pour vérifier que l’échappement des caractères spéciaux est correct, exécutez la commande suivante pour afficher le mot de passe tel qu’il sera stocké :
tsm pending-changes list
Le mot de passe sera validé avec Active Directory. S’il est valide, le mot de passe sera crypté et enregistré. TSM ne génère pas de rapport de succès ou d’échec.
Exécutez la commande suivante pour enregistrer et redémarrer :
tsm pending-changes apply
Résolution des problèmes :
Vérifiez que le serveur a démarré. Si l’état est dégradé, vous avez peut-être entré un mot de passe incorrect. Affichez le mot de passe stocké en exécutant la commande
configuration get
. Cette commande décrypte et affiche le mot de passe dans l’interpréteur de commandes. Exécutez la commande suivante :tsm configuration get -k service.runas.password
Si le précédent mot de passe s’affiche, vous n’avez pas entré un mot de passe valide.
Entrez le mot de passe correct (voir Étape 1), puis exécutez la commande suivante pour enregistrer et redémarrer :
tsm pending-changes apply
Résolution des problèmes : mettre à jour le mot de passe dans la console Microsoft Services
Dans certains cas, des échecs de service peuvent survenir après la mise à jour du mot de passe du compte Exécuter en tant que service. Dans ce cas, vous devrez peut-être mettre à jour manuellement le mot de passe du service Tableau Server Services Manager. Mettez à jour le mot de passe dans la console de gestion Microsoft Services.
Si vous exécutez Tableau Server dans un déploiement distribué, vous devez exécuter la procédure suivante sur chaque nœud du cluster.
Arrêtez Tableau Server.
Pour utiliser l’interface en ligne de commande TSM, exécutez la commande suivante :
tsm stop
Pour utiliser l’interface utilisateur Web TSM, dans le coin supérieur droit de la page, cliquez sur la liste déroulante en regard de l’état, puis cliquez sur Arrêter Tableau Server:
Ouvrez le composant logiciel enfichable MMC Services sur l’ordinateur Windows qui exécute Tableau Server.
Double-cliquez sur le service Tableau Server Services Manager pour ouvrir la page de propriétés.
Sur la page Propriétés de Tableau Server Services Manager, cliquez sur l’onglet Connexion, puis entrez le mot de passe du compte de service.
Cliquez sur Appliquer, puis sur OK.
Redémarrez le service Tableau Server Services Manager en cliquant avec le bouton droit sur le nom du service, puis en cliquant sur Redémarrer.
Démarrez Tableau Server.
Pour utiliser l’interface en ligne de commande TSM, exécutez la commande suivante :
tsm start
Pour utiliser l’interface utilisateur Web TSM, en haut à droite de la page, cliquez sur la liste déroulante en regard de l’état, puis cliquez sur Démarrer Tableau Server.
Tâches connexes
Le compte Exécuter en tant que service est essentiel pour de nombreuses opérations sur Tableau Server, tout particulièrement celles qui impliquent un accès distant aux données. Pour éviter les erreurs d’accès, passez en revue les tâches ici et suivez les liens vers celles qui s’appliquent à votre scénario.
- Si vous exécutez Tableau Server dans une organisation comportant plusieurs domaines Active Directory, voir Exigences d’approbation de domaine pour les déploiements Active Directory.
- L’activation de l’authentification unique Kerberos nécessite une configuration supplémentaire liée au compte Exécuter en tant que service. Pour activer l’authentification unique Kerberos avec Tableau Server, voir Kerberos.
- L’activation de l’emprunt d’identité nécessite une configuration supplémentaire liée au compte Exécuter en tant que service. Pour déployer et activer la simulation avec Microsoft SQL Server, voir Simuler avec des informations d’identification SQL intégrées.
- Si vous avez installé Tableau Server sur un lecteur autre que le lecteur système, vous devez configurer manuellement certaines autorisations pour le compte Exécuter en tant que service. Voir Paramètres requis du compte Exécuter en tant que service pour plus d’informations.
- Si vous avez modifié le compte Exécuter en tant que service, nous recommandons de révoquer manuellement les autorisations du compte précédent. Voir Révoquer les autorisations du compte Exécuter en tant que service.
- Si votre organisation utilise une solution proxy de redirection, il vous faudra peut-être reconfigurer les paramètres LAN locaux sur Tableau Server avec le compte Exécuter en tant que service. Voir Configurer un serveur proxy de transfert pour plus d’informations. Dans ce scénario, le compte Exécuter en tant que service doit également être configuré en tant que compte de connexion pour le contrôleur administratif Tableau Server et les opérations de clé produit. Consultez Configurer les opérations de clé produit avec un proxy de transfert.
- Si vous utilisez l’outil Resource Monitoring Tool dans votre entreprise, le compte de service Exécuter en tant que peut être utilisé pour authentifier et collecter des informations sur le matériel. Lors de la mise à jour d’un compte Exécuter en tant que, vérifiez la connectivité entre RMT et Tableau Server dans les paramètres d’environnement RMT :
- Connectez-vous à RMT en tant qu’administrateur.
- Accédez à la page Environnements (Administrateur > Environnements).
- Cliquez sur Modifier pour l’environnement qui a été mis à jour.
- Dans la liste Serveurs, vérifiez que chaque serveur affiche le service de l’Agent comme Connecté. Survolez l’état Connecté pour voir un horodatage du dernier message de pulsation reçu.