実行サービス アカウントの変更
環境およびデータ アクセスの要件によっては、実行サービス アカウントの変更が必要な場合があります。実行サービス アカウントを変更する、次の 2 つの主要なシナリオがあります。
- 既定の実行ローカル アカウント (NetworkService) をドメイン アカウントで置き換えている。データ ソースの大部分が Active Directory (Windows NT 統合セキュリティ) のコンテキストで認証される環境で運用する場合、ローカル アカウント (NetworkService) ではなく、ドメイン アカウントを使用するように実行サービスを設定する必要があります。
- 既存のドメイン実行サービス アカウントを別のアカウントに変更している。
このトピックでは両方のシナリオを説明し、実行サービス アカウントのパスワードの更新方法を取り上げます。
実行サービス アカウントには、ローカル管理者アカウントまたはドメイン管理者アカウントのメンバーを使用することはできません。代わりに、実行サービス アカウントの管理者ではないドメイン ユーザー アカウントを使用することをお勧めします。これらの管理者グループのメンバーではないドメイン アカウントを使用することは、優れたセキュリティ プラクティスであり、特定のデータ ソースおよびフォルダーへのアクセスを回避するのに役立ちます。実行サービス アカウントを作成する際のベスト プラクティスについては、「実行サービス アカウントの作成」を参照してください。
注: Tableau Server バージョン 2023.3.x 以降から、実行サービス アカウントがドメイン アカウントを使用するように構成されている場合、管理者は tsm configuration set コマンドを使用して、ファイル アクセス用のサーバー許可リストも構成する必要があります。許可リストは、ファイルベースのデータ ソースへのアクセスを、指定されたローカルまたは共有ディレクトリ パスに制限します。サーバーの許可リストを構成するための詳細とステップについては、「セキュリティ強化チェックリスト」を参照してください。
既定の実行ローカル アカウント (NetworkService) をドメイン アカウントで置き換えている
既定の NetworkService アカウントをドメイン アカウントに置き換える予定の場合、実行サービス アカウント用の専用アカウントを使用することをお勧めします。次の手順に従います。
- Active Directory での実行サービス アカウントを作成する
- 実行サービス アカウントを使用するよう Tableau Server を構成する
実行サービス アカウントの作成
これらのベスト プラクティスに従います。
- 実行サービス アカウントが組織内のユーザーに代わってデータにアクセスする方法を理解することが重要です。場合によっては、ユーザー アカウントが明示的にアクセス許可されていないデータにユーザーが誤ってアクセスすることがあります。実行サービス アカウントを作成する前に、 実行サービス アカウントを使用したデータ アクセスを確認してください。
- Tableau Server 実行サービス アカウント用に、Active Directory で専用アカウントを作成します。つまり、既存のアカウントを使用しないでください。専用アカウントを使用することで、Tableau Server で自分がパーミッションを持つデータ リソースへのアクセスを、Tableau Server 実行サービスのみに設定できます。
- 実行サービス アカウントを使用して、Active Directory のユーザーおよびグループ メンバーシップをクエリします。既定では、NetworkServices アカウントおよび既定のドメイン ユーザーに Active Directory へクエリするパーミッションがあります。実行サービス アカウントの読み取りパーミッションまたはクエリ パーミッションは制限しないでください。
- ドメイン管理パーミッションを持つアカウントは使用しないでください。特に、Active Directory でアカウントを作成するときには、ドメイン ユーザー グループでアカウントを作成します。作成したアカウントを、そのアカウントのパーミッションを必要以上に高める Active Directory セキュリティ グループに追加しないでください。
- このアカウントに対するディレクトリ内のデータ ソースのパーミッション。実行サービスに使用するアカウントには、適切なデータ ソースやネットワーク共有に対する読み取りアクセスのみが必要です。
- 組織のユーザーをスマート カードを使用して認証する場合は、実行サービス アカウントに対するスマート カードのログオン オプションを無効にしてください。
- システム ドライブ以外のドライブに Tableau Server をインストールしている場合は、実行サービスに追加パーミッションを許可するようにシステム ドライブを構成する必要があります。システム ドライブは Windows がインストールされているドライブです。たとえば、Windows を C:/ ドライブにインストールしている場合、C:/ がシステム ドライブとなります。Tableau Server を他のドライブ (D:/、E:/ など) にインストールする場合は、実行サービス アカウントにシステム ドライブのパーミッションを設定する必要があります。詳細については、必要な実行サービス アカウント設定を参照してください。
Tableau Server での実行サービス アカウントの構成
Active Directory で実行サービス アカウントを作成した後、そのアカウントを使用するよう Tableau Server を設定します。
初めての場合には TSM Web UI を使用し、実行サービス アカウントを構成します。
実行サービス アカウントの構成
ブラウザーで TSM を開きます。
https://<tsm-computer-name>:8850詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。
セキュリティ タブをクリックして、次に 実行サービスアカウント タブをクリックします。
ユーザーアカウント を選択してサービスアカウントのユーザー名およびパスワードを入力します。ドメイン名を
domain\accountと指定します。ここで、ドメイン名はユーザーがいる定義域の NetBIOS 名です。
保存 をクリックしてユーザー名とパスワードを検証します。
完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。
実行アカウントを更新した後、Tableau Server は入力したアカウントに対し、ローカル コンピューターのパーミッションを自動的に設定します。
既存のドメイン実行サービス アカウントを別のアカウントに変更している
既存のドメイン実行サービス アカウントを別のアカウントに変更するには、その新しいアカウントにパーミッションを適用する必要があります。パーミッションを新しい実行サービス アカウントに適用するには、まずパーミッションを既定の NetworkService アカウントに適用してリセットする必要があります。
開始する前に、実行サービス アカウントで使用する新しいアカウントが、以前に実行サービス アカウントの作成セクションで記載したベスト プラクティスに従っていることを確認してください。
この手順では Tableau Server サービスを 2 回再起動する必要があるため、営業時間外に実行するようにしてください。
ブラウザーで TSM を開きます。
https://<tsm-computer-name>:8850詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。
セキュリティ タブをクリックして、次に 実行サービスアカウント タブをクリックします。
[ユーザー アカウント] で [NT Authority\NetworkService] を選択します。
[保存] をクリックします。
完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。
サーバーが再起動したら、TSM を開き、[実行サービス アカウント] タブに移動します。
ユーザーアカウント を選択してサービスアカウントのユーザー名およびパスワードを入力します。ドメイン名を
domain\accountと指定します。ここで、ドメイン名はユーザーがいる定義域の NetBIOS 名です。保存 をクリックしてユーザー名とパスワードを検証します。
完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。
以前のアカウントのパーミッションを取り消します。実行サービス アカウント パーミッションの取り消しを参照してください。
実行サービス アカウントを NetworkService にリセットします。次のコマンドを実行します。
tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"次のコマンドを実行し、この変更を保存して再起動します。
tsm pending-changes apply実行サービス アカウントを新しいアカウントに設定します。次のコマンドを実行します。
tsm configuration set -k service.runas.username -v <domain\username>tsm configuration set -k service.runas.password -v "<password>"パスワードを二重引用符で囲み、文字列内の特殊文字が正しく処理されるようにします。保存時にパスワードを表示するには、次のコマンドを実行します。
tsm pending-changes listパスワードは Active Directory で検証されます。有効な場合は、パスワードは暗号化され保存されます。TSM は成功または失敗をレポートしません。
次のコマンドを実行し、保存して再起動します。
tsm pending-changes applyトラブルシューティング:
サーバーが起動したことを確認します。機能が低下した状態の場合、間違ったパスワードを入力した可能性があります。
configuration getコマンドを実行し、保存されているパスワードを表示します。このコマンドは複合化し、パスワードをシェルに表示します。次のコマンドを実行します。tsm configuration get -k service.runas.password以前のパスワードが表示されたら、有効なパスワードを入力していないということです。
正しいパスワードを入力し (ステップ 3 を参照)、次のコマンドを実行して保存および再起動します。
tsm pending-changes apply以前のアカウントのパーミッションを取り消します。実行サービス アカウント パーミッションの取り消しを参照してください。
実行サービス アカウントパスワードの更新
実行サービス アカウントのパスワードが Active Directory 内で更新済である場合は、Tableau Server で更新する必要があります。実行サービス アカウントのパスワードは暗号化されていて、Tableau Server に保存されています。詳細については、サーバー シークレットの管理を参照してください。
分散展開で Tableau Server を実行している場合は、クラスタ内の最初のノードで TSM を使用してパスワードを更新する必要のみあります。TSM はこの構成を各ノードに自動で分散させます。
ブラウザーで TSM を開きます。
https://<tsm-computer-name>:8850詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。
セキュリティ タブをクリックして、次に 実行サービスアカウント タブをクリックします。
[ユーザー アカウント] でサービス アカウントのパスワードを入力します。
[保存] をクリックしてパスワードを確認します。
完了したら、[変更を保留中] をクリックしてから [変更を適用して再起動] をクリックします。
新しいパスワードを設定します。次のコマンドを実行します。
tsm configuration set -k service.runas.password -v "<password>"パスワードを二重引用符で囲み、文字列内の特殊文字が正しく処理されるようにします。特殊文字が正しくエスケープされていることを確認するには、次のコマンドを実行し、保存時にパスワードを表示します。
tsm pending-changes listパスワードは Active Directory で検証されます。有効な場合は、パスワードは暗号化され保存されます。TSM は成功または失敗をレポートしません。
次のコマンドを実行し、保存して再起動します。
tsm pending-changes applyトラブルシューティング:
サーバーが起動したことを確認します。機能が低下した状態の場合、間違ったパスワードを入力した可能性があります。
configuration getコマンドを実行し、保存されているパスワードを表示します。このコマンドは複合化し、パスワードをシェルに表示します。次のコマンドを実行します。tsm configuration get -k service.runas.password以前のパスワードが表示されたら、有効なパスワードを入力していないということです。
正しいパスワードを入力し (ステップ 1 を参照)、次のコマンドを実行して保存および再起動します。
tsm pending-changes apply
トラブルシューティング: Microsoft Services コンソールでのパスワードの更新
実行サービス アカウントのパスワードの更新後にサービス エラーが表示される場合があります。その場合、Tableau Server サービス マネージャー サービスのパスワードを手動で更新する必要がある場合があります。Microsoft Services 管理コンソールでパスワードを更新します。
Tableau Server を分散展開で実行している場合は、クラスタ内の各ノードで以下の手順を実行する必要があります。
Tableau Server を停止します。
TSM CLI を使用するには、次のコマンドを実行します。
tsm stopTSM Web UI を使用するには、ページの右上隅のステータスの横にあるドロップダウン リストをクリックし、[Tableau Server の停止] をクリックします。
Tableau Server を実行している Windows コンピューターで、サービス MMC スナップインを開きます。
Tableau Server サービス マネージャー サービスをダブルクリックし、プロパティ ページを開きます。
[Tableau Server サービス マネージャーのプロパティ] ページで、[ログオン] タブをクリックし、サービス アカウントのパスワードを入力します。
[適用]、[OK] の順にクリックします。
サービス名を右クリックして [再起動] をクリックし、Tableau Server サービス マネージャー サービスを再起動します。
Tableau Server を起動します。
TSM CLI を使用するには、次のコマンドを実行します。
tsm startTSM Web UI を使用するには、ページの右上隅のステータスの横にあるドロップダウン リストをクリックし、[Tableau Server の起動] をクリックします。
関連タスク
実行サービス アカウントは、Tableau Server の多くの操作 (特にリモート データ アクセスに関するもの) の中心にあります。アクセスのエラーを防ぐため、ここでタスクのレビューを行い、自分のシナリオに該当するリンクに従ってください。
- 複数の Active Directory を使用する組織で Tableau Server を実行している場合は、Active Directory 展開のドメイン信頼要件を参照してください。
- Kerberos シングル サインオンを有効にするには、実行サービス アカウントに関する追加の設定が必要です。Tableau Server で Kerberos シングル サインオンを有効にするには、Kerberosを参照してください。
- 偽装を有効にするには、実行サービス アカウントに関する追加の設定が必要です。Microsoft SQL Server での偽装の展開および有効化の詳細については、埋め込み SQL 認証資格情報の偽装を参照してください。
- システム ドライブ以外のドライブに Tableau Server をインストールしている場合は、実行サービス アカウントに対するパーミッションを手動で設定する必要があります。詳細については、必要な実行サービス アカウント設定を参照してください。
- 実行サービス アカウントを変更した場合、以前のアカウントのパーミッションを取り消すことをお勧めします。実行サービス アカウント パーミッションの取り消しを参照してください。
- 組織がフォワード プロキシ ソリューションを使用している場合は、実行サービス アカウントを使用して Tableau Server のローカル LAN 設定を再構成する必要が出る場合があります。詳細については、フォワード プロキシ サーバーの構成を参照してください。このシナリオでは、プロダクト キーの操作として、実行サービス アカウントを Tableau Server 管理コントローラーのログオン アカウントとして一時的に構成する必要もあります。フォワード プロキシを使用したプロダクト キー操作の構成を参照してください。
- 企業で Resource Monitoring Tool を使用する場合、実行サービ スアカウントを使用してハードウェアの認証と情報収集を行うことがあります。実行サービス アカウントを更新する場合、RMT 環境設定で RMT と Tableau Server 間の接続性を確認します。
- 管理者として RMT にサインインします。
- [環境] ページに移動します ([管理者] > [環境])。
- 更新した環境の [編集] をクリックします。
- [サーバー] リストで、各サーバーに [エージェント サービス] が [Connected (接続済み)] と表示されていることを確認します。[接続済み] の上にカーソルを置くと、最後に受信したハートビート メッセージのタイムスタンプが表示されます。