Account servizio Esegui come
L’account servizio Esegui come è un account Windows utilizzato da Tableau Server (\"runs as\") quando accede alle risorse.account that Tableau Server uses ("runs as") when it accesses resources. Ad esempio, Tableau Server legge e scrive file sul computer in cui è installato. Dal punto di vista di Windows, Tableau Server lo fa come account Servizio Esegui come. In alcuni casi, è possibile utilizzare l’account servizio Esegui come per accedere ai dati da origini esterne, ad esempio database o file in una directory di rete condivisa.
Quando pianifichi la tua distribuzione di Tableau Server, è necessario determinare se l’account predefinito di servizio Esegui come, configurato per l’esecuzione nel contesto dell’account Servizio di rete locale (NT Authority\Servizio di rete), sarà sufficiente per le tue esigenze. In caso contrario, sarà necessario aggiornare l’account di servizio Esegui come per utilizzarlo con un account di dominio che dispone di accesso alle risorse del dominio di Active Directory.
Nota: a partire da Tableau Server versione 2023.3.x, se l’account di servizio Esegui come è configurato per l’utilizzo di un account di dominio, gli amministratori devono configurare anche un elenco consentiti del server per l’accesso ai file utilizzando il comando tsm configuration set
. L’elenco consentiti limita l’accesso all’origine dati basata su file ai percorsi di directory locali o condivisi specificati. Per ulteriori informazioni e dettagli sulle fasi per configurare un elenco consentiti del server, consulta Checklist per il miglioramento della sicurezza.
In ogni caso, è importante comprendere le implicazioni di sicurezza dell’account utilizzato da Tableau Server per l’account servizio Esegui come. In particolare, se Tableau Server deve accedere ad altri server, condivisioni di file o database che utilizzano l’autenticazione di Windows, allora l’account che è configurato per l’account servizio Esegui come verrà utilizzato per l’accesso a quelle risorse. L’account configurato per il servizio Esegui come deve disporre inoltre di autorizzazioni elevate per il Tableau Server locale. Una best practice generale in materia di sicurezza consiste nel limitare l’ambito di tutti gli account utente alle autorizzazioni minime richieste. Ti consigliamo la medesima procedura per la pianificazione dell’account servizio Esegui come. Per maggiori informazioni, consulta Accesso ai dati con l’account di servizio Esegui come.
L’account utilizzato per l’account servizio Esegui come non deve essere un membro dell’account Amministratori locali o Amministratori di dominio. È invece consigliabile utilizzare un account utente di dominio che non è un amministratore per l’account servizio Esegui come. L’utilizzo di un account di dominio che non è un membro di questi gruppi di amministratori è una procedura consigliata di sicurezza e può contribuire a evitare l’accesso a determinate origini dati e cartelle. Per informazioni sulle procedure consigliate durante la creazione di un account servizio Esegui come, consulta Creazione dell’account servizio Esegui come.
È possibile impostare l’account servizio Esegui come durante l’installazione di Tableau Server oppure aggiornare l’account servizio Esegui come utilizzando l’interfaccia utente Web di TSM. Tableau Services Manager imposta le autorizzazioni per l’account di servizio Esegui come, ma se non sei sicuro se l’account che desideri utilizzare per l’esecuzione dell’account di servizio Esegui come soddisfi i requisiti, oppure se l’hai modificato e stai riscontrando errori di autorizzazione, consulta Impostazioni richieste dell’account di servizio Esegui come.
Account predefinito servizio Esegui come: Servizio di rete
L’account Servizio di rete è un account locale predefinito con autorizzazioni limitate che esiste in tutti i computer Windows. Sebbene abbia l’accesso amministrativo limitato al computer locale in cui viene eseguito, dispone di un maggior numero di accessi alle risorse rispetto ai membri del gruppo Utenti predefinito di Active Directory. Ad esempio, il gruppo Servizio di rete può scrivere nel registro di sistema, nel registro eventi e dispone di diritti speciali per l’accesso ai servizi delle applicazioni.
Per impostazione predefinita, l’account servizio Esegui come è impostato su un account locale denominato Servizio di rete. Utilizza l’account Servizio di rete predefinito quando:
Stai utilizzando l’autenticazione locale per Tableau Server.
- Tutti gli utenti della tua organizzazione includono i dati estratti nelle cartelle di lavoro che stanno caricando su Tableau Server.
- Stai eseguendo Tableau Server in una distribuzione a server singolo.
- Le origini dati esterne a cui gli utenti accedono tramite Tableau Server non richiedono la sicurezza integrata di Windows NT o Kerberos. Nella maggior parte degli scenari di accesso ai dati, i database Microsoft SQL Server, MSAS, Teradata e Oracle richiedono la sicurezza integrata di Windows NT.
Sebbene l’account Servizio di rete possa essere utilizzato per accedere alle risorse nei computer remoti all’interno dello stesso dominio di Active Directory, non consigliamo di utilizzare l’account predefinito per tali scenari. Invece, configura un account di dominio per l’account di servizio Esegui come se Tableau Server deve connettersi alle origini dati del tuo ambiente. Vedi Modificare l’account servizio Esegui come.
Account servizio Esegui come: utente di dominio
Per tutti gli scenari di Active Directory, è consigliabile aggiornare l’account servizio Esegui come di Tableau Server con un account utente di dominio. Aggiorna l’account servizio Esegui come a un account utente di dominio quando le origini dati a cui accedi tramite Tableau Server richiedono la sicurezza integrata di Windows NT o Kerberos.
Se hai implementato una distribuzione distribuita di Tableau Server, allora puoi aggiornare l’account servizio Esegui come con un utente di dominio o un utente di gruppo di lavoro di Windows. In entrambi i casi, è necessario utilizzare lo stesso account utente per tutti i nodi del server. Per maggiori informazioni, consulta Requisiti distribuiti.
Per configurare l’ambiente per l’utilizzo di un account di dominio, consulta Modificare l’account servizio Esegui come.