變更執行身分服務帳戶

根據您的環境和資料存取需求,您可能想要或需要變更執行身分服務帳戶。有兩種主要情況需要您變更執行身分服務帳戶:

  • 使用網域帳戶取代預設的執行身分本機帳戶 (NetworkService)。如果在絕大多數資料來源在 Active Directory(Windows NT 集成安全性)上下文中進行驗證的環境中操作,則需要將執行身分服務帳戶設定為使用域帳戶,而不是使用本機帳戶 (NetworkService)。
  • 將現有的網域執行身分服務帳戶變更為不同帳戶。

本主題介紹這兩種情況,並說明如何更新執行身分服務帳戶密碼。

用來執行身分服務帳戶的帳戶,不應該是本機管理員或網域管理員帳戶的成員。反而建議使用非管理員的網域使用者帳戶作為執行身分服務帳戶。使用非屬於這些管理員群組的網域帳戶是一種很好的安全做法,有助於避免存取某些資料來源和文件夾。有關建立執行身分服務帳戶時最佳做法的詳情,請參閱建立執行身分服務帳戶

附註:Tableau Server 開始,如果將「執行身分」服務帳戶設定為使用網域帳戶,管理員還必須使用 tsm configuration set 命令為檔案存取設定伺服器允許清單。允許清單將基於檔案的資料來源存取限制為指定的本機或共用目錄路徑。有關設定伺服器允許清單的詳細資訊與步驟,請參閱 安全強化檢查清單

使用網域帳戶取代預設的執行身分本機帳戶 (NetworkService)

如果您要使用網域帳戶取代預設的 NetworkService 帳戶,建議您使用執行身分服務帳戶的專用帳戶。請按以下步驟操作:

  1. 在 Active Directory 中建立執行身分服務帳戶
  2. 設定 Tableau Server 以使用執行身分服務帳戶

建立執行身分服務帳戶

執行以下最佳做法:

  • 瞭解執行身分服務帳戶如何代表組織中的使用者訪問資料非常重要。在某些情況下,使用者可能會無意中存取其使用者帳戶未明確獲得許可的資料。在建立執行身分服務帳戶之前,請先檢視使用「執行身分」服務帳戶進行資料存取
  • 在 Active Directory 中針對 Tableau Server 執行身分服務帳戶建立專用帳戶。換言之,不要使用現有帳戶。透過使用專用帳戶,您可以確保只能透過 Tableau Server 執行身分服務帳戶來存取您針對 Tableau Server 授權的資料資源。
  • 執行身分服務帳戶用於在 Active Directory 中查詢使用者和群組成員資格。預設情況下,NetworkServices 帳戶和預設網域使用者有權查詢 Active Directory。請勿限制執行身分服務帳戶的讀取或查詢權限。
  • 請不要使用具有任何類型網域管理權限的帳戶。具體來說,在 Active Directory 中建立帳戶時,請在網域使用者群組中建立一個帳戶。請不要將您建立的帳戶新增到不必提升帳戶權限的任何 Active Directory 安全性群組中。
  • 為這一個帳戶授予目錄中資料來源的權限。將用於執行身分服務帳戶的帳戶只需要適當資料來源和網路共用的讀取存取權限。
  • 如果組織中的使用者使用智慧卡進行驗證,請針對執行身分服務帳戶停用智慧卡登入選項。
  • 如果已經在系統磁碟機以外的其他磁碟機上安裝了 Tableau Server,則需要將系統磁碟機設定為允許使用執行身分服務帳戶附加權限。系統磁碟機是安裝有 Windows 的磁碟機。例如,如果您已經在 c: 磁碟機上安裝了 Windows,則 c:/ 是您的系統磁碟機。如果您在任何其他磁碟機(D:/、E:/ 等)上安裝 Tableau Server,則需要在系統磁碟機上為執行身分服務帳戶設定使用權限。有關詳情,請參閱所需的執行身分服務帳戶設定

在 Tableau Server 中設定執行身分服務帳戶

在 Active Directory 中建立了執行身分服務帳戶之後,請將 Tableau Server 設定為使用該帳戶。

第一次使用 TSM Web UI 設定執行身分服務帳戶。

設定執行身分服務帳戶

  1. 在瀏覽器中開啟 TSM:

    https://<tsm-computer-name>:8850。有關詳情,請參閱登入到 Tableau 服務管理員 Web UI

  2. 按一下「安全」索引標籤,然後按一下「執行身分服務帳戶」索引標籤。

  3. 選取「使用者帳戶」,然後輸入服務帳戶的使用者名和密碼。將功能變數名稱指定為 domain\account,其中功能變數名稱是使用者所在的域的 NetBIOS 名稱:

  4. 按一下「儲存」,驗證使用者名和密碼。

  5. 完成後,按一下「暫止的變更」,然後按一下「套用變更並重新啟動」

更新執行身分服務帳戶之後,Tableau Server 將在本機電腦上為您輸入的帳戶自動設定使用權限。

將現有的網域執行身分服務帳戶變更為不同帳戶

若要將現有的網域執行身分服務帳戶變更為不同帳戶,您必須將權限套用至該新帳戶。若要將使用權限套用到新的執行身分服務帳戶,您必須先透過將使用權限應用到預設 NetworkService 帳戶來重設使用權限。

開始之前,請驗證您將用於執行身分服務帳戶的新帳戶是否符合前一節建立執行身分服務帳戶中所述的最佳做法。

此過程要求您重新開機 Tableau Server 服務兩次,因此請在下班時間執行此過程。

使用 TSM Web 介面
使用 TSM CLI

更新執行身分服務帳戶密碼

如果執行身分服務帳戶密碼在 Active Directory 中已更新,則您必須更新 Tableau Server 密碼。執行身分服務帳戶密碼以加密方式存放在 Tableau Server 上。有關詳情,請參閱管理伺服器密碼

如果您在分散式部署中執行 Tableau Server,則只需在叢集的起始節點上透過 TSM 更新密碼。TSM 會將此設定自動散佈至每個節點。

使用 TSM Web 介面
使用 TSM CLI

疑難排解:更新 Microsoft Services 主控台中的密碼

在某些情況下,您可能會在更新執行身分服務帳戶密碼之後看到服務失敗。在此情況下,您可能需要手動更新 Tableau Server Services Manager 服務的密碼。更新 Microsoft Services 管理主控台中的密碼。

如果在分散式部署中執行 Tableau Server,則必須在叢集的每個節點上執行以下步驟。

  1. 停止 Tableau Server。

    • 若要使用 TSM CLI,請執行以下命令:

      tsm stop

    • 若要使用 TSM Web UI,在頁面右上方,按一下狀態旁的下拉式清單,然後按一下「停止 Tableau Server」

  2. 在執行 Tableau Server 的 Windows 電腦上開啟服務 MMC 嵌入式管理單元。

  3. 按兩下「Tableau Server Services Manager」服務以開啟屬性頁面。

  4. 「Tableau Server Services Manager 屬性」頁面上,按一下「登入」索引標籤,然後輸入服務帳戶的密碼。

  5. 按一下「套用」,然後按一下「確定」

  6. 透過右鍵按一下服務名稱,然後按一下「重新啟動」重啟「Tableau Server Services Manager」服務。

  7. 啟動 Tableau Server。

    • 若要使用 TSM CLI,請執行以下命令:

      tsm start

    • 若要使用 TSM Web UI,在頁面右上方,按一下狀態旁的下拉式清單,然後按一下「啟動 Tableau Server」

相關任務

執行身分服務帳戶對 Tableau Server 上的許多操作極為重要,特別是那些涉及遠端資料存取的操作。為了避免出現存取錯誤,請在此處查看任務,並存取適用於方案的任務的連結。

  • 如果在具有多個 Active Directory 網域的組織中執行 Tableau Server,請參閱Active Directory 部署的網域信任需求
  • 啟用 Kerberos 單一登入需要與執行身分服務帳戶相關的其他設定。若要對 Tableau Server 啟用 Kerberos 單一登入,請參閱 Kerberos
  • 啟用類比需要與執行身分服務帳戶相關的其他設定。若要使用 Microsoft SQL Server 部署和啟用模擬,請參閱使用內嵌 SQL 認證進行模擬
  • 如果已經在非系統磁碟機上安裝了 Tableau Server,則您將需要為執行身分服務帳戶手動設定某些使用權限。有關詳情,請參閱所需的執行身分服務帳戶設定
  • 如果已變更了執行身分服務帳戶,則我們建議為以前的帳戶撤銷權限。請參閱撤銷執行身分服務帳戶權限
  • 如果組織使用正向 Proxy 解決方案,則您可能需要使用執行身分服務帳戶在 Tableau Server 上重新設定本機 LAN 設定。有關詳情,請參閱設定正向 Proxy 伺服器。在這種情況下,您必須將執行身分服務帳戶暫時設定為 Tableau Server 管理控制器的登入帳戶,產品金鑰才能正常工作。請參閱設定正向 Proxy 產品金鑰操作
  • 若在企業中使用Resource Monitoring Tool (RMT),則執行身分服務帳戶可用於驗證和收集硬體資訊。更新執行身分帳戶時,在 RMT 環境設定中確認 RMT 和 Tableau Server 之間的連線:
    1. 以管理員身分登入 RMT。
    2. 巡覽到環境頁面(管理 > 環境)。
    3. 對已更新的環境按一下編輯
    4. 伺服器清單中,確認每台伺服器都將代理程式服務顯示為已連線。將滑鼠懸停在已連線狀態上,以查看收到的最後一個活動訊號訊息的時間戳記。