Alterar a conta de serviço Run As
Dependendo do ambiente e dos requisitos de acesso aos dados, talvez você queira ou precise alterar a conta de serviço Run As. Há dois cenários principais em que a conta de serviço Run As é alterada:
- Ao substituir a conta local Run As padrão (Serviço de rede) por uma conta de domínio. Se estiver operando em um ambiente no qual a maioria de suas fontes de dados é autenticada no contexto do Active Directory (segurança integrada do Windows NT), então será necessário configurar a conta de serviço Run As para usar uma conta de domínio, não a conta local (Serviço de rede).
- Ao alterar uma conta de serviço Run As de domínio existente para uma conta diferente.
Este tópico descreve ambos os cenários e como atualizar a senha da conta de serviço Run As.
A conta que você usa para serviço Run As não deve ser membro da conta Administradores locais ou Administradores de domínio. Em vez disso, recomendamos o uso de uma conta de usuário de domínio que não seja um administrador da conta de serviço Run As. Usar uma conta de domínio que não seja membro desses grupos de administradores é uma boa prática de segurança e pode ajudar a evitar o acesso a certas fontes de dados e pastas. Para obter informações sobre as práticas recomendadas ao criar uma conta de serviço Run As, consulte Criação da conta de serviço Run As .
Observação: começando no Tableau Server versão 2023.3.x, se a conta de serviço Run As estiver configurada para usar uma conta de domínio, os administradores também deverão configurar uma lista de permissões de servidor para acesso a arquivos usando o comando tsm configuration set
. A lista de permissões limita o acesso à fonte de dados baseada em arquivo a caminhos de diretório locais ou compartilhados especificados. Para obter mais informações e etapas para configurar uma lista de permissões de servidor, consulte Lista de verificação do reforço de segurança.
Substituição da conta local Run As padrão (Serviço de rede) por uma conta de domínio
Se você for substituir a conta Serviço de rede padrão por uma conta de domínio, é recomendável usar uma conta dedicada para a conta de serviço Run As. Siga estas etapas:
- Crie a conta de serviço Run As no Active Directory
- Configurar o Tableau Server para usar a conta de serviço Run As
Criação da conta de serviço Run As
Siga as práticas recomendadas:
- É importante entender como a conta de serviço Run As acessa os dados em nome dos usuários da organização. Em alguns casos, os usuários podem acessar inadvertidamente dados para os quais suas contas de usuário não estão explicitamente autorizadas. Antes de criar uma conta de serviço Run As, analise o Acesso aos dados com a conta de serviço Run As.
- Crie uma conta dedicada no Active Directory para a conta de serviço Run As do Tableau Server. Em outras palavras, não use uma conta existente. Ao usar uma conta dedicada, você terá certeza de que os recursos de dados permitidos para o Tableau Server estarão acessíveis apenas pela conta de serviço Run As do Tableau Server.
- A conta de serviço Run As é usada para consultar a inscrição de usuários e grupos no Active Directory. Por padrão, a conta NetworkServices e os usuários de domínio padrão têm permissão para consultar o Active Directory. Não limite a leitura ou consulte permissões para a conta de serviço Run As.
- Não use uma conta com qualquer tipo de permissões administrativas de domínio. Especificamente, quando você criar uma conta no Active Directory, crie uma conta no Grupo de usuários de domínio. Não adicione a conta criada a qualquer grupo de segurança do Active Directory que eleve sem necessidade as permissões da conta.
- Conceda permissões das fontes de dados em seu diretório para essa única conta. A conta que você usará para a conta de serviço Run As precisa apenas de acesso de Leitura às fontes de dados e aos compartilhamentos de rede apropriados.
- Se os usuários na empresa forem autenticados com smartcards, desabilite a opção de logon do smartcard para a conta de serviço Run As.
- Caso tenha instalado o Tableau Server em uma unidade que não seja a do sistema, será necessário configurar a unidade do sistema para conceder permissões adicionais à conta de serviço Run As. A unidade do sistema é a unidade na qual o Windows está instalado. Por exemplo, se tiver instalado o Windows na unidade C:/, então C:/ é a sua unidade de sistema. Se você instalar o Tableau Server em qualquer outra unidade (D:/, E:/ etc), será necessário configurar permissões para a conta de serviço Run As na unidade do sistema. Consulte Configurações exigidas da conta de serviço Run As para obter mais informações.
Configuração da conta de serviço Run As no Tableau Server
Depois de criar a conta de serviço Run As no Active Directory, configure o Tableau Server para usá-la.
Use a interface na Web do TSM para configurar a conta de serviço Run As pela primeira vez.
Para configurar a conta de serviço Run As
Abra o TSM em um navegador:
https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Clique na guia Segurança, em seguida clique na guia Conta de serviço Run As.
Selecione Conta de usuário em seguida insira o nome de usuário e a senha da conta de serviço. Especifique o nome de domínio como
domain\account
, onde o nome de domínio é o nome NetBIOS do domínio onde o usuário reside:Clique em Salvar para verificar o nome de usuário e senha.
Ao terminar, clique em Alterações pendentes, em seguida clique em Aplicar alterações e reiniciar..
Depois de atualizar a conta de serviço Run As, o Tableau Server configurará automaticamente as permissões no computador local para a conta inserida.
Alteração de uma conta de serviço Run As de domínio existente para uma conta diferente
Para alterar uma conta de serviço Run As de domínio existente para uma conta diferente, aplique permissões para essa nova conta. Para aplicar permissões à sua conta de serviço Run As, primeiro é necessário redefinir as permissões, aplicando-as à conta de Serviço de rede padrão.
Antes de começar, verifique se a nova conta que será usada para a conta de serviço Run As está em conformidade com as práticas recomendadas, mencionadas anteriormente na seção Criação da conta de serviço Run As.
Este procedimento exige a reinicialização dos serviços do Tableau Server duas vezes, portanto realize este procedimento fora do horário comercial.
Abra o TSM em um navegador:
https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Clique na guia Segurança, em seguida clique na guia Conta de serviço Run As.
Em Conta de usuário, selecione NT Authority\NetworkService.
Clique em Salvar.
Ao terminar, clique em Alterações pendentes, em seguida clique em Aplicar alterações e reiniciar..
Depois que o servidor reiniciar, abra o TSM e navegue até a guia Conta de serviço Run As.
Selecione Conta de usuário em seguida insira o nome de usuário e a senha da conta de serviço. Especifique o nome de domínio como
domain\account
, onde o nome de domínio é o nome NetBIOS do domínio onde o usuário reside:Clique em Salvar para verificar o nome de usuário e senha.
Ao terminar, clique em Alterações pendentes, em seguida clique em Aplicar alterações e reiniciar..
Revogue as permissões para a conta anterior. Consulte Revogar permissões da conta de serviço Run As.
Redefinir a conta de serviço Run As para o Serviço de rede. Execute o seguinte comando:
tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"
Execute o seguinte comando para salvar esta alteração e reiniciar:
tsm pending-changes apply
Configure a conta de serviço Run As para a nova conta. Execute os seguintes comandos:
tsm configuration set -k service.runas.username -v <domain\username>
tsm configuration set -k service.runas.password -v "<password>"
Coloque a senha entre aspas para garantir que os caracteres especiais na cadeia de caracteres sejam processados corretamente. Para exibir como a senha será armazenada, execute o comando a seguir:
tsm pending-changes list
A senha será validada com o Active Directory. Se válida, a senha será codificada e salva. O TSM não relatará sucesso ou falha.
Execute o seguinte comando para salvar e reiniciar:
tsm pending-changes apply
Solução de problemas:
Verifique se o servidor foi iniciado. Se estiver em um estado degradado, talvez você tenha inserido uma senha incorreta. Exiba a senha armazenada executando o comando
configuration get
. Este comando vai descriptografar e exibir a senha no shell. Execute o seguinte comando:tsm configuration get -k service.runas.password
Se a senha anterior estiver exibida, você não inseriu uma senha válida.
Insira a senha correta (consulte a Etapa 3) e execute o seguinte comando para salvar e reiniciar:
tsm pending-changes apply
Revogue as permissões para a conta anterior. Consulte Revogar permissões da conta de serviço Run As.
Atualização da senha da conta de serviço Run As
Se a senha da conta de serviço Run As foi atualizada no Active Directory, é necessário atualizá-la para o Tableau Server. A senha da conta de serviço Run As é codificada e armazenada no Tableau Server. Para obter mais informações, consulte Gerenciar segredos do servidor.
Se estiver executando o Tableau Server em uma implementação distribuída, precisará atualizar a senha somente com o TSM no nó inicial do cluster. O TSM distribuirá automaticamente essa configuração para todos os nós.
Abra o TSM em um navegador:
https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Clique na guia Segurança, em seguida clique na guia Conta de serviço Run As.
Em Conta de usuário, insira a senha da conta de serviço.
Clique em Salvar para verificar a senha.
Ao terminar, clique em Alterações pendentes, em seguida clique em Aplicar alterações e reiniciar..
Defina a nova senha. Execute o seguinte comando:
tsm configuration set -k service.runas.password -v "<password>"
Coloque a senha entre aspas para garantir que os caracteres especiais na cadeia de caracteres sejam processados corretamente. Para validar que o escape dos caracteres especiais foi realizado corretamente, execute o seguinte comando para exibir como a senha será armazenada:
tsm pending-changes list
A senha será validada com o Active Directory. Se válida, a senha será codificada e salva. O TSM não relatará sucesso ou falha.
Execute o seguinte comando para salvar e reiniciar:
tsm pending-changes apply
Solução de problemas:
Verifique se o servidor foi iniciado. Se estiver em um estado degradado, talvez você tenha inserido uma senha incorreta. Exiba a senha armazenada executando o comando
configuration get
. Este comando vai descriptografar e exibir a senha no shell. Execute o seguinte comando:tsm configuration get -k service.runas.password
Se a senha anterior estiver exibida, você não inseriu uma senha válida.
Insira a senha correta (consulte a Etapa 1) e execute o seguinte comando para salvar e reiniciar:
tsm pending-changes apply
Solução de problemas: atualizar a senha no console de Serviços da Microsoft
Em alguns casos, pode ocorrer falhas de serviço após atualizar a senha da conta de serviço Run As. Se isso acontecer, talvez seja necessário atualizar manualmente a senha do serviço do Tableau Server Services Manager. Atualize a senha no console de gerenciamento de Serviços da Microsoft.
Se você estiver executando o Tableau Server em uma implantação distribuída, execute o seguinte procedimento em cada nó do cluster.
Interrompa o Tableau Server.
Para usar a CLI do TSM, execute os comandos a seguir:
tsm stop
Para usar a interface do usuário da Web do TSM, no canto superior direito da página, clique na lista suspensa ao lado do status, em seguida, em Interromper o Tableau Server:
Abra o snap-in do MMC dos Serviços no computador com Windows no qual o Tableau Server está em execução.
Clique duas vezes no serviço do Tableau Server Services Manager para abrir a página de propriedades.
Na página Propriedades do Tableau Server Services Manager, clique na guia Fazer logon e insira a senha da conta de serviço.
Clique em Aplicar, em seguida, em OK.
Reinicie o serviço do Tableau Server Services Manager clicando com o botão direito do mouse no nome do serviço, em seguida, em Reiniciar.
Inicie o Tableau Server.
Para usar a CLI do TSM, execute os comandos a seguir:
tsm start
Para usar a interface do usuário da Web do TSM, no canto superior direito da página, clique na lista suspensa ao lado do status, em seguida, em Iniciar o Tableau Server.
Tarefas relacionadas
A conta de serviço Run As é essencial para diversas operações no Tableau Server, especificamente aquelas que envolvem o acesso a dados remotos. Para evitar erros de acesso, revise as tarefas aqui e siga os links daquelas que se aplicam à sua situação.
- Se estiver executando o Tableau Server em uma organização com vários domínios do Active Directory, consulte Requisitos de confiança de domínio para implantações do Active Directory.
- Para habilitar o logon único do Kerberos, é necessária a configuração adicional relacionada a conta de serviço Run As. Para habilitar o logon único do Kerberos com o Tableau Server, consulte Kerberos.
- A habilitação da representação precisa de configuração adicional relacionada a conta de serviço Run As. Para implantar e habilitar a representação com Microsoft SQL Server, consulte Representação com credenciais SQL inseridas.
- Caso tenha instalado o Tableau Server em uma unidade que não seja a do sistema, será necessário definir algumas permissões manualmente para a conta de serviço Run As. Consulte Configurações exigidas da conta de serviço Run As para obter mais informações.
- Se você alterou a conta de serviço Run As, recomendamos revogar as permissões da conta anterior. Consulte Revogar permissões da conta de serviço Run As.
- Se a sua empresa usa uma solução de proxy de encaminhamento, então pode ser necessário reconfigurar as configurações LAN locais no Tableau Server com a conta de serviço Run As. Consulte Configurar um servidor proxy de encaminhamento para obter mais informações. Neste cenário, a conta de serviço Run As também deve ser configurada temporariamente como a conta de logon do Controlador administrativo do Tableau Server para operações da chave do produto. Consulte Configurar operações da chave do produto com proxy de encaminhamento
- Se você estiver usando a Resource Monitoring Tool em sua empresa, a conta de serviço Run As pode ser usada para autenticar e coletar informações de Hardware. Ao atualizar uma conta Run As, confirme a conectividade entre o RMT e o Tableau Server nas configurações do ambiente RMT:
- Entre no RMT como administrador.
- Navegue até a página Ambientes (Admin > Ambientes).
- Clique em Editar para o ambiente que foi atualizado.
- Na lista Servidores, confirme se cada servidor mostra o Serviço do agente como conectado. Passe o mouse sobre o status Conectado para ver um carimbo de data/hora da última mensagem de pulsação recebida.