Kör som tjänst-konto
Kör som tjänst-konto är ett Windows-konto som Tableau Server använder (”runs as”) för att öppna resurser. Tableau Server läser och skriver till exempel filer på datorn där Tableau Server är installerat. Ur Windows perspektiv gör Tableau Server detta som kör som tjänst-kontot. I vissa fall kan Tableau Server använda kör som tjänst-kontot för att komma åt data från externa källor, såsom databaser eller filer i en delad nätverkskatalog.
När du planerar din Tableau Server-driftsättning måste du avgöra om standardkör som tjänst-konto, som är konfigurerat för att köras under det lokala nätverkstjänstkontot (NT Authority\Network Service), räcker för dina behov. Om det inte gör det måste du uppdatera kör som tjänst-kontot för att köras under ett domänkonto som har åtkomst till resurserna i dina Active Directory-domäner.
Obs! Om Kör som tjänst-kontot har konfigurerats för att använda ett domänkonto, måste administratörer från och med Tableau Server version 2023.3.x också konfigurera en godkännandelista för servern för filåtkomst med kommandot tsm configuration set
. Godkännandelistan begränsar filbaserad tillgång till specifika lokala eller delade katalogsökvägar hos datakällor. Avsnittet Checklista för säkerhetsförstärkning innehåller mer information och steg för att konfigurera en godkännandelista för servern.
I vilket fall är det viktigt att förstå säkerhetskonsekvenserna av kontot som Tableau Server använder för kör som tjänst-kontot. Detta gäller specifikt om Tableau Server behöver komma åt andra servrar, filresurser eller databaser som använder Windows-autentisering. I dessa fall används kontot som är konfigurerat till att vara kör som tjänst-konto, att användas för att komma åt dessa resurser. Kontot som är konfigurerat till att vara kör som tjänst-konto måste även ha förhöjda behörigheter till den lokala Tableau-servern. En generell bästa praxis gällande säkerhet är att begränsa omfattningen av alla användarkonton till de minsta behörigheter som krävs. Vi gör samma rekommendation när du planerar kör som tjänst-konto. Se Dataåtkomst med Kör som tjänst-kontot för mer information
Kontot du använder kör som tjänst-kontot ska inte vara medlem i kontot Lokala administratörer eller Domänadministratörer. Istället rekommenderar vi att du använder ett domänbaserat användarkonto som inte är administratör för kör som tjänst-kontot. Att använda ett domänkonto som inte är medlem i dessa administratörsgrupper är en god säkerhetspraxis och kan hjälpa till att undvika åtkomst till vissa datakällor och kataloger. Se Skapa Kör som servicekonto för mer information på bästa praxis när du skapar ett Kör som tjänst-konto.
Du kan konfigurera kör som tjänst-kontot under installationen av Tableau Server. Alternativt kan du uppdatera kör som tjänst-kontot med via TSM-webbgränssnittet. Tableau Services Manager ställer in behörigheter för kör som tjänst-kontot. Du kan se Inställningar som krävs för Kör som tjänst-konto om du fortfarande är osäker på om kontot du vill använda för kör som tjänst-kontot uppfyller kraven, eller om du har ändrat kör som tjänst-kontot och inte har behörighet.
Standardkör som tjänst-konto: nätverkstjänst
Nätverkstjänstkontot är ett fördefinierat lokalt konto med begränsade behörigheter som finns på alla Windows-datorer. Även om det har begränsad administrativ åtkomst till den lokala datorn som den körs på, har det mer åtkomst till resurser än medlemmar i Active Directorys grundläggande användargrupp. Nätverkstjänstgruppen kan till exempel skriva till registret, händelseloggen och har speciella rättigheter att logga in på applikationstjänster.
Som standard är kör som tjänst-kontot satt till ett lokalt konto som heter Nätverkstjänst. Använd det standardiserade nätverkstjänstkontot när:
Du använder lokal autentisering för Tableau Server.
- Alla användare i organisationen inkluderar extraherade data i arbetsböckerna som de laddar upp till Tableau Server.
- Du kör Tableau Server i en driftsättning med en enda server.
- Externa datakällor som användare kommer åt via Tableau Server inte kräver Windows NT med integrerad säkerhet eller Kerberos. I de flesta scenarier med dataåtkomst kräver Microsoft SQL Server, MSAS, Teradata och Oracle-databaser Windows NT med integrerad säkerhet.
Medan nätverkstjänstkontot kan användas för att komma åt resurser på fjärrdatorer inom samma Active Directory-domän rekommenderar vi inte att du använder standardkontot för sådana scenarier. Konfigurera istället ett domänkonto för kör som tjänst-konto, om Tableau Server måste ansluta till datakällor i din miljö. Se Ändra Kör som tjänst-konto.
Kör som tjänstkonto: domänanvändare
För alla scenarier med Active Directory rekommenderar vi att du uppdaterar Tableau Server-kör som tjänst-konto med ett domänanvändarkonto. Uppdatera kör som tjänst-kontot till ett domänanvändarkonto när datakällor, som nås via Tableau Server, kräver Windows NT med integrerad säkerhet eller Kerberos.
Om du har driftsatt en distribuerad driftsättning av Tableau Server kan du uppdatera kör som tjänst-kontot med antingen en domänanvändare eller en Windows-arbetsgruppanvändare. I vilket fall måste du använda samma användarkonto för alla servernoder. Se Krav för distribuerade installationer för mer information.
Se Ändra Kör som tjänst-konto för att konfigurera din miljö till att använda ett domänkonto.