เปลี่ยนการเรียกใช้งานในฐานะบัญชีบริการ
คุณอาจต้องการหรือจำเป็นต้องเปลี่ยนบัญชีการเรียกใช้งานในฐานะบัญชีบริการ ทั้งนี้ขึ้นอยู่กับข้อกำหนดการเข้าถึงสภาพแวดล้อมและข้อมูลของคุณ คุณต้องเปลี่ยนบัญชีการเรียกใช้งานในฐานะบัญชีบริการหากเป็นไปตาม 2 สถานการณ์หลักต่อไปนี้:
- การแทนที่การเรียกใช้งานในฐานะบัญชีในเครื่องตามค่าเริ่มต้น (NetworkService) ด้วยบัญชีโดเมน หากคุณทำงานในสภาพแวดล้อมที่แหล่งข้อมูลส่วนใหญ่ตรวจสอบสิทธิ์ในบริบทของ Active Directory (ระบบความปลอดภัยในตัวของ Windows NT) ในกรณีนี้ คุณต้องกำหนดค่าการเรียกใช้งานในฐานะบัญชีบริการเพื่อใช้บัญชีโดเมน ไม่ใช่บัญชีในเครื่อง (NetworkService)
- การเปลี่ยนโดเมนการเรียกใช้งานในฐานะบัญชีบริการที่มีอยู่เป็นบัญชีอื่น
หัวข้อนี้อธิบายสถานการณ์ทั้งสองและอธิบายวิธีอัปเดตรหัสผ่านการเรียกใช้งานในฐานะบัญชีบริการ
บัญชีที่คุณใช้สำหรับ “เรียกใช้งานในฐานะบัญชีบริการ” ไม่ควรเป็นสมาชิกของบัญชีผู้ดูแลระบบในเครื่องหรือผู้ดูแลระบบโดเมน เราแนะนำให้ใช้บัญชีผู้ใช้โดเมนที่ไม่ใช่ผู้ดูแลระบบสำหรับ “เรียกใช้งานในฐานะบัญชีบริการ” แทน การใช้บัญชีโดเมนที่ไม่ใช่สมาชิกของกลุ่มผู้ดูแลระบบเหล่านี้เป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีและช่วยหลีกเลี่ยงการเข้าถึงแหล่งข้อมูลและโฟลเดอร์บางอย่างได้ หากต้องการข้อมูลเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดเมื่อสร้าง “เรียกใช้งานในฐานะบัญชีบริการ” โปรดดูการสร้างการเรียกใช้งานในฐานะบัญชีบริการ
หมายเหตุ: ตั้งแต่ Tableau Server เวอร์ชัน 2023.3.x เป็นต้นไป หากกำหนดค่าบัญชีเรียกใช้งานในฐานะบริการให้ใช้บัญชีโดเมน ผู้ดูแลจะต้องกำหนดค่ารายการเซิร์ฟเวอร์ที่อนุญาตสำหรับการเข้าถึงไฟล์โดยใช้คำสั่ง tsm configuration set
รายการที่อนุญาตจะจำกัดการเข้าถึงแหล่งข้อมูลแบบไฟล์ไปที่พาธไดเรกทอรีในเครื่องหรือที่แชร์ตามที่กำหนด หากต้องการข้อมูลเพิ่มเติมและขั้นตอนในการกำหนดค่ารายการเซิร์ฟเวอร์ที่อนุญาต โปรดดูที่รายการตรวจสอบเพื่อปิดช่องโหว่ด้านความปลอดภัย
การแทนที่การเรียกใช้งานในฐานะบัญชีในเครื่องตามค่าเริ่มต้น (NetworkService) ด้วยบัญชีโดเมน
หากคุณต้องการแทนที่บัญชี NetworkService ตามค่าเริ่มต้นด้วยบัญชีโดเมน เราแนะนำให้ใช้บัญชีเฉพาะสำหรับการเรียกใช้งานในฐานะบัญชีบริการ ทำตามขั้นตอนเหล่านี้:
- สร้างการเรียกใช้งานในฐานะบัญชีบริการใน Active Directory
- กำหนดค่า Tableau Server ให้ใช้การเรียกใช้งานในฐานะบัญชีบริการ
ทำตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้:
- เป็นสิ่งสำคัญที่ต้องทำความเข้าใจว่าการเรียกใช้งานในฐานะบัญชีบริการเข้าถึงข้อมูลในนามของผู้ใช้ในองค์กรของคุณอย่างไร ในบางกรณี ผู้ใช้อาจเข้าถึงข้อมูลที่บัญชีผู้ใช้ของตนไม่ได้รับสิทธิ์อย่างชัดแจ้งได้โดยไม่ได้ตั้งใจ ก่อนที่คุณจะสร้างการเรียกใช้งานในฐานะบัญชีบริการ ให้ทบทวน การเข้าถึงข้อมูลด้วยบัญชีบริการ “เรียกใช้งานในฐานะ”
- สร้างบัญชีเฉพาะใน Active Directory สำหรับการเรียกใช้งานในฐานะบัญชีบริการใน Tableau Server หมายความว่าเราจะไม่ใช้บัญชีที่มีอยู่ การใช้บัญชีเฉพาะจะทำให้มั่นใจได้ว่าแหล่งข้อมูลที่คุณอนุญาตให้ Tableau Server เข้าถึงจะเข้าถึงได้เฉพาะการเรียกใช้งานในฐานะบัญชีบริการใน Tableau Server เท่านั้น
- เรียกใช้งานในฐานะบัญชีบริการใช้เพื่อสอบถามผู้ใช้งานและการเป็นสมาชิกของกลุ่มใน Active Directory ตามค่าเริ่มต้น บัญชี NetworkServices และผู้ใช้โดเมนตามค่าเริ่มต้นมีสิทธิ์สอบถาม Active Directory ห้ามจำกัดการอ่านหรือสิทธิ์สอบถามสำหรับการเรียกใช้งานในฐานะบัญชีบริการ
- ห้ามใช้บัญชีที่มีสิทธิ์ดูแลระบบโดเมนใดๆ โดยเฉพาะ เมื่อคุณสร้างบัญชีใน Active Directory ให้สร้างบัญชีในโดเมนกลุ่มผู้ใช้ ห้ามเพิ่มบัญชีที่คุณสร้างไปยังกลุ่มความปลอดภัย Active Directory ที่ไม่จำเป็นต้องขอสิทธิ์อนุญาตสำหรับบัญชีนี้
- ให้สิทธิ์แก่แหล่งข้อมูลในไดเรกทอรีสำหรับบัญชีนี้ บัญชีที่คุณจะใช้สำหรับการเรียกใช้งานในฐานะบัญชีบริการต้องการเฉพาะการเข้าถึงการอ่านไปยังแหล่งข้อมูลและการแชร์เครือข่ายที่เกี่ยวข้องเท่านั้น
- หากผู้ใช้ในองค์กรของคุณตรวจสอบสิทธิ์ด้วยสมาร์ทการ์ด ให้ปิดใช้งานตัวเลือกการเข้าสู่ระบบด้วยสมาร์ทการ์ดสำหรับการเรียกใช้งานในฐานะบัญชีบริการ
- หากคุณติดตั้ง Tableau Server บนไดรฟ์อื่นที่ไม่ใช่ไดรฟ์ของระบบ คุณจะต้องกำหนดค่าไดรฟ์ของระบบในอนุญาตสิทธิ์เพิ่มเติมของการเรียกใช้งานในฐานะบัญชีบริการ ไดรฟ์ระบบคือไดรฟ์ที่ติดตั้ง Windows เช่น หากคุณติดตั้ง Windows บนไดรฟ์ C:/ หมายความว่าไดรฟ์ระบบของคุณคือไดรฟ์ C:/ หากคุณติดตั้ง Tableau Server บนไดรฟ์อื่น (D:/, E:/ ฯลฯ) คุณจะต้องกำหนดค่าสิทธิ์สำหรับการเรียกใช้งานในฐานะบัญชีบริการบนไดรฟ์ระบบ ดูข้อมูลเพิ่มเติมที่ การตั้งค่าการเรียกใช้งานในฐานะบัญชีบริการที่จำเป็น
การกำหนดค่าการเรียกใช้งานในฐานะบัญชีบริการใน Tableau Server
หลังจากที่คุณสร้างการเรียกใช้งานในฐานะบัญชีบริการใน Active Directory แล้ว ให้กำหนดค่า Tableau Server เพื่อใช้บัญชีนั้น
ใช้ TSM Web UI เพื่อกำหนดค่าการเรียกใช้งานในฐานะบัญชีบริการเมื่อกำหนดค่าเป็นครั้งแรก
วิธีกำหนดค่าการเรียกใช้งานในฐานะบัญชีบริการ
เปิด TSM ในเบราว์เซอร์:
https://<tsm-computer-name>:8850 หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI
คลิกที่แท็บ ความปลอดภัย แล้วคลิกแท็บ เรียกใช้งานในฐานะบัญชีบริการ
เลือก บัญชีผู้ใช้ จากนั้นป้อนชื่อผู้ใช้และรหัสผ่านของบัญชีบริการ ระบุชื่อโดเมน เช่น
domain\account
โดยที่ชื่อโดเมนเป็นชื่อ NetBIOS ของโดเมนที่ผู้ใช้ใช้อยู่:คลิกบันทึก เพื่อตรวจสอบยืนยันชื่อผู้ใช้และรหัสผ่าน
เมื่อเสร็จสิ้นแล้ว ให้คลิกการเปลี่ยนแปลงที่รอดำเนินการ จากนั้นคลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท
หลังจากคุณอัปเดตการเรียกใช้งานในฐานะบัญชีบริการ Tableau Server จะกำหนดค่าสิทธิ์บนคอมพิวเตอร์เครื่องนั้นโดยอัตโนมัติสำหรับบัญชีที่คุณป้อน
หากต้องการเปลี่ยนโดเมนการเรียกใช้งานในฐานะบัญชีบริการที่มีอยู่เป็นบัญชีอื่น คุณจะต้องปรับใช้สิทธิ์กับบัญชีใหม่นั้น วิธีปรับใช้สิทธิ์กับการเรียกใช้งานในฐานะบัญชีบริการใหม่ คุณต้องรีเซ็ตสิทธิ์โดยปรับใช้กับบัญชี NetworkService ตามค่าเริ่มต้น
ก่อนที่คุณจะเริ่มดำเนินการ ให้ตรวจสอบว่าบัญชีใหม่ที่คุณจะใช้สำหรับการเรียกใช้งานในฐานะบัญชีบริการสอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดตามที่ระบุไว้ในส่วน การสร้างการเรียกใช้งานในฐานะบัญชีบริการ
กระบวนการนี้บังคับให้คุณรีสตาร์ทบริการ Tableau Server สองครั้ง ดังนั้น ควรดำเนินการนอกชั่วโมงการทำงาน
หากมีการอัปเดตรหัสผ่านการเรียกใช้งานในฐานะบัญชีบริการใน Active Directory คุณต้องอัปเดตใน Tableau Server รหัสผ่านการเรียกใช้งานในฐานะบัญชีบริการมีการเข้ารหัสและจัดเก็บอยู่บน Tableau Server หากต้องการข้อมูลเพิ่มเติม โปรดดู จัดการข้อมูลลับของเซิร์ฟเวอร์
หากคุณเรียกใช้ Tableau Server ในการปรับใช้งานแบบกระจาย คุณต้องอัปเดตรหัสผ่านด้วย TSM บนโหนดตั้งต้นในคลัสเตอร์เท่านั้น TSM จะกระจายการกำหนดค่านี้ไปยังแต่ละโหนดโดยอัตโนมัติ
การแก้ไขปัญหา: อัปเดตรหัสผ่านในคอนโซล Microsoft Services
ในบางกรณี บริการอาจล้มเหลวหลังจากการอัปเดตรหัสผ่านการเรียกใช้งานในฐานะบัญชีบริการ หากพบกับเหตุการณ์ดังกล่าว คุณอาจต้องอัปเดตรหัสผ่านสำหรับบริการตัวจัดการบริการ Tableau Server ด้วยตนเอง อัปเดตรหัสผ่านในคอนโซลการจัดการ Microsoft Services
หากคุณกำลังเรียกใช้ Tableau Server ในการปรับใช้แบบกระจาย ให้ทำขั้นตอนต่อไปนี้กับแต่ละโหนดในคลัสเตอร์
หยุดการทำงาน Tableau Server
หากต้องการใช้ CLI ของ TSM ให้เรียกใช้คำสั่งต่อไปนี้:
tsm stop
หากต้องการใช้ TSM Web UI ที่ด้านขวาบนของหน้า ให้คลิกรายการดรอปดาวน์ถัดจากสถานะ จากนั้นคลิกหยุดการทำงาน Tableau Server:
เปิดสแนปอินของบริการ MMC บนคอมพิวเตอร์ Windows ที่เรียกใช้ Tableau Server
ดับเบิลคลิกที่บริการตัวจัดการบริการ Tableau Server เพื่อเปิดหน้าพร็อพเพอร์ตี
บนหน้าพร็อพเพอร์ตีตัวจัดการบริการ Tableau Server ให้คลิกแท็บเข้าสู่ระบบ จากนั้นป้อนรหัสผ่านสำหรับบัญชีบริการ
คลิกนำไปใช้ จากนั้นคลิกตกลง
รีสตาร์ทบริการตัวจัดการบริการ Tableau Server โดยการคลิกขวาที่ชื่อจากนั้นคลิกรีสตาร์ท
เริ่มต้น Tableau Server
หากต้องการใช้ CLI ของ TSM ให้เรียกใช้คำสั่งต่อไปนี้:
tsm start
หากต้องการใช้ TSM Web UI ที่ด้านขวาบนของหน้า ให้คลิกรายการดรอปดาวน์ถัดจากสถานะ จากนั้นคลิกเริ่มการทำงาน Tableau Server
งานที่เกี่ยวข้อง
เรียกใช้งานในฐานะบัญชีบริการเป็นศูนย์กลางของการดำเนินการมากมายบน Tableau Server โดยเฉพาะการดำเนินการที่เกี่ยวข้องกับการเข้าถึงข้อมูลจากระยะไกล เพื่อหลีกเลี่ยงข้อผิดพลาดของการเข้าถึง ให้ตรวจสอบงานนี้และดูสถานการณ์อื่นๆ ที่อาจเกี่ยวข้องกับสถานการณ์ของคุณ
- หากคุณเรียกใช้งาน Tableau Server ในองค์กรที่มีโดเมน Active Directory หลายโดเมน ดูข้อกำหนดความน่าเชื่อถือของโดเมนสำหรับการปรับใช้ Active Directory
- การเปิดใช้งานการลงชื่อเพียงครั้งเดียว Kerberos จำเป็นต้องกำหนดค่าเพิ่มเติมที่เกี่ยวข้องกับการเรียกใช้งานในฐานะบัญชีบริการ หากต้องการเปิดใช้งานการลงชื่อเพียงครั้งเดียว Kerberos กับ Tableau Server ดู Kerberos
- การเปิดใช้งานการแอบอ้างเป็นบุคคลอื่นจำเป็นต้องกำหนดค่าเพิ่มเติมที่เกี่ยวข้องกับการเรียกใช้งานในฐานะบัญชีบริการ หากต้องการปรับใช้และเปิดใช้งานการเลียนแบบกับ Microsoft SQL Server ดู แอบอ้างเป็นบุคคลอื่นด้วยข้อมูลเข้าสู่ระบบ SQL แบบฝัง
- หากคุณได้ติดตั้ง Tableau Server บนไดรฟ์ที่ไม่ใช่ไดรฟ์ระบบ คุณจะต้องตั้งค่าสิทธิ์ด้วยตนเองสำหรับการเรียกใช้งานในฐานะบัญชีบริการ ดูข้อมูลเพิ่มเติมที่ การตั้งค่าการเรียกใช้งานในฐานะบัญชีบริการที่จำเป็น
- หากคุณได้เปลี่ยนการเรียกใช้งานในฐานะบัญชีบริการ เราขอแนะนำให้เพิกถอนสิทธิ์ของบัญชีก่อนหน้านี้ ดู การเพิกถอนสิทธิ์การเรียกใช้งานในฐานะบัญชีบริการ
- หากองค์กรของคุณใช้โซลูชันพร็อกซีที่ส่งต่อ คุณอาจต้องกำหนดค่าการตั้งค่า LAN ในเครื่องบน Tableau Server อีกครั้งด้วยการเรียกใช้งานในฐานะบัญชีบริการ หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดค่าเซิร์ฟเวอร์พร็อกซีส่งต่อ ในสถานการณ์นี้ จะต้องกำหนดค่าการเรียกใช้งานในฐานะบัญชีบริการชั่วคราวด้วยแบบเดียวกันกับบัญชีลงชื่อเข้าสู่ระบบสำหรับตัวควบคุมการดูแลระบบ Tableau Server สำหรับการทำงานของคีย์ผลิตภัณฑ์ ดู การกำหนดค่าการดำเนินการคีย์ผลิตภัณฑ์ด้วยพร็อกซีส่งต่อ
- หากคุณกำลังใช้ Resource Monitoring Tool ในองค์กรของคุณอยู่ อาจมีการใช้การเรียกใช้งานในฐานะบัญชีบริการเพื่อรับรองความถูกต้องและรวบรวมข้อมูลฮาร์ดแวร์ เมื่ออัปเดตการเรียกใช้งานในฐานะบัญชี ให้ยืนยันการเชื่อมต่อระหว่าง RMT และ Tableau Server ในการตั้งค่าสภาพแวดล้อม RMT ดังนี้
- เข้าสู่ระบบ RMT ในฐานะผู้ดูแลระบบ
- ไปที่หน้า “สภาพแวดล้อม” (ผู้ดูแลระบบ > สภาพแวดล้อม)
- คลิกแก้ไขสำหรับสภาพแวดล้อมที่ได้รับการอัปเดต
- ในรายการเซิร์ฟเวอร์ ให้ยืนยันว่าแต่ละเซิร์ฟเวอร์แสดงบริการของเอเจนต์เป็นเชื่อมต่อแล้ว วางเมาส์เหนือสถานะเชื่อมต่อเพื่อดูการประทับเวลาของข้อความส่งสัญญาณการทำงานล่าสุดที่ได้รับ