Het ’Uitvoeren als service’-account wijzigen


Afhankelijk van uw omgeving en de vereisten voor datatoegang, wilt of moet u mogelijk het ’Uitvoeren als service’-account wijzigen. Er zijn twee hoofdscenario's waarin u het ’Uitvoeren als service’-account wijzigt:

  • Het standaard lokale ’Uitvoeren als service’-account (NetworkService) vervangen door een domeinaccount. Als u in een omgeving werkt waarin de meeste databronnen worden geverifieerd in de context van Active Directory (geïntegreerde beveiliging van Windows NT), moet u het ’Uitvoeren als service’-account configureren voor gebruik van een domeinaccount en niet het lokale account (NetworkService).
  • Een bestaand ’Uitvoeren als service’-account van een domein wijzigen naar een ander account.

In dit onderwerp worden beide scenario's beschreven en wordt uitgelegd hoe u het wachtwoord van het ’Uitvoeren als service’-account bijwerkt.

Het account dat u gebruikt als het Uitvoeren als service-account mag geen lid zijn van het account voor lokale beheerders of domeinbeheerders. In plaats daarvan raden we aan om een domeingebruikersaccount te gebruiken dat geen beheerder is voor het Uitvoeren als service-account. Het gebruik van een domeinaccount dat geen lid is van deze beheerdersgroepen is een goede manier van beveiliging die kan helpen toegang tot bepaalde databronnen en mappen te voorkomen. Zie Het ‘Uitvoeren als service’-account maken voor informatie over best practices bij het maken van een 'Uitvoeren als service'-account.

Opmerking: vanaf Tableau Server versie 2023.3.x moeten beheerders, als het ’Uitvoeren als service’-account is geconfigureerd voor gebruik van een domeinaccount, ook een toelatingslijst voor de server configureren voor bestandstoegang met de opdracht tsm configuration set. De toelatingslijst beperkt de toegang tot op bestanden gebaseerde databronnen tot opgegeven lokale of gedeelde directorypaden. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie en stappen om een toelatingslijst voor een server te configureren.

De standaard Uitvoeren als lokale account (NetworkService) vervangen door een domeinaccount

Als u het standaard NetworkService-account wilt vervangen door een domeinaccount, raden we aan een speciaal account te gebruiken voor het ’Uitvoeren als service’-account. Volg deze stappen:

  1. Maak het ‘Uitvoeren als service’-account aan in Active Directory
  2. Configureer Tableau Server om het ‘Uitvoeren als service’-account te gebruiken

Het ‘Uitvoeren als service’-account maken

Volg deze beste werkwijzen:

  • Het is belangrijk om te begrijpen hoe het ‘Uitvoeren als service’-account toegang krijgt tot data namens de gebruikers in uw organisatie. In sommige gevallen kunnen gebruikers onbedoeld toegang krijgen tot data waarvoor hun gebruikersaccounts geen expliciete toestemming hebben. Voordat u een ‘Uitvoeren als service’-account maakt, raadpleegt u Datatoegang met het ’Uitvoeren als service’-account.
  • Maak een speciaal account in Active Directory voor het Tableau Server ‘Uitvoeren als service’-account. Met andere woorden: gebruik geen bestaand account. Door een speciaal account te gebruiken, weet u zeker dat de databronnen waarvoor u machtigingen hebt voor Tableau Server, alleen toegankelijk zijn via het ‘Uitvoeren als service’-account van Tableau Server.
  • Het ‘Uitvoeren als service’-account wordt gebruikt om gebruikers en groepslidmaatschappen in Active Directory op te vragen. Standaard hebben de NetworkServices-account en de standaard domeingebruikers toestemming om Active Directory te raadplegen. Beperk de lees- of querymachtigingen voor het ‘Uitvoeren als service’-account niet.
  • Gebruik geen account met enige vorm van machtigingen voor domeinbeheer. Wanneer u een account in Active Directory aanmaakt, moet u specifiek een account in de groep met domeingebruikers aanmaken. Voeg het account dat u maakt niet toe aan Active Directory-beveiligingsgroepen die het niveau van de machtigingen voor het account onnodig verhogen.
  • Geef toestemming voor de databronnen in uw directory voor dit ene account. Het account dat u voor het ‘Uitvoeren als service’-account gebruikt, heeft alleen leestoegang nodig tot de juiste databronnen en netwerkshares.
  • Als gebruikers in uw organisatie zich verifiëren met smartcards, schakelt u de optie voor aanmelding via smartcards uit voor het ‘Uitvoeren als service’-account.
  • Als u Tableau Server op een ander station dan het systeemstation hebt geïnstalleerd, moet u het systeemstation configureren om het ‘Uitvoeren als service’-account extra machtigingen te verlenen. Het systeemstation is het station waarop Windows is geïnstalleerd. Als u Windows bijvoorbeeld op station C:/ hebt geïnstalleerd, dan is C:/ uw systeemstation. Als u Tableau Server op een ander station (D:/, E:/, enz.) installeert, moet u machtigingen configureren voor het ‘Uitvoeren als service’-account op het systeemstation. Zie Vereiste instellingen voor Uitvoeren als service-account voor meer informatie.

Het ‘Uitvoeren als service’-account configureren in Tableau Server

Nadat u het ‘Uitvoeren als service’-account in Active Directory hebt gemaakt, configureert u Tableau Server om dat account te gebruiken.

Gebruik de TSM-webinterface om het ‘Uitvoeren als service’-account voor de eerste keer te configureren.

Om het ‘Uitvoeren als service’-account te configureren

  1. Open TSM in een browser:

    https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.

  2. Klik op het tabblad Beveiliging en vervolgens op het tabblad ‘Uitvoeren als service’-account.

  3. Selecteer Gebruikersaccount en voer vervolgens de gebruikersnaam en het wachtwoord voor het serviceaccount in. Geef de domeinnaam op als domain\account, waarbij domeinnaam de NetBIOS-naam is van het domein waarin de gebruiker zich bevindt:

  4. Klik op Opslaan om de gebruikersnaam en het wachtwoord te verifiëren.

  5. Als u klaar bent, klikt u op Lopende wijzigingen en vervolgens op Wijzigingen toepassen en opnieuw starten.

Nadat u het ‘Uitvoeren als service’-account hebt bijgewerkt, configureert Tableau Server automatisch machtigingen op de lokale computer voor het account dat u hebt ingevoerd.

Een bestaand ‘Uitvoeren als service’-account van een domein wijzigen naar een ander account

Als u een bestaand ‘Uitvoeren als service’-account van een domein wilt wijzigen naar een ander account, moet u machtigingen toepassen op dat nieuwe account. Om machtigingen toe te passen op uw nieuwe ‘Uitvoeren als service’-account, moet u eerst de machtigingen opnieuw instellen door ze toe te passen op het standaard NetworkService-account.

Voordat u begint, controleert u of het nieuwe account dat u gaat gebruiken voor het ‘Uitvoeren als service’-account voldoet aan de beste werkwijzen die eerder in dit gedeelte zijn vermeld: Het ‘Uitvoeren als service’-account maken.

Voor deze procedure moet u de Tableau Server-services twee keer opnieuw opstarten. Voer deze procedure daarom buiten kantooruren uit.

De TSM-webinterface gebruiken

  1. Open TSM in een browser:

    https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.

  2. Klik op het tabblad Beveiliging en vervolgens op het tabblad ‘Uitvoeren als service’-account.

  3. Selecteer onder Gebruikersaccount NT Authority\NetwerkService.

  4. Klik op Opslaan.

  5. Als u klaar bent, klikt u op Lopende wijzigingen en vervolgens op Wijzigingen toepassen en opnieuw starten.

  6. Nadat de server opnieuw is opgestart, opent u TSM en gaat u naar het tabblad ‘Uitvoeren als service’-account.

  7. Selecteer Gebruikersaccount en voer vervolgens de gebruikersnaam en het wachtwoord voor het serviceaccount in. Geef de domeinnaam op als domain\account, waarbij domeinnaam de NetBIOS-naam is van het domein waarin de gebruiker zich bevindt:

  8. Klik op Opslaan om de gebruikersnaam en het wachtwoord te verifiëren.

  9. Als u klaar bent, klikt u op Lopende wijzigingen en vervolgens op Wijzigingen toepassen en opnieuw starten.

  10. Trek de machtigingen voor het vorige account in. Zie Machtigingen voor Uitvoeren als service-account intrekken.

De TSM CLI gebruiken

  1. Stel het ‘Uitvoeren als service’-account opnieuw in op NetworkService. Voer de volgende opdracht uit:

    tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"

  2. Voer de volgende opdracht uit om deze wijziging op te slaan en opnieuw op te starten:

    tsm pending-changes apply

  3. Stel het ‘Uitvoeren als service’-account in op het nieuwe account. Voer de volgende opdrachten uit:

    tsm configuration set -k service.runas.username -v <domain\username>

    tsm configuration set -k service.runas.password -v "<password>"

    Plaats het wachtwoord tussen dubbele aanhalingstekens om te zorgen dat speciale tekens in de tekenreeks correct worden verwerkt. Om het wachtwoord te bekijken zoals het wordt opgeslagen, voert u de volgende opdracht uit:

    tsm pending-changes list

    Het wachtwoord wordt gevalideerd met Active Directory. Als het wachtwoord geldig is, wordt het versleuteld en opgeslagen. TSM zal geen geslaagde of mislukte bewerking melden.

  4. Voer de volgende opdracht uit om op te slaan en opnieuw op te starten:

    tsm pending-changes apply

    Problemen oplossen:

    • Controleer of de server is gestart. Als de status Verslechterd is, hebt u mogelijk een onjuist wachtwoord ingevoerd. Bekijk het opgeslagen wachtwoord met de opdracht configuration get. Met deze opdracht wordt het wachtwoord ontsleuteld en in de shell weergegeven. Voer de volgende opdracht uit:

      tsm configuration get -k service.runas.password

      Als het vorige wachtwoord wordt weergegeven, heeft u geen geldig wachtwoord ingevoerd.

    • Voer het juiste wachtwoord in (zie stap 3) en voer vervolgens de volgende opdracht uit om op te slaan en opnieuw op te starten:

      tsm pending-changes apply

  5. Trek de machtigingen voor het vorige account in. Zie Machtigingen voor Uitvoeren als service-account intrekken.

Het wachtwoord van het ‘Uitvoeren als service’-account bijwerken

Als het wachtwoord voor het ‘Uitvoeren als service’-account in Active Directory is bijgewerkt, moet u dit ook voor Tableau Server bijwerken. Het wachtwoord van het ‘Uitvoeren als service’-account is versleuteld en opgeslagen op Tableau Server. Zie Servergeheimen beheren voor meer informatie.

Als u Tableau Server uitvoert in een gedistribueerde implementatie, hoeft u het wachtwoord alleen met TSM bij te werken op het initiële knooppunt in de cluster. TSM distribueert deze configuratie automatisch naar elk knooppunt.

De TSM-webinterface gebruiken

  1. Open TSM in een browser:

    https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.

  2. Klik op het tabblad Beveiliging en vervolgens op het tabblad ‘Uitvoeren als service’-account.

  3. Voer onder Gebruikersaccount het wachtwoord voor het serviceaccount in.

  4. Klik op Opslaan om het wachtwoord te verifiëren.

  5. Als u klaar bent, klikt u op Lopende wijzigingen en vervolgens op Wijzigingen toepassen en opnieuw starten.

De TSM CLI gebruiken

  1. Het nieuwe wachtwoord instellen. Voer de volgende opdracht uit:

    tsm configuration set -k service.runas.password -v "<password>"

    Plaats het wachtwoord tussen dubbele aanhalingstekens om te zorgen dat speciale tekens in de tekenreeks correct worden verwerkt. Om te valideren dat speciale tekens correct zijn verwerkt, voert u de volgende opdracht uit om het wachtwoord te bekijken zoals het wordt opgeslagen:

    tsm pending-changes list

    Het wachtwoord wordt gevalideerd met Active Directory. Als het wachtwoord geldig is, wordt het versleuteld en opgeslagen. TSM zal geen geslaagde of mislukte bewerking melden.

  2. Voer de volgende opdracht uit om op te slaan en opnieuw op te starten:

    tsm pending-changes apply

    Problemen oplossen:

    • Controleer of de server is gestart. Als de status Verslechterd is, hebt u mogelijk een onjuist wachtwoord ingevoerd. Bekijk het opgeslagen wachtwoord met de opdracht configuration get. Met deze opdracht wordt het wachtwoord ontsleuteld en in de shell weergegeven. Voer de volgende opdracht uit:

      tsm configuration get -k service.runas.password

      Als het vorige wachtwoord wordt weergegeven, heeft u geen geldig wachtwoord ingevoerd.

    • Voer het juiste wachtwoord in (zie stap 1) en voer vervolgens de volgende opdracht uit om op te slaan en opnieuw op te starten:

      tsm pending-changes apply

Problemen oplossen: het wachtwoord bijwerken in de Microsoft Services-console

In sommige gevallen kunnen er servicefouten optreden nadat u het wachtwoord voor het ‘Uitvoeren als service’-account hebt bijgewerkt. Als dat het geval is, moet u mogelijk handmatig het wachtwoord bijwerken voor de service Tableau Server Services Manager. Werk het wachtwoord bij in de Microsoft Services-beheerconsole.

Als u Tableau Server uitvoert in een gedistribueerde implementatie, moet u de volgende procedure volgen voor elk knooppunt in de cluster.

  1. Stop Tableau Server.

    • Voer de volgende opdracht uit om de TSM CLI te gebruiken:

      tsm stop

    • Om de TSM-webinterface te gebruiken, klikt u rechtsboven op de pagina op de vervolgkeuzelijst naast de status. Klik vervolgens op Tableau-server stoppen:

  2. Open de MMC-module Services op de Windows-computer waarop Tableau Server wordt uitgevoerd.

  3. Dubbelklik op de service Tableau Server Services Manager om de pagina Eigenschappen te openen.

  4. Klik op de pagina Eigenschappen van Tableau Server Services Manager klik op het tabblad Aanmelden. Voer vervolgens het wachtwoord voor het serviceaccount in.

  5. Klik op Toepassen en vervolgens op OK.

  6. Start de service Tableau Server Services Manager opnieuw door met de rechtermuisknop op de servicenaam te klikken en vervolgens op Opnieuw starten.

  7. Start Tableau Server.

    • Voer de volgende opdracht uit om de TSM CLI te gebruiken:

      tsm start

    • Om de TSM-webinterface te gebruiken, klikt u rechtsboven op de pagina op de vervolgkeuzelijst naast de status. Klik vervolgens op Tableau-server starten:

Gerelateerde taken

Het ‘Uitvoeren als service’-account is essentieel voor veel bewerkingen op Tableau Server. Vooral voor bewerkingen die te maken hebben met externe toegang tot data. Om toegangsfouten te voorkomen, bekijkt u de taken hier en volgt u de links voor de taken die op uw scenario van toepassing zijn.

  • Raadpleeg Vereisten voor domeinvertrouwen voor Active Directory-implementaties als u Tableau Server gebruikt in een organisatie met meerdere Active Directory-domeinen.
  • Om eenmalige aanmelding via Kerberos in te schakelen, is aanvullende configuratie vereist voor het ‘Uitvoeren als service’-account. Zie Kerberos voor het inschakelen van eenmalige aanmelding via Kerberos met Tableau Server.
  • Om nabootsen in te schakelen, is aanvullende configuratie vereist voor het ‘Uitvoeren als service’-account. Zie Imiteren met ingesloten SQL-referenties voor het implementeren en inschakelen van nabootsen met Microsoft SQL Server.
  • Als u Tableau Server op een niet-systeemstation hebt geïnstalleerd, moet u handmatig enkele machtigingen instellen voor het ‘Uitvoeren als service’-account. Zie Vereiste instellingen voor Uitvoeren als service-account voor meer informatie.
  • Als u het ‘Uitvoeren als service’-account hebt gewijzigd, raden we aan de machtigingen voor het vorige account in te trekken. Zie Machtigingen voor Uitvoeren als service-account intrekken.
  • Als uw organisatie een oplossing voor forward-proxy’s gebruikt, moet u mogelijk de lokale LAN-instellingen op de Tableau Server opnieuw configureren met het ‘Uitvoeren als service’-account. Zie Een forward-proxyserver configureren voor meer informatie. In dit scenario moet het ‘Uitvoeren als service’-account ook tijdelijk worden geconfigureerd als het account voor aanmelden voor Tableau Server Administrative Controller voor bewerkingen inzake productcodes. Zie Productcodebewerkingen configureren met forward-proxy
  • Als u de Resource Monitoring Tool binnen uw bedrijf gebruikt, kunt u het ‘Uitvoeren als service’-account gebruiken om hardwaredata te verifiëren en te verzamelen. Wanneer u een ‘Uitvoeren als service’-account bijwerkt, bevestigt u de connectiviteit tussen RMT en Tableau Server in de instellingen van de RMT-omgeving:
    1. Meld u als beheerder aan bij RMT.
    2. Ga naar de pagina Omgevingen (Beheer > Omgevingen).
    3. Klik op Bewerken voor de omgeving die is bijgewerkt.
    4. Bevestig in de lijst Servers of elke server de agentservice als Verbonden weergeeft. Beweeg de cursor over de status Verbonden om een tijdstempel te zien van het laatste ontvangen heartbeat-bericht.
Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.