运行身份服务帐户
- 版本 :2022.1 及更高版本
运行身份服务帐户是 Tableau Server 在访问资源时使用的 Windows 帐户(“运行方式”)。例如,Tableau Server 在安装了 Tableau Server 的计算机上读取和写入文件。从 Windows 的角度来看,Tableau Server 是作为运行身份服务帐户来执行此操作的。在某些情况下,Tableau Server 可能会使用运行身份服务帐户来访问来自外部源(如共享网络目录上的数据库或文件)的数据。
在规划 Tableau Server 部署时,需要确定配置为在本地网络服务帐户(NT 颁发机构\网络服务)的上下文中运行的默认运行身份服务帐户是否足以满足您的需求。如果没有,则需要更新运行身份服务帐户,使其在有权访问 Active Directory 域中的资源的域帐户下运行。
无论哪种情况,都必须了解 Tableau Server 用于运行身份服务帐户的帐户的安全隐患。具体而言,如果 Tableau Server 需要访问使用 Windows 身份验证的其他服务器、文件共享或数据库,则将为运行身份服务帐户配置的帐户将用于访问这些资源。为运行身份服务帐户配置的帐户还必须具有对本地 Tableau Server 的提升权限。一般的最佳安全做法是将所有用户帐户的范围限制为所需的最低权限。我们向你提供与你规划运行身份服务帐户相同的建议。有关详细信息,请参阅使用运行身份服务帐户进行数据访问
用于运行身份服务帐户的帐户不应是本地管理员或域管理员帐户的成员。相反,我们建议使用不是运行身份服务帐户管理员的域用户帐户。使用不属于这些管理员组成员的域帐户是一种良好的安全做法,有助于避免访问某些数据源和文件夹。有关创建运行身份服务帐户时的最佳做法的信息,请参阅创建运行身份服务帐户。
您可以在 Tableau Server 安装期间设置运行身份服务帐户,也可以使用 TSM Web UI 更新运行身份服务帐户。Tableau Services Manager 为运行身份服务帐户设置权限,但如果您不确定要用于运行身份服务帐户的帐户是否满足要求,或者您已更改运行身份服务帐户并收到权限错误,请参阅所需的运行身份服务帐户设置。
默认运行身份服务帐户:网络服务
网络服务帐户是具有所有 Windows 计算机上存在的有限权限的预定义本地帐户。虽然它对运行它的本地计算机具有有限的管理访问权限,但与 Active Directory 默认用户组的成员相比,它对资源的访问权限确实更多。例如,网络服务组可以写入注册表、事件日志,并具有登录应用程序服务的特殊权限。
默认情况下,运行身份服务帐户设置为名为“网络服务”的本地帐户。在以下情况下,请使用默认网络服务帐户:
您正在对 Tableau 服务器使用本地身份验证。
组织中的所有用户都将提取的数据包含在他们要上载到 Tableau Server 的工作簿中。
您正在单服务器部署中运行 Tableau Server。
您的用户通过 Tableau Server 访问的外部数据源不需要 Windows NT 集成安全性或 Kerberos。在大多数数据访问方案中,Microsoft SQL Server、MSAS、Teradata 和 Oracle 数据库需要 Windows NT 集成安全性。
虽然网络服务帐户可用于访问同一 Active Directory 域中远程计算机上的资源,但我们不建议在这种情况下使用默认帐户。相反,如果 Tableau Server 必须连接到环境中的数据源,请为运行身份服务帐户配置域帐户。请参阅更改运行身份服务帐户。
运行身份服务帐户:域用户
对于所有 Active Directory 方案,我们建议使用域用户帐户更新 Tableau 服务器运行身份服务帐户。当通过 Tableau Server 访问的数据源需要 Windows NT 集成安全性或 Kerberos 时,将运行身份服务帐户更新为域用户帐户。
If you have deployed a distributed deployment of Tableau Server, then you can update the Run As service account with either a domain user or a Windows workgroup user. In either case, you must use the same user account for all server nodes. See Distributed Requirements for more information.
若要将环境配置为使用域帐户,请参 阅更改运行身份服务帐户 。