Conta de serviço Run As
A conta de serviço Run As é uma conta do Windows usada pelo Tableau Server ("runs as") quando ele acessa recursos. Por exemplo, o Tableau Server lê e grava arquivos no computador no qual está instalado. Pela perspectiva do Windows, o Tableau Server está fazendo isso como a conta de serviço Run As. Em alguns casos, o Tableau Server pode usar a conta do serviço Run As para acessar dados de fontes externas, como bancos de dados ou arquivos em um diretório de rede compartilhado.
Ao longo do planejamento da implantação do Tableau Server, é necessário determinar se a conta de serviço Run As padrão, configurado para ser executado no contexto da conta de Serviço de rede local (NT Authority\Network Service), será suficiente para o que você precisa. Caso não seja, será necessário atualizar a conta de serviço Run As para ser executado em uma conta de domínio que tenha acesso aos recursos em seu(s) domínio(s) do Active Directory.
Observação: começando no Tableau Server versão 2023.3.x, se a conta de serviço Run As estiver configurada para usar uma conta de domínio, os administradores também deverão configurar uma lista de permissões de servidor para acesso a arquivos usando o comando tsm configuration set
. A lista de permissões limita o acesso à fonte de dados baseada em arquivo a caminhos de diretório locais ou compartilhados especificados. Para obter mais informações e etapas para configurar uma lista de permissões de servidor, consulte Lista de verificação do reforço de segurança.
Seja como for, é importante entender as implicações de segurança da conta que o Tableau Server usa para a conta de serviço Run As. Especificamente, se o Tableau Server precisar acessar outros servidores, compartilhamentos de arquivos ou bancos de dados que usam autenticação do Windows, a conta configurada para a conta de serviço Run As será usada para acessar esses recursos. A conta que é configurada para a conta de serviço Run As também deve ter permissões elevadas para o Tableau Server local. Uma prática recomendada de segurança geral é limitar o escopo de todas as contas de usuário às permissões mínimas necessárias. Fazemos a mesma recomendação conforme você planeja a conta de serviço Run As. Para obter mais informações, consulte Acesso aos dados com a conta de serviço Run As
A conta que você usa para serviço Run As não deve ser membro da conta Administradores locais ou Administradores de domínio. Em vez disso, recomendamos o uso de uma conta de usuário de domínio que não seja um administrador da conta de serviço Run As. Usar uma conta de domínio que não seja membro desses grupos de administradores é uma boa prática de segurança e pode ajudar a evitar o acesso a certas fontes de dados e pastas. Para obter informações sobre as práticas recomendadas ao criar uma conta de serviço Run As, consulte Criação da conta de serviço Run As .
É possível definir a conta de serviço Run As durante a instalação do Tableau Server ou atualizar a conta de serviço Run As usando a interface do usuário na Web do TSM. O Tableau Services Manager define as permissões da conta de serviço Run As, mas se você não tiver certeza de que a conta que deseja usar para ser o usuário Run As está de acordo com os requisitos, ou se tiver alterado a conta de serviço Run As e estiver recebendo erros de permissão, consulte Configurações exigidas da conta de serviço Run As.
Conta padrão de serviço Run As: Serviço de rede
A conta de Serviço de rede é uma conta local predefinida com permissões limitadas que existem em todos os computadores Windows. Ainda que ela tenha acesso administrativo limitado ao computador local no qual ela é executada, ela tem mais acesso a recursos do que os membros do grupo de Usuários padrão do Active Directory. Por exemplo, o grupo de Serviço de rede pode gravar no Registro, no registro de eventos, e tem direitos especiais de conexão para serviços de aplicativos.
Por padrão, a conta de serviço Run As está definida como uma conta local chamada Serviço de rede. Use a conta de Serviço de rede padrão quando:
estiver usando uma autenticação local do Tableau Server.
- todos os usuários em sua organização incluírem dados extraídos nas planilhas que estão carregando para o Tableau Server.
- estiver executando o Tableau Server em uma implantação de servidor único.
- fontes de dados externas que seus usuários acessam pelo Tableau Server não precisarem da segurança integrada do Windows NT ou Kerberos. Na maioria dos cenários de acesso a dados, bancos de dados Microsoft SQL Server, MSAS, Teradata e Oracle precisam de segurança integrada do Windows NT.
Ainda que a conta de Serviço de rede possa ser usada para acessar os recursos em computadores remotos no mesmo domínio do Active Directory, não recomendamos usar a conta padrão nesse tipo de cenário. Em vez disso, configure uma conta de domínio para a conta de serviço Run As caso o Tableau Server precise se conectar a fontes de dados em seu ambiente. Consulte Alterar a conta de serviço Run As.
Conta de serviço Run As: usuário de domínio
Em todos os cenários do Active Directory, recomendamos atualizar a conta de serviço Run As do Tableau Server com uma conta de usuário de domínio. Atualize a conta de serviço Run As para uma conta de usuário de domínio quando as fontes de dados acessadas pelo Tableau Server precisarem da segurança integrada Windows NT ou Kerberos.
Caso tenha feito uma implantação distribuída do Tableau Server, será possível atualizar a conta de serviço Run As com um usuário de domínio ou um grupo de trabalho do Windows. Em ambos os casos, use a mesma conta de usuário para todos os nós do servidor. Consulte Requisitos distribuídos para obter mais informações.
Para configurar seu ambiente para usar uma conta de domínio, consulte Alterar a conta de serviço Run As.