ローカル セキュリティ ポリシーの検証


Tableau サービスマネージャーで実行サービス アカウントを指定すると (実行サービス アカウントの変更トピックに記載)、Tableau サービスマネージャーによって、Tableau Server を実行中のコンピューターでローカル セキュリティ ポリシーが更新されます。Tableau サービスマネージャー はローカル セキュリティ ポリシーを更新し、"サービスとしてログオン" および "ローカルでログオン" パーミッションを実行サービス アカウントに付与します。これらのポリシーの強化は、実行サービス アカウントが Tableau Server アプリケーション マネージャー サービス (tabsvc) のセキュリティ コンテキストとして使用されるために必要です。

注: Tableau サービスマネージャーで指定した実行サービス アカウントがローカル管理者またはドメイン管理者のメンバーである場合、Tableau サービスマネージャー によってローカル セキュリティ ポリシーが更新されないことがあります。ローカルの管理者やドメイン管理者のメンバーであるアカウントに実行サービス アカウントを更新することは、優れたセキュリティ慣行ではありません。実行サービス アカウントにドメイン ユーザー アカウントを使用することをお勧めします。

場合によっては、実行サービス アカウントに対するセキュリティ ポリシーの手動設定が必要になる場合があります。たとえば、一部の組織では、ユーザー アカウントで設定された "サービスとしてログオン" または "ローカルでのログオンを許可" 権限を削除する Windows グループ ポリシーを実行している場合があります。または、組織が "サービスとしてのログオンを拒否" を指定することで、パーミッションの競合を生み出すポリシーを実行する場合があります。組織がこれを行っている場合は、実行サービス アカウントが影響を受けないようにグループ ポリシーを無効化または編集する必要があります。実行サービス アカウントを作成する際のベスト プラクティスについては、実行サービス アカウントの作成を参照してください。

次の手順は、セキュリティ ポリシーの [サービスとしてログオン] および [ローカルでのログオンを許可] を手動で構成する方法を説明しています。または、以下の手順を使用して、実行サービス アカウントにローカル セキュリティ ポリシー権限が適切に設定されていることを確認できます。たとえば、[サービスとしてのログオンを拒否] ポリシーで実行サービス アカウントが指定されていないことを検証する必要があります。

分散インストールを実行している場合、最初とすべての追加のノードの構成は同じにする必要があります。

ローカル セキュリティ ポリシーを検証または更新するには:

  1. [スタート] > [コントロール パネル] > [管理ツール] > [ローカル セキュリティ ポリシー] を選択します。

  2. ローカル セキュリティ ポリシーで [ローカル ポリシー] を開き、[ユーザー権限の割り当て] を選択します。

    サービスとしてログオン ポリシーを検証または設定するには:

    1. [サービスとしてログオン] ポリシーを右クリックしてから、[プロパティ] をクリックします。

      [サービスとしてログオン] ポリシーが強調表示されたローカル セキュリティ ポリシー ウィンドウ。

    2. [サービスとしてログオン] プロパティで、[ユーザーまたはグループの追加] をクリックします。
    3. Tableau Server の実行サービス アカウントとして <domain>\<username> を入力します (たとえば、MYCO\tableau_server)。次に、[名前の確認] をクリックします。
    4. アカウントが正常に解決されると、下線が挿入されます。[OK] をクリックします。

    ローカルでのログオンを許可のポリシーを検証または設定するには:

    1. [ローカルでのログオンを許可] ポリシーを右クリックし、[プロパティ] をクリックします。
    2. 実行サービス アカウントが指定されていることを確認します。指定されていない場合は、上記の手順に従い実行サービス アカウントを追加します。

    [サービスとしてのログオンを拒否] ポリシーで実行サービス アカウントが指定されていないことを検証するには:

    1. [サービスとしてのログオンを拒否する] ポリシーを右クリックし、[プロパティ] をクリックします。
    2. [サービスとしてのログオンを拒否] プロパティで、実行サービス アカウントがリストされていないことを確認します。リストされていた場合は、削除します。終了したら、[OK] をクリックします。

  3. [OK] をクリックして、[ローカル セキュリティ設定] ウィンドウを閉じます。

一番上に戻る