运行身份服务帐户
运行身份服务帐户 Tableau Server 在访问资源时使用的 Windows 帐户(“运行身份”)。例如,Tableau Server 会读写安装了 Tableau Server 的计算机上的文件。从 Windows 的角度来看,Tableau Server 执行此操作使用的是运行身份服务帐户。在某些情况下,Tableau Server 可能会使用运行身份服务帐户访问外部来源中的数据,例如共享网络目录上的数据库或文件。
计划 Tableau Server 部署时,您需要确定配置为在本地网络服务帐户 (NT Authority\Network Service) 上下文中运行的默认运行身份服务帐户是否将满足您的需求。如果它不满足您的需求,则您将需要更新运行身份服务帐户,以使用能够访问 Active Directory 域中的资源的域帐户来运行。
注意:从 Tableau Server 版本 2023.3.x 开始,如果将运行身份服务帐户配置为使用域帐户,则管理员还必须使用 tsm configuration set
命令为文件访问配置服务器允许列表。允许列表将基于文件的数据源访问限制为指定的本地或共享目录路径。有关配置服务器允许列表的详细信息和步骤,请参见安全强化检查表。
在任何一种情况下,了解 Tableau Server 用于运行身份服务帐户的帐户的安全含义很重要。具体而言,如果 Tableau Server 需要访问使用 Windows 身份验证的其他服务器、文件共享或数据库,则为运行身份服务帐户配置的帐户将用于访问这些资源。为运行身份服务帐户配置的帐户还必须具有本地 Tableau Server 的提升权限。一般的最佳安全做法是将所有用户帐户的范围局限于所需的最低权限。当您计划运行身份服务帐户时,我们向您提供同样的建议。有关详细信息,请参见使用运行身份服务帐户访问数据。
您用于运行身份服务帐户的帐户不应是本地管理员或域管理员帐户的成员。相反,我们建议为运行身份服务帐户使用不是管理员的域用户帐户。使用不是这些管理员组成员的域帐户是一种很好的安全做法,可以帮助避免访问某些数据源和文件夹。有关创建运行身份服务帐户时的最佳做法的信息,请参见创建运行身份服务帐户。
您可以在 Tableau Server 安装过程中设置运行身份服务帐户,也可以使用 TSM Web UI 更新运行身份服务帐户。Tableau 服务管理器将为运行身份服务帐户设置权限,但如果您不确定要为运行身份服务帐户使用的帐户是否满足要求,或者您更改了运行身份服务帐户并收到权限错误,请参见所需的运行身份服务帐户设置。
默认运行身份服务帐户:网络服务
网络服务帐户是所有 Windows 计算机上存在的具有有限权限的预定义本地帐户。虽然它对运行时所在的本地计算机具有有限的管理访问权限,但与 Active Directory 默认用户组的成员相比,它对资源具有更多的访问权限。例如网络服务组可以写入注册表、事件日志中,并且具有应用程序服务登录的特殊权限。
默认情况下,运行身份服务帐户已设置为称为网络服务的本地帐户。以下情况下使用默认网络服务帐户:
对 Tableau Server 使用本地身份验证。
- 组织中的所有用户都在要上载到 Tableau Server 的工作簿中包括提取的数据。
- 您在单服务器部署中运行 Tableau Server。
- 您的用户通过 Tableau Server 访问的外部数据源不需要 Windows NT 集成安全性或 Kerberos。在大多数数据访问方案中,Microsoft SQL Server、MSAS、Teradata 和 Oracle 数据库需要 Windows NT 集成安全性。
虽然网络服务帐户可用于访问同一 Active Directory 域内远程计算机上的资源,但是我们不建议对此类方案使用默认帐户。如果 Tableau Server 必须连接到您的环境中的数据源,则改为配置运行身份服务帐户的域帐户。请参见更改运行身份服务帐户。
运行身份服务帐户:域用户
对于所有 Active Directory 方案,我们建议使用域用户帐户更新 Tableau Server 运行身份服务帐户。通过 Tableau Server 访问的数据源需要 Windows NT 集成安全性或 Kerberos 时,请将运行身份服务帐户更新为域用户帐户。
如果您已进行了 Tableau Server 的分布式部署,则必须更新域用户或 Windows 工作组用户的运行身份服务帐户。在任何一种情况下,您必须对所有服务器节点使用相同的用户帐户。有关详细信息,请参见分布式要求。
若要将您的环境配置为使用域帐户,请参见更改运行身份服务帐户。