Modificare l’account servizio Esegui come
A seconda del tuo ambiente e dei requisiti di accesso ai dati, potresti voler o dover modificare l’account servizio Esegui come. Ci sono due casi principali in cui modificare l’account servizio Esegui come:
- Sostituzione dell’account locale Esegui come (NetworkService) con un account di dominio. Se utilizzi un ambiente in cui la maggior parte delle origini dati viene autenticata nel contesto di Active Directory (Sicurezza integrata di Windows NT), dovrai configurare l’account di servizio Esegui come per utilizzare un account di dominio e non l’account locale (NetworkService).
- Modifica di un account servizio Esegui come del dominio esistente in un account diverso.
In questo argomento vengono descritti entrambi i casi e viene descritto come aggiornare la password dell’account servizio Esegui come.
L’account utilizzato per l’account servizio Esegui come non deve essere un membro dell’account Amministratori locali o Amministratori di dominio. È invece consigliabile utilizzare un account utente di dominio che non è un amministratore per l’account servizio Esegui come. L’utilizzo di un account di dominio che non è un membro di questi gruppi di amministratori è una procedura consigliata di sicurezza e può contribuire a evitare l’accesso a determinate origini dati e cartelle. Per informazioni sulle procedure consigliate durante la creazione di un account servizio Esegui come, consulta Creazione dell’account servizio Esegui come.
Nota: a partire da Tableau Server versione 2023.3.x, se l’account di servizio Esegui come è configurato per l’utilizzo di un account di dominio, gli amministratori devono configurare anche un elenco consentiti del server per l’accesso ai file utilizzando il comando tsm configuration set
. L’elenco consentiti limita l’accesso all’origine dati basata su file ai percorsi di directory locali o condivisi specificati. Per ulteriori informazioni e dettagli sulle fasi per configurare un elenco consentiti del server, consulta Checklist per il miglioramento della sicurezza.
Sostituzione dell’account locale Esegui come (NetworkService) predefinito con un account di dominio
Se desideri sostituire l’account predefinito NetworkService con un account di dominio, è consigliabile utilizzare un account dedicato per l’account servizio Esegui come. Segui questi passaggi:
- Crea l’account servizio Esegui come in Active Directory
- Configura Tableau Server per l’utilizzo dell’account servizio Esegui come
Creazione dell’account servizio Esegui come
Segui queste procedure consigliate:
- È importante comprendere come l’account di servizio Esegui come accede ai dati per conto degli utenti dell’organizzazione. In alcuni casi, gli utenti possono accedere inavvertitamente a dati per i quali i relativi account utente non sono esplicitamente autorizzati. Prima di creare un account di servizio Esegui come, consulta Accesso ai dati con l’account di servizio Esegui come.
- Crea un account dedicato in Active Directory per l’account servizio Esegui come di Tableau Server. In altre parole, non usare un account esistente. Utilizzando un account dedicato, puoi verificare che le risorse dati per cui disponi dell’autorizzazione per Tableau Server siano accessibili solo dall’account servizio Esegui come di Tableau Server.
- L’account servizio Esegui come viene utilizzato per eseguire query su utenti e gruppi in Active Directory. Per impostazione predefinita, l’account NetworkServices e gli utenti di dominio predefiniti dispongono dell’autorizzazione necessaria per eseguire query su Active Directory. Non limitare le autorizzazioni di lettura o di query per l’account servizio Esegui come.
- Non utilizzare un account con delle autorizzazioni amministrative di dominio. In particolare, quando crei un account in Active Directory, crea un account nel dominio Gruppo utenti. Non aggiungere l’account creato a dei gruppi di sicurezza Active Directory che elevano inutilmente le autorizzazioni per l’account.
- Autorizza le origini dati nella tua directory per questo account. L’account utilizzato per l’esecuzione dell’account servizio Esegui come richiede l’accesso in lettura alle origini dati e alle condivisioni di rete appropriate.
- Se gli utenti dell’organizzazione eseguono l’autenticazione con smart card, disattiva l’opzione di accesso con smart card per l’account servizio Esegui come.
- Se hai installato Tableau Server su un drive diverso dal drive di sistema, dovrai configurare il drive di sistema per fornire autorizzazioni aggiuntive all’account servizio Esegui come. Il drive di sistema è quello in cui è installato Windows. Ad esempio, se Windows è stato installato nel drive C:/, allora C:/ è il drive di sistema. Se installai Tableau Server in qualsiasi altro drive (D:/, E:/, ecc.), dovrai configurare le autorizzazioni per l’account servizio Esegui come nel drive di sistema. Per maggiori informazioni, consulta Impostazioni richieste dell’account di servizio Esegui come.
Configurazione dell’account servizio Esegui come in Tableau Server
Dopo aver creato l’account servizio Esegui come in Active Directory, configura Tableau Server per utilizzare l’account.
Utilizza l’interfaccia utente Web di TSM per configurare l’account servizio Esegui come per la prima volta.
Configurazione dell’account servizio Esegui come
Apri TSM in un browser:
https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.
Fai clic sulla scheda Sicurezza e quindi sulla scheda Account servizio Esegui come.
Seleziona Account utente e immetti il nome utente e la password per l’account servizio. Specifica come nome di dominio
domain\account
, dove il nome di dominio è il nome NetBIOS del dominio in cui si trova l’utente:Fai clic su Salva per verificare il nome utente e la password.
Al termine, fai clic su Modifiche in sospeso, quindi su Applica modifiche e riavvia.
Dopo l’aggiornamento dell’account servizio Esegui come, Tableau Server configurerà automaticamente le autorizzazioni per il computer locale dell’account specificato.
Modifica di un account servizio Esegui come di dominio esistente in un account diverso
Per modificare un account servizio Esegui come di dominio esistente in un account diverso, devi applicare le autorizzazioni al nuovo account. Per applicare autorizzazioni al nuovo account servizio Esegui come, devi innanzitutto reimpostare le autorizzazioni applicandole all’account predefinito NetworkService.
Prima di iniziare, verifica che il nuovo account che utilizzi per l’account servizio Esegui come sia conforme alle procedure consigliate illustrate in precedenza nella sezione, Creazione dell’account servizio Esegui come.
Per eseguire questa procedura, devi riavviare i servizi di Tableau Server due volte, quindi esegui questa procedura fuori orario.
Apri TSM in un browser:
https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.
Fai clic sulla scheda Sicurezza e quindi sulla scheda Account servizio Esegui come.
In Account utente seleziona NT Authority\NetworkService.
Fai clic su Salva.
Al termine, fai clic su Modifiche in sospeso, quindi su Applica modifiche e riavvia.
Dopo il riavvio del server, apri TSM e passa alla scheda Account servizio Esegui come.
Seleziona Account utente e immetti il nome utente e la password per l’account servizio. Specifica come nome di dominio
domain\account
, dove il nome di dominio è il nome NetBIOS del dominio in cui si trova l’utente:Fai clic su Salva per verificare il nome utente e la password.
Al termine, fai clic su Modifiche in sospeso, quindi su Applica modifiche e riavvia.
Revoca le autorizzazioni per l’account precedente. Vedi Revocare le autorizzazioni per l’account di servizio Esegui come.
Reimposta l’account servizio Esegui come in NetworkService. Esegui questo comando:
tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"
Esegui il comando seguente per salvare la modifica e riavviare:
tsm pending-changes apply
Imposta l’account servizio Esegui come nel nuovo account. Esegui questi comandi:
tsm configuration set -k service.runas.username -v <domain\username>
tsm configuration set -k service.runas.password -v "<password>"
Racchiudi la password tra virgolette doppie per assicurarti che i caratteri speciali nella stringa vengano elaborati correttamente. Per visualizzare la password nel modo in cui verrà archiviata, esegui questo comando:
tsm pending-changes list
La password verrà convalidata con Active Directory. Se è valida, la password sarà criptata e salvata. TSM non segnala l’operazione riuscita o l’errore.
Esegui il comando seguente per salvare e riavviare:
tsm pending-changes apply
Risoluzione dei problemi:
Verifica che il server sia stato avviato. Se si trova in uno stato danneggiato, è possibile che tu abbia immesso una password errata. Visualizza la password memorizzata eseguendo il comando
configuration get
. Questo comando decritta e visualizza la password nello spazio. Esegui questo comando:tsm configuration get -k service.runas.password
Se visualizzi la password precedente, significa che non hai immesso una password valida.
Immetti la password corretta (vedi il passaggio 3) e quindi esegui il comando seguente per salvare e riavviare:
tsm pending-changes apply
Revoca le autorizzazioni per l’account precedente. Vedi Revocare le autorizzazioni per l’account di servizio Esegui come.
Aggiornamento della password dell’account servizio Esegui come
Se la password dell’account servizio Esegui come è stata aggiornata in Active Directory, devi aggiornarla per Tableau Server. La password dell’account servizio Esegui come viene crittografata e archiviata in Tableau Server. Per maggiori informazioni, consulta Gestire i segreti del server.
Se esegui Tableau Server in una distribuzione distribuita, devi aggiornare la password con TSM solo nel nodo iniziale del cluster. TSM distribuirà automaticamente questa configurazione a ogni nodo.
Apri TSM in un browser:
https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.
Fai clic sulla scheda Sicurezza e quindi sulla scheda Account servizio Esegui come.
In Account utenteimmetti la password per l’account servizio.
Fai clic su Salva per verificare la password.
Al termine, fai clic su Modifiche in sospeso, quindi su Applica modifiche e riavvia.
Imposta la nuova password. Esegui questo comando:
tsm configuration set -k service.runas.password -v "<password>"
Racchiudi la password tra virgolette doppie per assicurarti che i caratteri speciali nella stringa vengano elaborati correttamente. Per verificare che i caratteri speciali siano stati salvati correttamente, esegui il comando seguente per visualizzare la password che verrà memorizzata:
tsm pending-changes list
La password verrà convalidata con Active Directory. Se è valida, la password sarà criptata e salvata. TSM non segnala l’operazione riuscita o l’errore.
Esegui il comando seguente per salvare e riavviare:
tsm pending-changes apply
Risoluzione dei problemi:
Verifica che il server sia stato avviato. Se si trova in uno stato danneggiato, è possibile che tu abbia immesso una password errata. Visualizza la password memorizzata eseguendo il comando
configuration get
. Questo comando decritta e visualizza la password nello spazio. Esegui questo comando:tsm configuration get -k service.runas.password
Se visualizzi la password precedente, significa che non hai immesso una password valida.
Immetti la password corretta (vedi il passaggio 1) e quindi esegui il comando seguente per salvare e riavviare:
tsm pending-changes apply
Risoluzione dei problemi: aggiornamento della password nella console Microsoft Services
In alcuni casi potresti notare errori di servizio dopo l’aggiornamento della password dell’account servizio Esegui come. In questo caso, potresti dover aggiornare manualmente la password per il servizio Tableau Server Services Manager. Aggiorna la password nella console di gestione di Microsoft Services.
Se esegui Tableau Server in una distribuzione distribuita, devi eseguire la procedura seguente in ogni nodo del cluster.
Arresta Tableau Server.
Per utilizzare la CLI di TSM, esegui questo comando:
tsm stop
Per usare l’interfaccia utente Web di TSM, nella parte superiore della pagina fai clic sull’elenco a discesa accanto allo stato, quindi fai clic su Arresta Tableau Server:
Apri lo snap-in Servizi MMC sul computer Windows che esegue Tableau Server.
Fai doppio clic sul servizio Tableau Server Services Manager per aprire la pagina delle proprietà.
Nella pagina Proprietà di Tableau Server Services Manager fai clic sulla scheda Accedi e quindi immetti la password per l’account servizio.
Fai clic su Applica, quindi su OK.
Riavvia il servizio Tableau Server Services Manager facendo clic con il pulsante destro del mouse sul nome del servizio e quindi scegliendo Riavvia.
Avvia Tableau Server.
Per utilizzare la CLI di TSM, esegui questo comando:
tsm start
Per usare l’interfaccia utente Web di TSM, nella parte superiore della pagina fai clic sull’elenco a discesa accanto allo stato, quindi fai clic su Avvia Tableau Server.
Attività correlate
L’account servizio Esegui come è al centro di molte operazioni su Tableau Server, in particolare quelle inerenti l’accesso ai dati remoti. Per evitare errori di accesso, esamina qui le attività e segui i collegamenti per quelle che si applicano al tuo caso.
- Se esegui Tableau Server in un’organizzazione con più domini di Active Directory, consulta Requisiti di attendibilità dei domini per le distribuzioni di Active Directory.
- L’abilitazione dell’accesso Single Sign-On di Kerberos richiede ulteriori attività di configurazione correlate all’account di servizio Esegui come. Per abilitare l’accesso Single Sign-On di Kerberos con Tableau Server, consulta Kerberos.
- L’abilitazione della rappresentazione richiede ulteriori attività di configurazione correlate all’account servizio Esegui come. Per distribuire e abilitare la rappresentazione con Microsoft SQL Server, consulta Impersonare con le credenziali SQL incorporate.
- Se hai installato Tableau Server nel drive non di sistema, dovrai impostare manualmente alcune autorizzazioni per l’account servizio Esegui come. Per maggiori informazioni, consulta Impostazioni richieste dell’account di servizio Esegui come.
- Se hai modificato l’account di servizio Esegui come, ti consigliamo di revocare le autorizzazioni per l’account precedente. Vedi Revocare le autorizzazioni per l’account di servizio Esegui come.
- Se nell’organizzazione viene utilizzata una soluzione proxy di inoltro, potresti dover riconfigurare le impostazioni LAN locali in Tableau Server con l’account di servizio Esegui come. Per maggiori informazioni, consulta Configurare un server proxy di inoltro. In questo caso l’account servizio Esegui come deve essere configurato anche temporaneamente come account di accesso del Controller di amministrazione di Tableau Server per le operazioni del codice prodotto. Vedi Configurare le operazioni del codice prodotto con il proxy di inoltro.
- Se nella tua azienda utilizzi Resource Monitoring Tool (RMT), è possibile che venga utilizzato l’account servizio Esegui come per l’autenticazione e la raccolta delle informazioni sull’hardware. Durante l’aggiornamento di un account Esegui come conferma la connettività tra RMT e Tableau Server nelle impostazioni dell’ambiente RMT:
- Accedi a RMT come amministratore.
- Passa alla pagina Ambienti (Amministrazione > Ambienti).
- Fai clic su Modifica accanto all’ambiente che è stato aggiornato.
- Nell’elenco Server conferma che ogni server mostri il servizio agente come Connesso. Passa il puntatore del mouse sullo stato Connesso per visualizzare un timestamp dell’ultimo messaggio heartbeat ricevuto.