更改运行身份服务帐户
根据您的环境和数据访问要求,您可能希望或需要更改运行身份服务帐户。有两种主要方案可用于更改运行身份服务帐户:
- 将默认运行身份本地帐户 (NetworkService) 替换为域帐户。如果在绝大多数数据源在 Active Directory(Windows NT 集成安全性)上下文中进行身份验证的环境中操作,则需要将运行身份服务帐户配置为使用域帐户,而不是使用本地帐户 (NetworkService)。
- 将现有域运行身份服务帐户更改为其他帐户。
本主题介绍这两种方案,并介绍如何更新运行身份服务帐户密码。
您用于运行身份服务帐户的帐户不应是本地管理员或域管理员帐户的成员。相反,我们建议为运行身份服务帐户使用不是管理员的域用户帐户。使用不是这些管理员组成员的域帐户是一种很好的安全做法,可以帮助避免访问某些数据源和文件夹。有关创建运行身份服务帐户时的最佳做法的信息,请参见创建运行身份服务帐户。
注意:从 Tableau Server 版本 2023.3.x 开始,如果将运行身份服务帐户配置为使用域帐户,则管理员还必须使用 tsm configuration set
命令为文件访问配置服务器允许列表。允许列表将基于文件的数据源访问限制为指定的本地或共享目录路径。有关配置服务器允许列表的详细信息和步骤,请参见安全强化检查表。
将默认运行身份本地帐户 (NetworkService) 替换为域帐户
如果要将默认 NetworkService 帐户替换为域帐户,我们建议为运行身份服务帐户使用专用帐户。请按以下步骤操作:
- 在 Active Directory 中创建运行身份服务帐户
- 将 Tableau Server 配置为使用运行身份服务帐户
创建运行身份服务帐户
执行以下最佳做法:
- 了解运行身份服务帐户如何代表组织中的用户访问数据非常重要。在某些情况下,用户可能会无意中访问其用户帐户未获得明确许可的数据。在创建运行身份服务帐户之前,请查看使用运行身份服务帐户访问数据。
- 在 Active Directory 中针对 Tableau Server 运行身份服务帐户创建专用帐户。换言之,不要使用现有帐户。通过使用专用帐户,您可以确保只能通过 Tableau Server 运行身份服务帐户来访问您针对 Tableau Server 授权的数据资源。
- 运行身份服务帐户用于在 Active Directory 中查询用户和组成员身份。默认情况下,NetworkServices 帐户和默认域用户有权查询 Active Directory。不要为运行身份服务帐户限制读取或查询权限。
- 请不要使用具有任何类型域管理权限的帐户。具体来说,在 Active Directory 中创建帐户时,请在域用户组中创建一个帐户。请不要将您创建的帐户添加到不必提升帐户权限的任何 Active Directory 安全组中。
- 为这一个帐户授予目录中数据源的权限。将用于运行身份服务帐户的帐户只需要适当数据源和网络共享的读取访问权限。
- 如果组织中的用户使用智能卡进行身份验证,请针对运行身份服务帐户禁用智能卡登录选项。
- 如果已经在系统驱动器以外的其他驱动器上安装了 Tableau Server,则需要将系统驱动器配置为允许使用运行身份服务帐户附加权限。系统驱动器是安装有 Windows 的驱动器。例如,如果您已经在 c: 驱动器上安装了 Windows,则 c:/ 是您的系统驱动器。如果您在任何其他驱动器(D:/、E:/ 等)上安装 Tableau Server,则需要在系统驱动器上为运行身份服务帐户配置权限。有关详细信息,请参见所需的运行身份服务帐户设置。
在 Tableau Server 中配置运行身份服务帐户
在 Active Directory 中创建了运行身份服务帐户之后,请将 Tableau Server 配置为使用该帐户。
使用 TSM Web UI 首次配置运行身份服务帐户。
配置运行身份服务帐户
在浏览器中打开 TSM:
https://<tsm-computer-name>:8850。有关详细信息,请参见登录到 Tableau 服务管理器 Web UI。
单击“安全”选项卡,然后单击“运行身份服务帐户”选项卡。
选择“用户帐户”,然后输入服务帐户的用户名和密码。将域名指定为
domain\account
,其中域名是用户所在的域的 NetBIOS 名称:单击“保存”,验证用户名和密码。
完成后,单击“待定更改”,然后单击“应用更改并重新启动”。
更新运行身份服务帐户之后,Tableau Server 将在本地计算机上为您输入的帐户自动配置权限。
将现有域运行身份服务帐户更改为其他帐户
若要将现有域运行身份服务帐户更改为其他帐户,必须对该新帐户应用权限。若要将权限应用于新的运行身份服务帐户,您必须先通过将权限应用到默认 NetworkService 帐户来重置权限。
在开始之前,请验证要用于运行身份服务帐户的新帐户是否符合前面的创建运行身份服务帐户部分中提到的最佳做法。
此过程要求您重新启动 Tableau Server 服务两次,因此请在下班时间运行此过程。
在浏览器中打开 TSM:
https://<tsm-computer-name>:8850。有关详细信息,请参见登录到 Tableau 服务管理器 Web UI。
单击“安全”选项卡,然后单击“运行身份服务帐户”选项卡。
在“用户帐户”下,选择“NT Authority\NetworkService”。
单击“保存”。
完成后,单击“待定更改”,然后单击“应用更改并重新启动”。
服务器重新启动后,打开 TSM 并导航到“运行身份服务帐户”选项卡。
选择“用户帐户”,然后输入服务帐户的用户名和密码。将域名指定为
domain\account
,其中域名是用户所在的域的 NetBIOS 名称:单击“保存”,验证用户名和密码。
完成后,单击“待定更改”,然后单击“应用更改并重新启动”。
为以前的帐户撤消权限。请参见撤消运行身份服务帐户权限。
将运行身份服务帐户重置为 NetworkService。运行以下命令:
tsm configuration set -k service.runas.username -v "NT AUTHORITY\NetworkService"
运行以下命令以保存此更改并重新启动:
tsm pending-changes apply
将运行身份服务帐户设置为新帐户。运行以下命令:
tsm configuration set -k service.runas.username -v <domain\username>
tsm configuration set -k service.runas.password -v "<password>"
将密码用双引号括起来,以确保正确处理字符串中的特殊字符。若要在将存储密码时查看密码,请运行以下命令:
tsm pending-changes list
将向 Active Directory 验证该密码。如果有效,则密码将加密并保存。TSM 将不会报告成功或失败情况。
运行以下命令以保存并重新启动:
tsm pending-changes apply
故障排除:
验证服务器是否已启动。如果其处于降级状态,则您输入的密码可能不正确。通过运行
configuration get
命令来查看存储的密码。此命令将解密密码,并在 shell 中显示密码。运行以下命令:tsm configuration get -k service.runas.password
如果显示以前的密码,则您未输入有效的密码。
输入正确的密码(请参见步骤 3),然后运行以下命令以保存并重新启动:
tsm pending-changes apply
为以前的帐户撤消权限。请参见撤消运行身份服务帐户权限。
更新运行身份服务帐户密码
如果运行身份服务帐户密码在 Active Directory 中已更新,则您必须为 Tableau Server 更新该密码。运行身份服务帐户密码以加密方式存储在 Tableau Server 上。有关详细信息,请参见管理服务器密文。
如果在分布式部署中运行 Tableau Server,则您只需要使用 TSM 在群集中的初始节点上更新密码。TSM 会将此配置自动分发到每个节点。
在浏览器中打开 TSM:
https://<tsm-computer-name>:8850。有关详细信息,请参见登录到 Tableau 服务管理器 Web UI。
单击“安全”选项卡,然后单击“运行身份服务帐户”选项卡。
在“用户帐户”下,输入服务帐户的密码。
单击“保存”以验证密码。
完成后,单击“待定更改”,然后单击“应用更改并重新启动”。
设置新密码。运行以下命令:
tsm configuration set -k service.runas.password -v "<password>"
将密码用双引号括起来,以确保正确处理字符串中的特殊字符。若要验证特殊字符是否已正确转义,请运行以下命令在将存储密码时查看密码:
tsm pending-changes list
将向 Active Directory 验证该密码。如果有效,则密码将加密并保存。TSM 将不会报告成功或失败情况。
运行以下命令以保存并重新启动:
tsm pending-changes apply
故障排除:
验证服务器是否已启动。如果其处于降级状态,则您输入的密码可能不正确。通过运行
configuration get
命令来查看存储的密码。此命令将解密密码,并在 shell 中显示密码。运行以下命令:tsm configuration get -k service.runas.password
如果显示以前的密码,则您未输入有效的密码。
输入正确的密码(请参见步骤 1),然后运行以下命令以保存并重新启动:
tsm pending-changes apply
疑难解答:在 Microsoft 服务控制台中更新密码
在某些情况下,在更新运行身份服务帐户密码后可能会看到服务失败。如果是这样,则您可能需要手动更新“Tableau Server 服务管理器”服务的密码。在 Microsoft 服务管理控制台中更新密码。
如果在分布式部署中运行 Tableau Server,则必须在群集中的每个节点上执行以下过程。
停止 Tableau Server。
若要使用 TSM CLI,请运行以下命令:
tsm stop
若要使用 TSM Web UI,请在页面右上方单击状态旁边的下拉列表,然后单击“停止 Tableau Server”:
在运行 Tableau Server 的 Windows 计算机上打开服务 MMC 管理单元。
双击“Tableau Server 服务管理器”服务打开属性页面。
在“Tableau Server 服务管理器属性”页面上,单击“登录”选项卡,然后输入服务帐户的密码。
单击“应用”,然后单击“确定”。
右键单击服务名称,然后单击“重新启动”,重新启动“Tableau Server 服务管理器”服务。
启动 Tableau Server。
若要使用 TSM CLI,请运行以下命令:
tsm start
若要使用 TSM Web UI,请在页面右上方单击状态旁边的下拉列表,然后单击“启动 Tableau Server”。
相关任务
运行身份服务帐户对 Tableau Server 上的许多操作极为重要,特别是那些涉及远程数据访问的操作。为了避免出现访问错误,请在此处查看任务,并访问适用于方案的任务的链接。
- 如果在具有多个 Active Directory 域的组织中运行 Tableau Server,请参见Active Directory 部署的域信任要求。
- 启用 Kerberos 单点登录需要与运行身份服务帐户相关的其他配置。若要对 Tableau Server 启用 Kerberos 单点登录,请参见 Kerberos。
- 启用模拟需要与运行身份服务帐户相关的其他配置。若要使用 Microsoft SQL Server 部署和启用模拟,请参见使用嵌入式 SQL 凭据进行模拟。
- 如果已经在非系统驱动器上安装了 Tableau Server,则您将需要为运行身份服务帐户手动设置某些权限。有关详细信息,请参见所需的运行身份服务帐户设置。
- 如果已更改了运行身份服务帐户,则我们建议为以前的帐户撤消权限。请参见撤消运行身份服务帐户权限。
- 如果组织使用转发代理解决方案,则您可能需要使用运行身份服务帐户在 Tableau Server 上重新配置本地 LAN 设置。有关详细信息,请参见配置转发代理服务器。在此方案中,还必须为产品密钥操作将运行身份服务帐户暂时配置为 Tableau Server 管理控制器的登录帐户。请参见使用转发代理配置产品密钥操作。
- 如果您在企业中使用Resource Monitoring Tool (RMT),运行身份服务帐户可用于验证和收集硬件信息。更新运行身份帐户时,请在 RMT 环境设置中确认 RMT 和 Tableau Server 之间的连接:
- 以管理员身份登录到 RMT。
- 导航到“环境”页面(“管理”>“环境”)。
- 对于已更新的环境,单击“编辑”。
- 在“服务器”列表中,确认每个服务器均将代理服务显示为“已连接”。将鼠标悬停在“已连接”状态上,以查看收到的最后一条心跳消息的时间戳。