Ändra Kör som tjänst-konto
Beroende på din miljö och dina dataåtkomstkrav kan du vilja eller behöva ändra Kör som tjänst-konto. Det finns två huvudscenarier där du ändrar Kör som tjänst-konto:
- Ersätter det lokala Kör som standardkonto (NetworkService) med ett domänkonto. Om du arbetar i en miljö där en majoritet av dina datakällor är autentiserade i samband med Active Directory (Windows NT integrerad säkerhet) måste du konfigurera Kör som tjänst-kontot för att använda ett domänkonto, inte det lokala kontot (NetworkService).
- Ändra ett befintligt domänkonto för Kör som servicekonto till ett annat konto.
Detta ämne beskriver båda scenarierna och beskriver hur du uppdaterar lösenordet för Kör som servicekonto.
Kontot du använder kör som tjänst-kontot ska inte vara medlem i kontot Lokala administratörer eller Domänadministratörer. Istället rekommenderar vi att du använder ett domänbaserat användarkonto som inte är administratör för kör som tjänst-kontot. Att använda ett domänkonto som inte är medlem i dessa administratörsgrupper är en god säkerhetspraxis och kan hjälpa till att undvika åtkomst till vissa datakällor och kataloger. Se Skapa Kör som servicekonto för mer information på bästa praxis när du skapar ett Kör som tjänst-konto.
Obs! Om Kör som tjänst-kontot har konfigurerats för att använda ett domänkonto, måste administratörer från och med Tableau Server version 2023.3.x också konfigurera en godkännandelista för servern för filåtkomst med kommandot tsm configuration set
. Godkännandelistan begränsar filbaserad tillgång till specifika lokala eller delade katalogsökvägar hos datakällor. Avsnittet Checklista för säkerhetsförstärkning innehåller mer information och steg för att konfigurera en godkännandelista för servern.
Ersätter standardkontot Kör som lokalt konto (NetworkService) med ett domänkonto
Om du ska ersätta standardkontot för NetworkService med ett domänkonto rekommenderar vi att du använder ett dedikerat konto för Kör som servicekonto. Följ de här stegen.
- Skapa Kör som servicekontot i Active Directory
- Anpassa Tableau Server så att den använder Kör som servicekonto
Skapa Kör som servicekonto
Följ dessa bästa metoder:
- Det är viktigt att förstå hur funktionen Kör som tjänst-konto kommer åt data för användare i din organisation. I många fall kan användare oavsiktligen komma åt data som deras användarkonton inte har uttrycklig behörighet för. Innan du skapar ett Kör som servicekonto ska du granska Dataåtkomst med Kör som tjänst-kontot.
- Skapa ett dedikerat konto i Active Directory förTableau Server Kör som servicekontot. Med andra ord, använd inte ett befintligt konto. Genom att använda ett dedikerat konto kan du vara säker på att de dataressurser som du tillåter för Tableau Server endast är tillgängliga med Tableau Server kör som servicekonto.
- Kör som servicekonto används för att fråga användare och gruppmedlemskap i Active Directory. Som standard har NetworkServices-kontot och standarddomänanvändare behörighet att fråga Active Directory. Begränsa inte läs- eller frågebehörighet för kör som servicekontot.
- Använd inte ett konto med någon form av domänadministrativa behörigheter. När du skapar ett konto i Active Directory skapar du ett konto i domänanvändargruppen. Lägg inte till kontot som du skapar i eventuella Active Directory-säkerhetsgrupper som i onödan höjer behörigheterna för kontot.
- Tillåt datakällorna i katalogen för det här kontot. Kontot som du använder för kör som servicekonto behöver endast läsåtkomst till lämpliga datakällor och nätverksdelningar.
- Om användare i din organisation autentiserar med smartkort inaktiverar du alternativet för inloggning med smartkort för kör som servicekontot.
- Om du har installerat Tableau Server på en annan drivenhet än systemdrivenheten, måste du konfigurera systemdrivenheten för att tillåta ytterligare behörigheter för kör som servicekontot. Systemenheten är den enhet där Windows är installerat. Om du till exempel har installerat Windows på C:/ drivenheten är C:/ din systemdrivenhet. Om du installerar Tableau Server på någon annan drivenhet (D:/, E:/, etc) måste du konfigurera behörigheter för kör som servicekonto på systemdrivenheten. Läs mer i Inställningar som krävs för Kör som tjänst-konto.
Konfigurera kör som tjänst-kontot i Tableau Server
När du har skapat kör som tjänst-kontot i Active Directory konfigurerar du Tableau Server för att använda det kontot.
Använd TSM webbgränssnitt för att konfigurera kör som tjänst-kontot för första gången.
Konfigurera Kör som service-konto
Öppna TSM i en webbläsare:
https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.
Klicka på fliken Säkerhet och klicka sedan på fliken Kör som service-konto.
Välj Användarkonto och ange användarnamn och lösenord för tjänstkontot. Ange domännamnet som
domain\account
, där domännamnet är NetBIOS-namnet för domänen där användaren befinner sig:Klicka på Spara för att bekräfta användarnamn och lösenord.
När du är klar klickar du på Väntande ändringar och sedan på Tillämpa ändringarna och starta om.
När du har uppdaterat kör som tjänst-kontot konfigurerar Tableau Server automatiskt behörigheter på den lokala datorn för kontot som du har angett.
Ändra ett befintligt domänkonto för Kör som service till ett annat konto
Om du vill ändra ett befintligt domänkonto för kör som service till ett annat konto måste du tillämpa behörigheter för det nya kontot. Om du vill tillämpa behörigheter på ditt nya kör som service-konto måste du först återställa behörigheterna genom att tillämpa dem på standardkontot för NetworkService.
Innan du börjar ska du kontrollera att det nya kontot som du kommer att använda för kör som service-konto överensstämmer med bästa praxis som tidigare angetts i avsnittet Skapa Kör som servicekonto.
Denna procedur kräver att du startar om Tableau Server-tjänster två gånger, så kör denna procedur efter kontorstid.
Öppna TSM i en webbläsare:
https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.
Klicka på fliken Säkerhet och klicka sedan på fliken Kör som service-konto.
Under Användarkontoväljer du NT Authority\NetworkService.
Klicka på Spara.
När du är klar klickar du på Väntande ändringar och sedan på Tillämpa ändringarna och starta om.
När servern har startats om öppnar du TSM och navigerar till fliken Kör som servicekonto.
Välj Användarkonto och ange användarnamn och lösenord för tjänstkontot. Ange domännamnet som
domain\account
, där domännamnet är NetBIOS-namnet för domänen där användaren befinner sig:Klicka på Spara för att bekräfta användarnamn och lösenord.
När du är klar klickar du på Väntande ändringar och sedan på Tillämpa ändringarna och starta om.
Dra tillbaka tillstånd för det föregående kontot. Läs mer i Återkalla behörigheter för Kör som tjänst-konto.
Återställ kör som tjänst-kontot till NetworkService. Kör följande kommando:
tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"
Kör följande kommando för att spara denna ändring och starta om:
tsm pending-changes apply
Ställ in kör som tjänst-kontot till det nya kontot. Kör följande kommandon:
tsm configuration set -k service.runas.username -v <domain\username>
tsm configuration set -k service.runas.password -v "<password>"
Inneslut lösenordet med dubbla citattecken för att säkerställa att särskilda tecken i strängen bearbetas på rätt sätt. Kör följande kommando för att visa lösenordet som det kommer att lagras:
tsm pending-changes list
Lösenordet valideras med Active Directory. Om lösenordet är giltigt kommer det att krypteras och sparas. TSM rapporterar inte om detta lyckas eller misslyckas.
Kör följande kommando för att spara och starta om:
tsm pending-changes apply
Felsökning:
Bekräfta att servern har startat. Om den är i degraderat skick är det möjligt att du angav fel lösenord. Visa det lagrade lösenordet genom att köra kommandot
configuration get
. Detta kommando dekrypterar och visar lösenordet i skalet. Kör följande kommando:tsm configuration get -k service.runas.password
Om det föregående lösenordet visas angav du inte ett giltigt lösenord.
Ange rätt lösenord (se steg 3) och kör sedan följande kommando för att spara och starta om:
tsm pending-changes apply
Dra tillbaka tillstånd för det föregående kontot. Läs mer i Återkalla behörigheter för Kör som tjänst-konto.
Uppdatera lösenordet för kör som tjänst-kontot
Om lösenordet för kör som tjänst-kontot har uppdaterats i Active Directory måste du uppdatera det för Tableau Server. Lösenordet för kör som tjänst-kontot krypteras och lagras på Tableau Server. Mer information finns i Hantera serverhemligheter.
Om du kör Tableau Server i en distribuerad driftsättning behöver du bara uppdatera lösenordet med TSM på den initiala noden i klustret. TSM distribuerar automatiskt denna konfiguration till varje nod.
Öppna TSM i en webbläsare:
https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.
Klicka på fliken Säkerhet och klicka sedan på fliken Kör som service-konto.
Under Användarkonto anger du lösenordet för servicekontot.
Klicka på Spara för att verifiera lösenordet.
När du är klar klickar du på Väntande ändringar och sedan på Tillämpa ändringarna och starta om.
Ställ in det nya lösenordet. Kör följande kommando:
tsm configuration set -k service.runas.password -v "<password>"
Inneslut lösenordet med dubbla citattecken för att säkerställa att särskilda tecken i strängen bearbetas på rätt sätt. För att validera att specialtecken skiftats korrekt, kör följande kommando för att visa lösenordet som det kommer att lagras:
tsm pending-changes list
Lösenordet valideras med Active Directory. Om lösenordet är giltigt kommer det att krypteras och sparas. TSM rapporterar inte om detta lyckas eller misslyckas.
Kör följande kommando för att spara och starta om:
tsm pending-changes apply
Felsökning:
Bekräfta att servern har startat. Om den är i degraderat skick är det möjligt att du angav fel lösenord. Visa det lagrade lösenordet genom att köra kommandot
configuration get
. Detta kommando dekrypterar och visar lösenordet i skalet. Kör följande kommando:tsm configuration get -k service.runas.password
Om det föregående lösenordet visas angav du inte ett giltigt lösenord.
Ange rätt lösenord (se steg 1) och kör sedan följande kommando för att spara och starta om:
tsm pending-changes apply
Felsökning: Uppdatera lösenordet i Microsoft Services-konsolen
I vissa fall kan du se servicefel efter uppdatering av lösenordet för kör som tjänst-kontot. Om så är fallet kan du behöva uppdatera lösenordet för tjänsten Tableau Server Services Manager manuellt. Uppdatera lösenordet i Microsoft Services hanteringskonsol.
Om du kör Tableau Server i en distribuerad driftsättning, måste du utföra det här steget på varje nod i klustret.
Stoppa Tableau Server.
Om du vill använda TSM CLI kör du följande kommando:
tsm stop
För att använda TSM webbgränssnitt ska du klicka på rullgardinsmenyn bredvid statusen längst upp till höger på sidan, och klicka sedan på Stoppa Tableau Server:
Öppna snapin-modulen Services MMC på Windows-datorn som kör Tableau Server.
Dubbelklicka på tjänsten Tableau Server Services Manager för att öppna sidan Egenskaper.
På sidan Egenskaper för Tableau Server Services Manager klickar du på fliken Logga in och anger sedan lösenordet för servicekontot.
Klicka på Tillämpa och klicka sedan på OK.
Starta om tjänsten Tableau Server Services Manager genom att högerklicka på servicenamnet och klicka sedan på Starta om.
Starta Tableau Server.
Om du vill använda TSM CLI kör du följande kommando:
tsm start
För att använda TSM webbgränssnitt ska du klicka på rullgardinsmenyn bredvid statusen längst upp till höger på sidan, och klicka sedan på Starta Tableau Server.
Relaterade uppgifter
Kör som tjänst-kontot är centralt för många operationer på Tableau Server, särskilt de som är involverade med fjärrdataåtkomst. För att undvika åtkomstfel, granska uppgifterna här och följ länkarna för de som gäller för ditt scenario.
- Om du kör Tableau Server i en organisation med flera Active Directory-domäner, se Domänförtroendekrav för Active Directory-driftsättningar.
- Aktivering av Kerberos enkel inloggning kräver ytterligare konfiguration relaterad till kör som tjänst-kontot. För att aktivera Kerberos enkel inloggning med Tableau Server, se Kerberos.
- Aktivering av impersonering kräver ytterligare konfiguration relaterat till kör som service-konto. För att distribuera och aktivera impersonering med Microsoft SQL Server, se Impersonera med inbäddade SQL-inloggningsuppgifter.
- Om du har installerat Tableau Server på icke-systemets drivenhet måste du manuellt ställa in några behörigheter för kör som tjänst-kontot. Läs mer i Inställningar som krävs för Kör som tjänst-konto.
- Om du har ändrat Kör som tjänst-kontot rekommenderar vi att du drar tillbaka tillstånd för det föregående kontot. Läs mer i Återkalla behörigheter för Kör som tjänst-konto.
- Om din organisation använder en proxylösning för vidarebefordring kan du behöva konfigurera om de lokala LAN-inställningarna på Tableau Server med kör som tjänst-kontot. Läs mer i Konfigurera en proxyserver för vidarebefordran. I detta scenario måste Run As Service-kontot också tillfälligt konfigureras som inloggningskonto för Tableau Server Administrative Controller för produktnyckeloperationer. Se Konfigurera produktnyckelåtgärder med proxy för vidarebefordran.
- Om du använder Resource Monitoring Tool i ditt företag kan Run As Service-kontot användas för att autentisera och samla in maskinvaruinformation. Vid uppdatering av ett Run As-konto bekräftas anslutningen mellan RMT och Tableau Server i miljöinställningarna för RMT:
- Logga in på RMT som administratör.
- Gå till sidan Miljöer (Admin > Miljöer).
- Klicka på Redigera för miljön som uppdaterades.
- I listan Servrar bekräftar du att varje server visar agenttjänsten som ansluten. Håll muspekaren över statusen Ansluten så visas en tidsstämpel för det senaste pulsslagsmeddelandet som tagits emot.