เรียกใช้งานในฐานะบัญชีบริการ
บัญชีบริการเรียกใช้งานในฐานะเป็นบัญชี Windows ที่ Tableau Server ใช้ ("เรียกใช้งานในฐานะ") เมื่อเข้าถึงทรัพยากร ตัวอย่างเช่น Tableau Server จะอ่านและเขียนไฟล์บนคอมพิวเตอร์ที่ติดตั้ง Tableau Server Windows จะมองว่า Tableau Server กำลังทำสิ่งนี้ในฐานะบัญชีบริการ “เรียกใช้งานในฐานะ” ในบางกรณี Tableau Server จะใช้บัญชีบริการ “เรียกใช้งานในฐานะ” เพื่อเข้าถึงข้อมูลจากแหล่งภายนอก เช่น ฐานข้อมูลหรือไฟล์บนไดเรกทอรีเครือข่ายที่แชร์
เมื่อคุณวางแผนการปรับใช้ Tableau Server คุณต้องกำหนดว่าบัญชีบริการ “เรียกใช้งานในฐานะ” เริ่มต้นได้กำหนดค่าให้ใช้งานภายใต้บริบทของบัญชีบริการเครือข่ายภายใน (บริการให้สิทธิ์/เครือข่าย NT) จะเพียงพอสำหรับความต้องการของคุณ หากไม่ คุณะต้องอัปเดตบัญชีบริการ “เรียกใช้งานในฐานะ” เพื่อเรียกใช้ภายใต้บัญชีโดเมนที่มีการเข้าถึงไปยังทรัพยากรในโดเมน Active Directory ของคุณ
หมายเหตุ: ตั้งแต่ Tableau Server เวอร์ชัน 2023.3.x เป็นต้นไป หากกำหนดค่าบัญชีเรียกใช้งานในฐานะบริการให้ใช้บัญชีโดเมน ผู้ดูแลจะต้องกำหนดค่ารายการเซิร์ฟเวอร์ที่อนุญาตสำหรับการเข้าถึงไฟล์โดยใช้คำสั่ง tsm configuration set
รายการที่อนุญาตจะจำกัดการเข้าถึงแหล่งข้อมูลแบบไฟล์ไปที่พาธไดเรกทอรีในเครื่องหรือที่แชร์ตามที่กำหนด หากต้องการข้อมูลเพิ่มเติมและขั้นตอนในการกำหนดค่ารายการเซิร์ฟเวอร์ที่อนุญาต โปรดดูที่รายการตรวจสอบเพื่อปิดช่องโหว่ด้านความปลอดภัย
ในทั้งสองกรณี การทำความเข้าใจผลกระทบความปลอดภัยของบัญชีที่ Tableau Server ใช้สำหรับบัญชีบริการ “เรียกใช้งานในฐานะ” โดยเฉพาะอย่างยิ่ง หาก Tableau Server ต้องเข้าถึงเซิร์ฟเวอร์ การแชร์ไฟล์ หรือฐานข้อมูลที่ใช้การตรวจสอบสิทธิ์ของ Windows บัญชีที่กำหนดค่าสำหรับบัญชีบริการ “เรียกใช้งานในฐานะ” จะถูกใช้เพื่อเข้าถึงทรัพยากรดังกล่าว บัญชีที่กำหนดค่าสำหรับบัญชีบริการ “เรียกใช้ในฐานะ” ต้องมีสิทธิ์ที่ปรับให้สูงขึ้นไปยัง Tableau Server ภายใน ธรรมเนียมการปฏิบัติด้านความปลอดภัยที่ดีที่สุดตามปกติคือการจำกัดขอบเขตบัญชีผู้ใช้ทั้งหมดให้ต้องใช้สิทธิ์ต่ำสุด เราจะให้คำแนะนำคุณเหมือนกันเมื่อคุณวางแผนบัญชีบริการ “เรียกใช้งานในฐานะ” หากต้องการข้อมูลเพิ่มเติม โปรดดูที่การเข้าถึงข้อมูลด้วยบัญชีบริการ “เรียกใช้งานในฐานะ”
บัญชีที่คุณใช้สำหรับ “เรียกใช้งานในฐานะบัญชีบริการ” ไม่ควรเป็นสมาชิกของบัญชีผู้ดูแลระบบในเครื่องหรือผู้ดูแลระบบโดเมน เราแนะนำให้ใช้บัญชีผู้ใช้โดเมนที่ไม่ใช่ผู้ดูแลระบบสำหรับ “เรียกใช้งานในฐานะบัญชีบริการ” แทน การใช้บัญชีโดเมนที่ไม่ใช่สมาชิกของกลุ่มผู้ดูแลระบบเหล่านี้เป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีและช่วยหลีกเลี่ยงการเข้าถึงแหล่งข้อมูลและโฟลเดอร์บางอย่างได้ หากต้องการข้อมูลเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดเมื่อสร้าง “เรียกใช้งานในฐานะบัญชีบริการ” โปรดดูการสร้างการเรียกใช้งานในฐานะบัญชีบริการ
คุณสามารถตั้งค่าบัญชีบริการ “เรียกใช้งานในฐานะ” ระหว่างการติดตั้ง Tableau Server หรือคุณสามารถอัปเดตบัญชีบริการ “เรียกใช้งานในฐานะ” โดยใช้อินเทอร์เฟซผู้ใช้เว็บ TSM Tableau Services Manager ตั้งค่าสิทธิ์สำหรับบัญชีบริการ “เรียกใช้งานในฐานะ” แต่หากคุณไม่แน่ใจว่าบัญชีที่คุณต้องการใช้สำหรับบัญชีบริการ “เรียกใช้งานในฐานะ” เป็นไปตามข้อกำหนดหรือไม่ หรือคุณได้เปลี่ยนบัญชีบริการ “เรียกใช้งานในฐานะ” และได้รับข้อผิดพลาดเกี่ยวกับสิทธิ์ โปรดดูที่การตั้งค่าการเรียกใช้งานในฐานะบัญชีบริการที่จำเป็น
บัญชีบริการ “เรียกใช้งานในฐานะ” เริ่มต้น: บริการเครือข่าย
บัญชีบริการเครือข่ายเป็นบัญชีภายในที่กำหนดไว้ล่างหน้าที่มีสิทธิ์จำกัดซึ่งมีอยู่ในคอมพิวเตอร์ Windows ทุกเครื่อง ในขณะที่บัญชีมีการเข้าถึงของผู้ดูแลระบบไปยังคอมพิวเตอร์ภายซึ่งบัญชีทำงานอยู่ที่จำกัด แต่ก็ยังมีการเข้าถึงไปยังทรัพยากรที่มากกว่าสมาชิกของกลุ่มผู้ใช้เริ่มต้นของ Active Directory ตัวอย่างเช่น กลุ่มบริการเครือข่ายสามารถเขียนรีจิสทรี บันทึกเหตุการณ์ และมีสิทธิ์พิเศษในการเข้าสู่ระบบสำหรับบริการแอปพลิเคชัน
ตามค่าเริ่มต้น บัญชีบริการ “เรียกใช้งานในฐานะ” จะถูกตั้งให้กับบัญชีภายในที่เรียกว่า “บริการเครือข่าย” ใช้บัญชี “บริการเครือข่าย” เริ่มต้นเมื่อ:
คุณกำลังใช้การตรวจสอบสิทธิ์ในเครื่องสำหรับ Tableau Server
- ผู้ใช้ทั้งหมดในองค์กรของคุณมีข้อมูลที่แยกในเวิร์กบุ๊กซึ่งได้อัปโหลดไปยัง Tableau Server
- คุณกำลังใช้งาน Tableau Server ในการปรับใช้เซิร์ฟเวอร์เดียว
- แหล่งข้อมูลภายนอกที่ผู้ใช้เข้าถึงผ่าน Tableau Server ไม่ต้องมี Windows NT Integrated Security หรือ Kerberos ในสถานการณ์การเข้าถึงข้อมูลส่วนมากฐานข้อมูล Microsoft SQL Server, MSAS, Teradata และ Oracle ต้องมี Windows NT Integrated Security
ในขณะที่บัญชี “บริการเครือข่าย” สามารถใช้เพื่อเข้าถึงทรัพยากรบนคอมพิวเตอร์ระยะไกลภายในโดเมน Active Directory เดียวกันได้ แต่เราไม่แนะนำให้ใช้บัญชีเริ่มต้นสำหรับสถานการณ์เช่นนี้ ขอแนะนำให้กำหนดค่าบัญชีโดเมนสำหรับบัญชีบริการ “เรียกใช้ในฐานะ” หาก Tableau Server ต้องเชื่อมต่อกับแหล่งข้อมูลในสภาพแวดล้อมของคุณ โปรดดูเปลี่ยนการเรียกใช้งานในฐานะบัญชีบริการ
บัญชีบริการ “เรียกใช้งานในฐานะ”: ผู้ใช้โดเมน
สำหรับสถานการณ์ Active Directory ทั้งหมด เราแนะนำให้อัปเดต บัญชีบริการ “เรียกใช้งานในฐานะ” ของ Tableau Server ด้วยบัญชีผู้ใช้โดเมน อัปเดตบัญชีบริการ “เรียกใช้งานในฐานะ” เป็นบัญชีผู้ใช้โดเมนเมื่อแหล่งข้อมูลถูกเข้าถึงผ่าน Tableau Server ที่ต้องมี Windows NT Integrated Security หรือ Kerberos
หากคุณปรับใช้ Tableau Server แบบกระจาย คุณจะสามารถอัปเดตบัญชีบริการ “เรียกใช้งานในฐานะ” ด้วยผู้ใช้โดเมนหรือผู้ใช้กลุ่มงานของ Windows ในทั้งสองกรณี คุณต้องใช้บัญชีผู้ใช้เดียวกันกับในเซิร์ฟเวอร์โหนดทั้งหมด หากต้องการข้อมูลเพิ่มเติม โปรดดูที่ข้อกำหนดแบบกระจาย
หากต้องการกำหนดค่าสภาพแวดล้อมของคุณเพื่อใช้บัญชีโดเมน โปรดดูที่เปลี่ยนการเรียกใช้งานในฐานะบัญชีบริการ