'Uitvoeren als service'-account
De account Uitvoeren als is een Windows-account dat Tableau Server gebruikt (‘uitvoert als’) bij toegang tot bronnen. Tableau Server leest en schrijft bijvoorbeeld bestanden op de computer waarop Tableau Server is geïnstalleerd. Vanuit het perspectief van Windows doet Tableau Server dit als het ‘Uitvoeren als service’-account. In sommige gevallen kan Tableau Server het ‘Uitvoeren als service’-account gebruiken voor toegang tot data uit externe bronnen, zoals databases of bestanden in een gedeelde netwerkdirectory.
Bij het plannen van uw Tableau Server-implementatie moet u bepalen of het standaard ‘Uitvoeren als service’-account, geconfigureerd voor uitvoeren onder de context van het lokale Network Service-account (NT Authority\Network Service), volstaat voor uw behoeften. Als dit niet het geval is, moet u het ‘Uitvoeren als service’-account bijwerken, zodat het wordt uitgevoerd in een domeinaccount met toegang tot de bronnen in uw Active Directory-domein(en).
Opmerking: vanaf Tableau Server versie 2023.3.x moeten beheerders, als het ’Uitvoeren als service’-account is geconfigureerd voor gebruik van een domeinaccount, ook een toelatingslijst voor de server configureren voor bestandstoegang met de opdracht tsm configuration set. De toelatingslijst beperkt de toegang tot op bestanden gebaseerde databronnen tot opgegeven lokale of gedeelde directorypaden. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie en stappen om een toelatingslijst voor een server te configureren.
In beide gevallen is het belangrijk om de beveiligingsimplicaties te begrijpen van het account dat Tableau Server gebruikt voor het ’Uitvoeren als service’-account. Als Tableau Server specifiek toegang nodig heeft tot andere servers, bestandsshares of databases die Windows-verificatie gebruiken, wordt het account dat is geconfigureerd voor het ’Uitvoeren als service’-account gebruikt voor toegang tot die bronnen. Het account dat is geconfigureerd voor het ‘Uitvoeren als service’-account moet ook hogere machtigingen hebben voor de lokale Tableau Server. Een algemene beste werkwijze bij beveiliging is om de reikwijdte van alle gebruikersaccounts te beperken tot de minimaal vereiste machtigingen. We adviseren u hetzelfde als bij het plannen van een ‘Uitvoeren als service’-account. Zie Datatoegang met het ’Uitvoeren als service’-account voor meer informatie.
Het account dat u gebruikt als het Uitvoeren als service-account mag geen lid zijn van het account voor lokale beheerders of domeinbeheerders. In plaats daarvan raden we aan om een domeingebruikersaccount te gebruiken dat geen beheerder is voor het Uitvoeren als service-account. Het gebruik van een domeinaccount dat geen lid is van deze beheerdersgroepen is een goede manier van beveiliging die kan helpen toegang tot bepaalde databronnen en mappen te voorkomen. Zie Het ‘Uitvoeren als service’-account maken voor informatie over best practices bij het maken van een 'Uitvoeren als service'-account.
U kunt het ‘Uitvoeren als service’-account instellen tijdens de installatie van Tableau Server, of bijwerken via de TSM-webinterface. Tableau Services Manager stelt machtigingen in voor het ‘Uitvoeren als service’-account. Maar als u niet zeker weet of het account dat u wilt gebruiken voor het ’Uitvoeren als service’-account aan de vereisten voldoet, of als u het ’Uitvoeren als service’-account hebt gewijzigd en machtigingsfouten krijgt, kunt u Vereiste instellingen voor Uitvoeren als service-account raadplegen.
Standaard ’Uitvoeren als service’-account: netwerkservice
Het serviceaccount van het netwerk is een vooraf gedefinieerd lokaal account met beperkte machtigingen dat op alle Windows-computers aanwezig is. Hoewel beheerdersrechten beperkt zijn tot de lokale computer waarop het wordt uitgevoerd, heeft het wel meer toegang tot bronnen dan leden van de standaard gebruikersgroep van Active Directory. De groep Netwerkservice kan bijvoorbeeld naar het register en het gebeurtenislogboek schrijven en heeft speciale rechten om aan te melden voor services van toepassingen.
Standaard is het ’Uitvoeren als service’-account ingesteld op een lokaal account met de naam Netwerkservice. Gebruik het standaard serviceaccount voor het netwerk wanneer:
U lokale verificatie gebruikt voor Tableau Server.
- Alle gebruikers in uw organisatie geëxtraheerde data opnemen in de werkmappen die ze uploaden naar Tableau Server.
- U Tableau Server uitvoert in een implementatie met één server.
- Voor externe databronnen waartoe uw gebruikers via Tableau Server toegang hebben, is geen geïntegreerde beveiliging van Windows NT of Kerberos vereist. In de meeste scenario's voor datatoegang vereisen Microsoft SQL Server-, MSAS-, Teradata- en Oracle-databases geïntegreerde beveiliging van Windows NT.
Hoewel het serviceaccount van het netwerk kan worden gebruikt voor toegang tot bronnen op externe computers binnen hetzelfde Active Directory-domein, raden we u af om het standaardaccount voor dergelijke scenario's te gebruiken. Configureer in plaats daarvan een domeinaccount voor het ’Uitvoeren als service’-account als Tableau Server verbinding moet maken met databronnen in uw omgeving. Zie Het ’Uitvoeren als service’-account wijzigen.
’Uitvoeren als service’-account: domeingebruiker
Voor alle Active Directory-scenario's raden we aan om het ’Uitvoeren als service’-account van Tableau Server bij te werken met een account van een domeingebruiker. Werk het ’Uitvoeren als service’-account bij naar een account van een domeingebruiker wanneer databronnen die via Tableau Server worden geopend, geïntegreerde beveiliging van Windows NT of Kerberos vereisen.
Als u een gedistribueerde implementatie van Tableau Server hebt geïmplementeerd, kunt u het ’Uitvoeren als service’-account bijwerken met een domeingebruiker of een Windows-werkgroepgebruiker. In beide gevallen moet u voor alle serverknooppunten hetzelfde gebruikersaccount gebruiken. Zie Gedistribueerde vereisten voor meer informatie.
Zie Het ’Uitvoeren als service’-account wijzigen voor het configureren van uw omgeving om een domeinaccount te gebruiken.