実行サービス アカウントの変更

環境およびデータ アクセスの要件によっては、実行サービス アカウントの変更が必要な場合があります。実行サービス アカウントを変更する、次の 2 つの主要なシナリオがあります。

  • 既定の実行ローカル アカウント (NetworkService) をドメイン アカウントで置き換えている。データ ソースの大部分が Active Directory (Windows NT 統合セキュリティ) のコンテキストで認証される環境で運用する場合、ローカル アカウント (NetworkService) ではなく、ドメイン アカウントを使用するように実行サービスを設定する必要があります。
  • 既存のドメイン実行サービス アカウントを別のアカウントに変更している。

このトピックでは両方のシナリオを説明し、実行サービス アカウントのパスワードの更新方法を取り上げます。

実行サービス アカウントには、ローカル管理者アカウントまたはドメイン管理者アカウントのメンバーを使用することはできません。代わりに、実行サービス アカウントの管理者ではないドメイン ユーザー アカウントを使用することをお勧めします。これらの管理者グループのメンバーではないドメイン アカウントを使用することは、優れたセキュリティ プラクティスであり、特定のデータ ソースおよびフォルダーへのアクセスを回避するのに役立ちます。実行サービス アカウントを作成する際のベスト プラクティスについては、「実行サービス アカウントの作成」を参照してください。

注: Tableau Server バージョン 2023.3.x 以降から、実行サービス アカウントがドメイン アカウントを使用するように構成されている場合、管理者は tsm configuration set コマンドを使用して、ファイル アクセス用のサーバー許可リストも構成する必要があります。許可リストは、ファイルベースのデータ ソースへのアクセスを、指定されたローカルまたは共有ディレクトリ パスに制限します。サーバーの許可リストを構成するための詳細とステップについては、「セキュリティ強化チェックリスト」を参照してください。

既定の実行ローカル アカウント (NetworkService) をドメイン アカウントで置き換えている

既定の NetworkService アカウントをドメイン アカウントに置き換える予定の場合、実行サービス アカウント用の専用アカウントを使用することをお勧めします。次の手順に従います。

  1. Active Directory での実行サービス アカウントを作成する
  2. 実行サービス アカウントを使用するよう Tableau Server を構成する

実行サービス アカウントの作成

これらのベスト プラクティスに従います。

  • 実行サービス アカウントが組織内のユーザーに代わってデータにアクセスする方法を理解することが重要です。場合によっては、ユーザー アカウントが明示的にアクセス許可されていないデータにユーザーが誤ってアクセスすることがあります。実行サービス アカウントを作成する前に、 実行サービス アカウントを使用したデータ アクセスを確認してください。
  • Tableau Server 実行サービス アカウント用に、Active Directory で専用アカウントを作成します。つまり、既存のアカウントを使用しないでください。専用アカウントを使用することで、Tableau Server で自分がパーミッションを持つデータ リソースへのアクセスを、Tableau Server 実行サービスのみに設定できます。
  • 実行サービス アカウントを使用して、Active Directory のユーザーおよびグループ メンバーシップをクエリします。既定では、NetworkServices アカウントおよび既定のドメイン ユーザーに Active Directory へクエリするパーミッションがあります。実行サービス アカウントの読み取りパーミッションまたはクエリ パーミッションは制限しないでください。
  • ドメイン管理パーミッションを持つアカウントは使用しないでください。特に、Active Directory でアカウントを作成するときには、ドメイン ユーザー グループでアカウントを作成します。作成したアカウントを、そのアカウントのパーミッションを必要以上に高める Active Directory セキュリティ グループに追加しないでください。
  • このアカウントに対するディレクトリ内のデータ ソースのパーミッション。実行サービスに使用するアカウントには、適切なデータ ソースやネットワーク共有に対する読み取りアクセスのみが必要です。
  • 組織のユーザーをスマート カードを使用して認証する場合は、実行サービス アカウントに対するスマート カードのログオン オプションを無効にしてください。
  • システム ドライブ以外のドライブに Tableau Server をインストールしている場合は、実行サービスに追加パーミッションを許可するようにシステム ドライブを構成する必要があります。システム ドライブは Windows がインストールされているドライブです。たとえば、Windows を C:/ ドライブにインストールしている場合、C:/ がシステム ドライブとなります。Tableau Server を他のドライブ (D:/、E:/ など) にインストールする場合は、実行サービス アカウントにシステム ドライブのパーミッションを設定する必要があります。詳細については、必要な実行サービス アカウント設定を参照してください。

Tableau Server での実行サービス アカウントの構成

Active Directory で実行サービス アカウントを作成した後、そのアカウントを使用するよう Tableau Server を設定します。

初めての場合には TSM Web UI を使用し、実行サービス アカウントを構成します。

実行サービス アカウントの構成

  1. ブラウザーで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。

  2. セキュリティ タブをクリックして、次に 実行サービスアカウント タブをクリックします。

  3. ユーザーアカウント を選択してサービスアカウントのユーザー名およびパスワードを入力します。ドメイン名を domain\account と指定します。ここで、ドメイン名はユーザーがいる定義域の NetBIOS 名です。

  4. 保存 をクリックしてユーザー名とパスワードを検証します。

  5. 完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。

実行アカウントを更新した後、Tableau Server は入力したアカウントに対し、ローカル コンピューターのパーミッションを自動的に設定します。

既存のドメイン実行サービス アカウントを別のアカウントに変更している

既存のドメイン実行サービス アカウントを別のアカウントに変更するには、その新しいアカウントにパーミッションを適用する必要があります。パーミッションを新しい実行サービス アカウントに適用するには、まずパーミッションを既定の NetworkService アカウントに適用してリセットする必要があります。

開始する前に、実行サービス アカウントで使用する新しいアカウントが、以前に実行サービス アカウントの作成セクションで記載したベスト プラクティスに従っていることを確認してください。

この手順では Tableau Server サービスを 2 回再起動する必要があるため、営業時間外に実行するようにしてください。

TSM Web インターフェイスの使用
  1. ブラウザーで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。

  2. セキュリティ タブをクリックして、次に 実行サービスアカウント タブをクリックします。

  3. [ユーザー アカウント][NT Authority\NetworkService] を選択します。

  4. [保存] をクリックします。

  5. 完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。

  6. サーバーが再起動したら、TSM を開き、[実行サービス アカウント] タブに移動します。

  7. ユーザーアカウント を選択してサービスアカウントのユーザー名およびパスワードを入力します。ドメイン名を domain\account と指定します。ここで、ドメイン名はユーザーがいる定義域の NetBIOS 名です。

  8. 保存 をクリックしてユーザー名とパスワードを検証します。

  9. 完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。

  10. 以前のアカウントのパーミッションを取り消します。実行サービス アカウント パーミッションの取り消しを参照してください。

TSM CLI の使用
  1. 実行サービス アカウントを NetworkService にリセットします。次のコマンドを実行します。

    tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"

  2. 次のコマンドを実行し、この変更を保存して再起動します。

    tsm pending-changes apply

  3. 実行サービス アカウントを新しいアカウントに設定します。次のコマンドを実行します。

    tsm configuration set -k service.runas.username -v <domain\username>

    tsm configuration set -k service.runas.password -v "<password>"

    パスワードを二重引用符で囲み、文字列内の特殊文字が正しく処理されるようにします。保存時にパスワードを表示するには、次のコマンドを実行します。

    tsm pending-changes list

    パスワードは Active Directory で検証されます。有効な場合は、パスワードは暗号化され保存されます。TSM は成功または失敗をレポートしません。

  4. 次のコマンドを実行し、保存して再起動します。

    tsm pending-changes apply

    トラブルシューティング:

    • サーバーが起動したことを確認します。機能が低下した状態の場合、間違ったパスワードを入力した可能性があります。configuration get コマンドを実行し、保存されているパスワードを表示します。このコマンドは複合化し、パスワードをシェルに表示します。次のコマンドを実行します。

      tsm configuration get -k service.runas.password

      以前のパスワードが表示されたら、有効なパスワードを入力していないということです。

    • 正しいパスワードを入力し (ステップ 3 を参照)、次のコマンドを実行して保存および再起動します。

      tsm pending-changes apply

  5. 以前のアカウントのパーミッションを取り消します。実行サービス アカウント パーミッションの取り消しを参照してください。

実行サービス アカウントパスワードの更新

実行サービス アカウントのパスワードが Active Directory 内で更新済である場合は、Tableau Server で更新する必要があります。実行サービス アカウントのパスワードは暗号化されていて、Tableau Server に保存されています。詳細については、サーバー シークレットの管理を参照してください。

分散展開で Tableau Server を実行している場合は、クラスタ内の最初のノードで TSM を使用してパスワードを更新する必要のみあります。TSM はこの構成を各ノードに自動で分散させます。

TSM Web インターフェイスの使用
  1. ブラウザーで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。

  2. セキュリティ タブをクリックして、次に 実行サービスアカウント タブをクリックします。

  3. [ユーザー アカウント] でサービス アカウントのパスワードを入力します。

  4. [保存] をクリックしてパスワードを確認します。

  5. 完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。

TSM CLI の使用
  1. 新しいパスワードを設定します。次のコマンドを実行します。

    tsm configuration set -k service.runas.password -v "<password>"

    パスワードを二重引用符で囲み、文字列内の特殊文字が正しく処理されるようにします。特殊文字が正しくエスケープされていることを確認するには、次のコマンドを実行し、保存時にパスワードを表示します。

    tsm pending-changes list

    パスワードは Active Directory で検証されます。有効な場合は、パスワードは暗号化され保存されます。TSM は成功または失敗をレポートしません。

  2. 次のコマンドを実行し、保存して再起動します。

    tsm pending-changes apply

    トラブルシューティング:

    • サーバーが起動したことを確認します。機能が低下した状態の場合、間違ったパスワードを入力した可能性があります。configuration get コマンドを実行し、保存されているパスワードを表示します。このコマンドは複合化し、パスワードをシェルに表示します。次のコマンドを実行します。

      tsm configuration get -k service.runas.password

      以前のパスワードが表示されたら、有効なパスワードを入力していないということです。

    • 正しいパスワードを入力し (ステップ 1 を参照)、次のコマンドを実行して保存および再起動します。

      tsm pending-changes apply

トラブルシューティング: Microsoft Services コンソールでのパスワードの更新

実行サービス アカウントのパスワードの更新後にサービス エラーが表示される場合があります。その場合、Tableau Server サービス マネージャー サービスのパスワードを手動で更新する必要がある場合があります。Microsoft Services 管理コンソールでパスワードを更新します。

Tableau Server を分散展開で実行している場合は、クラスタ内の各ノードで以下の手順を実行する必要があります。

  1. Tableau Server を停止します。

    • TSM CLI を使用するには、次のコマンドを実行します。

      tsm stop

    • TSM Web UI を使用するには、ページの右上隅のステータスの横にあるドロップダウン リストをクリックし、[Tableau Server の停止] をクリックします。

  2. Tableau Server を実行している Windows コンピューターで、サービス MMC スナップインを開きます。

  3. Tableau Server サービス マネージャー サービスをダブルクリックし、プロパティ ページを開きます。

  4. [Tableau Server サービス マネージャーのプロパティ] ページで、[ログオン] タブをクリックし、サービス アカウントのパスワードを入力します。

  5. [適用][OK] の順にクリックします。

  6. サービス名を右クリックして [再起動] をクリックし、Tableau Server サービス マネージャー サービスを再起動します。

  7. Tableau Server を起動します。

    • TSM CLI を使用するには、次のコマンドを実行します。

      tsm start

    • TSM Web UI を使用するには、ページの右上隅のステータスの横にあるドロップダウン リストをクリックし、[Tableau Server の起動] をクリックします。

関連タスク

実行サービス アカウントは、Tableau Server の多くの操作 (特にリモート データ アクセスに関するもの) の中心にあります。アクセスのエラーを防ぐため、ここでタスクのレビューを行い、自分のシナリオに該当するリンクに従ってください。

  • 複数の Active Directory を使用する組織で Tableau Server を実行している場合は、Active Directory 展開のドメイン信頼要件を参照してください。
  • Kerberos シングル サインオンを有効にするには、実行サービス アカウントに関する追加の設定が必要です。Tableau Server で Kerberos シングル サインオンを有効にするには、Kerberosを参照してください。
  • 偽装を有効にするには、実行サービス アカウントに関する追加の設定が必要です。Microsoft SQL Server での偽装の展開および有効化の詳細については、埋め込み SQL 認証資格情報の偽装を参照してください。
  • システム ドライブ以外のドライブに Tableau Server をインストールしている場合は、実行サービス アカウントに対するパーミッションを手動で設定する必要があります。詳細については、必要な実行サービス アカウント設定を参照してください。
  • 実行サービス アカウントを変更した場合、以前のアカウントのパーミッションを取り消すことをお勧めします。実行サービス アカウント パーミッションの取り消しを参照してください。
  • 組織がフォワード プロキシ ソリューションを使用している場合は、実行サービス アカウントを使用して Tableau Server のローカル LAN 設定を再構成する必要が出る場合があります。詳細については、フォワード プロキシ サーバーの構成を参照してください。このシナリオでは、プロダクト キーの操作として、実行サービス アカウントを Tableau Server 管理コントローラーのログオン アカウントとして一時的に構成する必要もあります。フォワード プロキシを使用したプロダクト キー操作の構成を参照してください。
  • 企業で Resource Monitoring Tool を使用する場合、実行サービ スアカウントを使用してハードウェアの認証と情報収集を行うことがあります。実行サービス アカウントを更新する場合、RMT 環境設定で RMT と Tableau Server 間の接続性を確認します。
    1. 管理者として RMT にサインインします。
    2. [環境] ページに移動します ([管理者] > [環境])。
    3. 更新した環境の [編集] をクリックします。
    4. [サーバー] リストで、各サーバーに [エージェント サービス] が [Connected (接続済み)] と表示されていることを確認します。[接続済み] の上にカーソルを置くと、最後に受信したハートビート メッセージのタイムスタンプが表示されます。
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!