验证本地安全策略
您在 Tableau 服务管理器中指定运行身份服务帐户之后(如主题更改运行身份服务帐户中所述),TSM 将更新运行 Tableau Server 的计算机上的本地安全策略。TSM 将更新本地安全策略,以向运行身份服务帐户提供“作为服务登录”和“本地登录”权限。之所以需要这种提升的策略,原因是使用了运行身份服务帐户作为 Tableau Server 应用程序管理器服务 (tabsvc) 的安全上下文。
注意:如果在 TSM 中指定的运行身份服务帐户是本地管理员或域管理员的成员,则 TSM 可能不会更新本地安全策略。使用作为本地管理员或域管理员成员的帐户更新运行身份服务帐户不是一个好的安全策略。建议为运行身份服务帐户使用域用户帐户。
在某些情况下,您可能需要为运行身份服务帐户手动设置安全策略。例如,某些组织运行 Windows 组策略,该策略会移除已对用户帐户设置的“作为服务登录”或“允许本地登录”权限。或者组织可能会运行一个策略,该策略通过指定“拒绝作为服务登录”引起了权限冲突。如果您的组织进行了此操作,则您将需要禁用或编辑此类组策略,使您的运行身份服务帐户不受影响。有关创建运行身份服务帐户时的最佳做法的详细信息,请参见创建运行身份服务帐户。
以下过程描述如何手动配置安全策略“作为服务登录”和“允许本地登录”。您也可以使用下面的过程来验证是否为您的运行身份服务帐户适当地配置了本地安全策略权限。例如,您应该验证在“拒绝作为服务登录”策略中是否未指定运行身份服务帐户。
如果您运行的是分布式安装,则配置在初始节点和所有附加节点中都必须相同。
验证或更新本地安全策略:
选择“开始”>“控制面板”>“管理工具”>“本地安全策略”。
在“本地安全策略”中,打开“本地策略”,选择“用户权限分配”。
验证或设置“作为服务登录”策略:
- 右键单击“作为服务登录”策略,然后单击“属性”。
- 在“作为服务登录属性”中,单击“添加用户或组”。
- 键入 Tableau Server 运行身份服务帐户的
<domain>\<username>
(例如:MYCO\tableau_server
),然后单击“检查名称”。 - 当帐户解析正确时,会带有下划线。单击“确定”。
若要验证或设置“允许本地登录”策略,请执行以下操作:
- 右键单击“允许本地登录”策略,然后单击“属性”。
- 验证是否指定了运行身份服务帐户。如果未指定,请按照上面的过程进行操作,添加运行身份服务帐户。
验证在“拒绝作为服务登录”策略中是否未指定运行身份服务帐户:
- 右键单击“拒绝作为服务登录”策略,然后单击“属性”。
- 在“拒绝作为服务登录”属性中,验证是否未列出运行身份服务帐户。如果是,请移除它。完成后,单击“确定”。
单击“确定”关闭“本地安全设置”窗口。