実行サービス アカウント
実行サービス アカウントは、Tableau Server がリソースへのアクセス時に使用する Windows アカウント ("実行するアカウント名") です。たとえば、Tableau Server は、Tableau Server がインストールされているコンピューター上でファイルの読み取りと書き込みを行います。Windows の観点からすると、Tableau Server は実行サービス アカウントとしてこれを実行します。場合によっては、Tableau Server は実行サービス アカウントを使用して、共有ネットワーク ディレクトリ上のデータベースやファイルなどの外部ソースからデータへアクセスすることがあります。
Tableau Server 展開を計画する際には、ローカルのネットワーク サービス アカウント (NT Authority\Network Service) で実行するよう構成された既定の実行サービス アカウントが、ニーズを満たしているかどうか判断する必要があります。そうでない場合、Active Directory ドメイン内のリソースへのアクセス権を持つドメイン アカウントで実行するよう、実行サービス アカウントを更新する必要があります。
注: Tableau Server バージョン 2023.3.x 以降から、実行サービス アカウントがドメイン アカウントを使用するように構成されている場合、管理者は tsm configuration set
コマンドを使用して、ファイル アクセス用のサーバー許可リストも構成する必要があります。許可リストは、ファイルベースのデータ ソースへのアクセスを、指定されたローカルまたは共有ディレクトリ パスに制限します。サーバーの許可リストを構成するための詳細とステップについては、「セキュリティ強化チェックリスト」を参照してください。
いずれの場合も、Tableau Server が実行サービス アカウントに使用するアカウントのセキュリティについて理解することが重要です。特に、Tableau Server が別のサーバー、ファイル共有、または Windows 認証を使用するデータベースにアクセスする必要がある場合、実行サービス アカウントに設定されたアカウントは、これらのリソースへのアクセスに使用されます。実行サービス アカウントに設定されたアカウントは、ローカル Tableau Server サーバーへのパーミッションも強化する必要があります。一般的なセキュリティのベスト プラクティスは、すべてのユーザー アカウントの範囲を最小限必要なパーミッションに制限することです。実行サービス アカウントを計画するときと推奨事項は同じです。詳細については、実行サービス アカウントを使用したデータ アクセスを参照してください
実行サービス アカウントには、ローカル管理者アカウントまたはドメイン管理者アカウントのメンバーを使用することはできません。代わりに、実行サービス アカウントの管理者ではないドメイン ユーザー アカウントを使用することをお勧めします。これらの管理者グループのメンバーではないドメイン アカウントを使用することは、優れたセキュリティ プラクティスであり、特定のデータ ソースおよびフォルダーへのアクセスを回避するのに役立ちます。実行サービス アカウントを作成する際のベスト プラクティスについては、「実行サービス アカウントの作成」を参照してください。
実行サービス アカウントは Tableau Server のインストール時に設定するか、Tableau サービス マネージャー の Web UI を使用して更新できます。Tableau Services Manager によって実行サービス アカウントのパーミッションが設定されますが、実行サービス アカウントとして使用するアカウントが要件を満たしているかわからない場合、または、実行サービス アカウントを変更してパーミッション エラーが発生した場合は、必要な実行サービス アカウント設定を参照してください。
既定の実行サービス アカウント: ネットワーク サービス
ネットワーク サービス アカウントは、すべての Windows コンピューター上に存在する、制限されたパーミッションを持つ事前定義されたローカル アカウントです。実行するローカル コンピューターへの管理アクセス権は制限されていますが、Active Directory の既定のユーザー グループのメンバーよりもリソースに対するアクセス権は多くなります。たとえば、ネットワーク サービス グループはレジストリ、イベント ログに書き込むことができ、アプリケーション サービスに対する特別なログオン権限を持ちます。
既定では、実行サービス アカウントはネットワーク サービスというローカル アカウントに設定されます。次の場合には既定のネットワーク サービス アカウントを使用します。
Tableau Server でローカル認証を使用している場合。
- 組織内のすべてのユーザーは、抽出データを Tableau Server にアップロードするワークブックに含みます。
- 単一サーバー展開で Tableau Server を実行している。
- Tableau Server 経由でユーザーがアクセスする外部データ ソースには、Windows NT 統合セキュリティや Kerberos は必要ありません。ほとんどのデータ アクセス シナリオでは、Microsoft SQL Server、MSAS、Teradata、および Oracle データベースで Windows NT 統合セキュリティを必要とします。
ネットワーク サービスは、同じ Active Directory ドメイン内のリモート コンピューター上のリソースへのアクセスに使用できますが、これらのシナリオの既定アカウントとして使用することはお勧めしません。代わりに、Tableau Server が環境内のデータ ソースに接続する必要がある場合、実行サービス アカウントのドメイン アカウントを設定してください。実行サービス アカウントの変更を参照してください。
実行サービス アカウント: ドメイン ユーザー
すべての Active Directory シナリオで、Tableau Server 実行サービス アカウントをドメイン ユーザー アカウントに更新することをお勧めします。Tableau Server 経由でアクセスしたデータ ソースに Windows NT 統合セキュリティまたは Kerberos が必要な場合は、実行サービス アカウントをドメイン ユーザー アカウントに更新します。
Tableau Server の分散展開を展開した場合、実行サービス アカウントをドメイン ユーザーまたは Windows ワークグループ ユーザーに更新する必要があります。いずれの場合も、すべてのサーバー ノードに同じユーザー アカウントを使用する必要があります。詳細については、分散環境の要件を参照してください。
ドメイン アカウントを使用するよう環境を設定するには、実行サービス アカウントの変更を参照してください。