Selon votre environnement et vos exigences en matière d’accès aux données, vous souhaiterez ou devrez peut-être modifier le compte Exécuter en tant que service. Vous pouvez modifier le compte Exécuter en tant que service selon deux scénarios principaux :

  • Remplacement du compte Exécuter en tant que compte local par défaut (NetworkService) par un compte de domaine. Si, dans votre environnement, une majorité de vos sources de données est authentifiée via Active Directory (sécurité intégrée Windows NT), vous devez configurer le compte Exécuter en tant que service de manière à ce qu'il utilise un compte de domaine, et non le compte local (NetworkService).
  • Modification d’un compte de domaine existant Exécuter en tant que service en un compte différent.

Cette rubrique décrit les deux scénarios et explique comment mettre à jour le mot de passe du compte Exécuter en tant que service.

Le compte que vous utilisez comme compte Exécuter en tant que service ne doit pas être membre du compte Administrateurs locaux ou Administrateurs de domaine. Au lieu de cela, nous vous recommandons d'utiliser un compte utilisateur de domaine qui n’est pas un administrateur du compte Exécuter en tant que service. L'utilisation d'un compte de domaine qui n'est pas membre de ces groupes d'administrateurs est une pratique de sécurité recommandée. Elle contribue à empêcher l'accès à des sources de données et des dossiers spécifiques. Pour plus d'informations sur les meilleures pratiques lors de la création d'un compte Exécuter en tant que service, consultez Création du compte Exécuter en tant que service.

Remplacement du compte Exécuter en tant que compte local par défaut (NetworkService) par un compte de domaine

Si vous comptez remplacer le compte NetworkService par défaut par un compte de domaine, nous vous recommandons d’utiliser un compte dédié pour le compte Exécuter en tant que service. Suivez ces étapes :

  1. Créer le compte Exécuter en tant que service dans Active Directory
  2. Configurer Tableau Server pour qu'il utilise le compte Exécuter en tant que service

Création du compte Exécuter en tant que service

Suivez ces recommandations :

  • Il est important de comprendre comment le compte Exécuter en tant que service accède aux données pour le compte des utilisateurs de votre entreprise. Dans certains cas, les utilisateurs peuvent accéder par inadvertance à des données pour lesquelles leurs comptes utilisateur ne sont pas explicitement autorisés. Avant de créer un compte Exécuter en tant que service, consultez Accès aux données avec le compte Exécuter en tant que service.
  • Créez un compte dédié dans Active Directory pour le compte Exécuter en tant que service Tableau Server. En d'autres termes, n'utilisez pas un compte existant. En utilisant un compte dédié, vous pouvez être sûr que les ressources de données auxquelles vous êtes autorisé à accéder pour Tableau Server ne sont accessibles que par le compte Exécuter en tant que service Tableau Server.
  • Le compte Exécuter en tant que service est utilisé pour interroger l'appartenance des utilisateurs et des groupes dans Active Directory. Par défaut, le compte NetworkServices et les utilisateurs du domaine par défaut sont autorisés à interroger Active Directory. Ne restreignez pas les autorisations de lecture ou d'interrogation pour le compte Exécuter en tant que service.
  • N'utilisez pas un compte avec n'importe quel type d'autorisation administrative de domaine. Plus spécifiquement, lorsque vous créez un compte dans Active Directory, créez un compte dans le groupe d'utilisateurs du domaine. N'ajoutez pas le compte que vous créez à des groupes de sécurité Active Directory qui élèvent les autorisations inutilement pour le compte.
  • Autorisez les sources de données dans votre répertoire pour ce compte. Le compte que vous utiliserez pour Exécuter en tant que service n'a besoin que d'un accès en lecture aux sources de données et partages réseau appropriés.
  • Si les utilisateurs dans votre entreprise s'authentifient par carte à puce, désactivez l'option de connexion par carte à puce pour le compte Exécuter en tant que service.
  • Si vous avez installé Tableau Server sur un lecteur autre que le lecteur système, vous devez configurer le lecteur système de manière à ce qu'il accorde des autorisations supplémentaires pour le compte Exécuter en tant que service. Le lecteur système est le lecteur sur lequel Windows est installé. Par exemple, si vous avez installé Windows sur le lecteur C:/, le lecteur C:/ est votre lecteur système. Si vous installez Tableau Server sur un autre lecteur (D:/, E:/, etc.), vous devez configurer les autorisations pour le compte Exécuter en tant que service sur le lecteur système. Voir Paramètres requis du compte Exécuter en tant que service pour plus d'informations.

Configurer le compte Exécuter en tant que service dans Tableau Server

Après avoir créé le compte Exécuter en tant que service dans Active Directory, configurez Tableau Server de manière à ce qu'il utilise ce compte.

Utilisez l’interface utilisateur Web TSM pour configurer le compte Exécuter en tant que service pour la première fois.

Pour configurer le compte Exécuter en tant que service

  1. Ouvrez TSM dans un navigateur :

    https://<tsm-computer-name>:8850. Pour plus d'informations, consultez Se connecter à l'interface utilisateur Web Tableau Services Manager.

  2. Cliquez sur l'onglet Sécurité puis sur l'onglet Compte Exécuter en tant que service.

  3. Sélectionnez Compte utilisateur puis entrez le nom d'utilisateur et le mot de passe pour le compte de service. Spécifiez le nom de domaine sous la forme domain\account, où le nom de domaine est le nom NetBIOS du domaine où réside l'utilisateur :

  4. Cliquez sur Enregistrer pour vérifier le nom d'utilisateur et le mot de passe.

  5. Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.

Une fois que vous avez mis à jour le compte Exécuter en tant que service, Tableau Server configure automatiquement les autorisations sur l'ordinateur local pour le compte que vous avez saisi.

Modification d’un compte de domaine existant Exécuter en tant que service en un compte différent

Pour modifier un compte Exécuter en tant que service en un compte différent, vous devez appliquer des autorisations à ce nouveau compte. Pour appliquer des autorisations à votre nouveau compte Exécuter en tant que service, vous devez d'abord réinitialiser les autorisations en les appliquant au compte NetworkService par défaut.

Avant de commencer, vérifiez que le nouveau compte que vous utiliserez pour le compte Exécuter en tant que service est conforme aux meilleures pratiques indiquées précédemment dans la section Création du compte Exécuter en tant que service.

Cette procédure exige que vous redémarriez les services Tableau Server à deux reprises, donc exécutez-la hors des heures de pointe.

Utiliser l'interface Web TSM
  1. Ouvrez TSM dans un navigateur :

    https://<tsm-computer-name>:8850. Pour plus d'informations, consultez Se connecter à l'interface utilisateur Web Tableau Services Manager.

  2. Cliquez sur l'onglet Sécurité puis sur l'onglet Compte Exécuter en tant que service.

  3. Sous Compte utilisateur, sélectionnez Autorité NT\NetworkService.

  4. Cliquez sur Enregistrer.

  5. Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.

  6. Après le redémarrage du serveur, ouvrez TSM et accédez à l’onglet Compte Exécuter en tant que service.

  7. Sélectionnez Compte utilisateur puis entrez le nom d'utilisateur et le mot de passe pour le compte de service. Spécifiez le nom de domaine sous la forme domain\account, où le nom de domaine est le nom NetBIOS du domaine où réside l'utilisateur :

  8. Cliquez sur Enregistrer pour vérifier le nom d'utilisateur et le mot de passe.

  9. Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.

  10. Révoquez les autorisations pour le compte précédent. Voir Révoquer les autorisations du compte Exécuter en tant que service.

Utiliser l'interface en ligne de commande TSM
  1. Réinitialisez le compte Exécuter en tant que service en NetworkService. Exécutez la commande suivante :

    tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"

  2. Exécutez la commande suivante pour enregistrer cette modification et redémarrer :

    tsm pending-changes apply

  3. Définissez le compte Exécuter en tant que service sur le nouveau compte. Exécutez les commandes suivantes :

    tsm configuration set -k service.runas.username -v <domain\username>

    tsm configuration set -k service.runas.password -v "<password>"

    Placez le mot de passe entre guillemets doubles pour que les caractères spéciaux de la chaîne soient traités correctement. Pour afficher le mot de passe tel qu'il sera enregistré, exécutez la commande suivante :

    tsm pending-changes list

    Le mot de passe sera validé avec Active Directory. S'il est valide, le mot de passe sera crypté et enregistré. TSM ne génère pas de rapport de succès ou d'échec.

  4. Exécutez la commande suivante pour enregistrer et redémarrer :

    tsm pending-changes apply

    Résolution des problèmes :

    • Vérifiez que le serveur a démarré. Si l’état est dégradé, vous avez peut-être entré un mot de passe incorrect. Affichez le mot de passe stocké en exécutant la commande configuration get. Cette commande décrypte et affiche le mot de passe dans l'interpréteur de commandes. Exécutez la commande suivante :

      tsm configuration get -k service.runas.password

      Si le précédent mot de passe s'affiche, vous n'avez pas entré un mot de passe valide.

    • Entrez le mot de passe correct (voir Étape 3), puis exécutez la commande suivante pour enregistrer et redémarrer :

      tsm pending-changes apply

  5. Révoquez les autorisations pour le compte précédent. Voir Révoquer les autorisations du compte Exécuter en tant que service.

Mise à jour du mot de passe du compte Exécuter en tant que service

Si le mot de passe du compte Exécuter en tant que service a été mis à jour dans Active Directory, vous devez le mettre à jour pour Tableau Server. Le mot de passe du compte Exécuter en tant que service est crypté et stocké sur Tableau Server. Pour plus d'informations, consultez Gérer les secrets de serveur.

Si vous exécutez Tableau Server dans un déploiement distribué, vous devez simplement mettre à jour le mot de passe avec TSM sur le nœud initial du cluster. TSM distribue automatiquement cette configuration sur chaque nœud.

Utiliser l'interface Web TSM
  1. Ouvrez TSM dans un navigateur :

    https://<tsm-computer-name>:8850. Pour plus d'informations, consultez Se connecter à l'interface utilisateur Web Tableau Services Manager.

  2. Cliquez sur l'onglet Sécurité puis sur l'onglet Compte Exécuter en tant que service.

  3. Sous Compte utilisateur, entrez le mot de passe du compte de service.

  4. Cliquez sur Enregistrer pour vérifier le mot de passe.

  5. Une fois que vous avez terminé, cliquez sur Modifications en attente, puis cliquez sur Appliquer les modifications et redémarrer.

Utiliser l'interface en ligne de commande TSM
  1. Définissez le nouveau mot de passe. Exécutez la commande suivante :

    tsm configuration set -k service.runas.password -v "<password>"

    Placez le mot de passe entre guillemets doubles pour que les caractères spéciaux de la chaîne soient traités correctement. Pour vérifier que l'échappement des caractères spéciaux est correct, exécutez la commande suivante pour afficher le mot de passe tel qu'il sera stocké :

    tsm pending-changes list

    Le mot de passe sera validé avec Active Directory. S'il est valide, le mot de passe sera crypté et enregistré. TSM ne génère pas de rapport de succès ou d'échec.

  2. Exécutez la commande suivante pour enregistrer et redémarrer :

    tsm pending-changes apply

    Résolution des problèmes :

    • Vérifiez que le serveur a démarré. Si l’état est dégradé, vous avez peut-être entré un mot de passe incorrect. Affichez le mot de passe stocké en exécutant la commande configuration get. Cette commande décrypte et affiche le mot de passe dans l'interpréteur de commandes. Exécutez la commande suivante :

      tsm configuration get -k service.runas.password

      Si le précédent mot de passe s'affiche, vous n'avez pas entré un mot de passe valide.

    • Entrez le mot de passe correct (voir Étape 1), puis exécutez la commande suivante pour enregistrer et redémarrer :

      tsm pending-changes apply

Résolution des problèmes : mettre à jour le mot de passe dans la console Microsoft Services

Dans certains cas, des échecs de service peuvent survenir après la mise à jour du mot de passe du compte Exécuter en tant que service. Dans ce cas, vous devrez peut-être mettre à jour manuellement le mot de passe du service Tableau Server Services Manager. Mettez à jour le mot de passe dans la console de gestion Microsoft Services.

Si vous exécutez Tableau Server dans un déploiement distribué, vous devez exécuter la procédure suivante sur chaque nœud du cluster.

  1. Arrêtez Tableau Server.

    • Pour utiliser l'interface en ligne de commande TSM, exécutez la commande suivante :

      tsm stop

    • Pour utiliser l'interface utilisateur Web TSM, dans le coin supérieur droit de la page, cliquez sur la liste déroulante en regard de l'état, puis cliquez sur Arrêter Tableau Server:

  2. Ouvrez le composant logiciel enfichable MMC Services sur l'ordinateur Windows qui exécute Tableau Server.

  3. Double-cliquez sur le service Tableau Server Services Manager pour ouvrir la page de propriétés.

  4. Sur la page Propriétés de Tableau Server Services Manager, cliquez sur l'onglet Connexion, puis entrez le mot de passe du compte de service.

  5. Cliquez sur Appliquer, puis sur OK.

  6. Redémarrez le service Tableau Server Services Manager en cliquant avec le bouton droit sur le nom du service, puis en cliquant sur Redémarrer.

  7. Démarrez Tableau Server.

    • Pour utiliser l'interface en ligne de commande TSM, exécutez la commande suivante :

      tsm start

    • Pour utiliser l'interface utilisateur Web TSM, en haut à droite de la page, cliquez sur la liste déroulante en regard de l'état, puis cliquez sur Démarrer Tableau Server.

Tâches connexes

Le compte Exécuter en tant que service est essentiel pour de nombreuses opérations sur Tableau Server, tout particulièrement celles qui impliquent un accès distant aux données. Pour éviter les erreurs d'accès, passez en revue les tâches ici et suivez les liens vers celles qui s'appliquent à votre scénario.

Merci de vos commentaires !