运行身份服务帐户疑难解答

如运行身份服务帐户主题中所述，Tableau Server 需要对它所安装到的计算机具有类似于管理的访问权限。因此，当您更新运行身份服务帐户时，后台进程将为该帐户配置对 Tableau 计算机的权限。然而，在一些复杂的部署方案中，您可能需要在本地 Tableau Server 计算机上验证或手动配置运行身份服务帐户权限。使用本部分来验证在部署内运行 Tableau Server 的计算机上配置权限的方式。此部分还包括描述如何设置权限以及如何为运行身份服务帐户配置安全策略的过程。

此部分中的其他文章

• 所需的运行身份服务帐户设置

运行身份服务帐户需要允许其修改文件和注册表设置的权限。此外，因为运行身份服务帐户用作 Tableau Server 应用程序管理器服务 (tabsvc) 的安全上下文，因此还必须为帐户提供作为服务登录的权限。

在 Tableau Server 配置中更新运行身份服务帐户时会自动设置这些权限，如更改运行身份服务帐户主题所述。

如果已更改了运行身份服务帐户，则我们建议为以前的帐户撤消权限。请参见撤消运行身份服务帐户权限。

您用于运行身份服务帐户的帐户不应是本地管理员或域管理员帐户的成员。相反，我们建议为运行身份服务帐户使用不是管理员的域用户帐户。使用不是这些管理员组成员的域帐户是一种很好的安全做法，可以帮助避免访问某些数据源和文件夹。有关创建运行身份服务帐户时的最佳做法的信息，请参见创建运行身份服务帐户。

如果您最近更改了运行身份服务帐户或者收到权限错误，请使用本部分来确认 Tableau Server 满足此处详述的权限要求。如果您运行的是分布式安装，则所有运行身份服务帐户权限配置在所有节点中都必须相同。

注意： 不要隐藏 Tableau Server 安装程序创建的文件。

• 验证文件夹权限

运行 Tableau Server 服务所采用的帐户称为运行身份服务帐户。运行身份服务帐户需要 Windows 计算机上特定文件夹资源的权限。

本主题提供：

• 运行身份服务帐户所需要权限的叙述。

• 有关在非默认位置安装 Tableau Server 的信息。

• 如何使用 TSM 将权限重新应用于现有运行身份服务帐户。

本主题将安装 Windows 的驱动器称为系统驱动器。系统驱动器相当于 Windows 环境变量 %WINDIR%。安装 Tableau Server 的驱动器称为安装驱动器。

在 TSM 中更新运行身份服务帐户时，后台进程将为您指定的运行身份服务帐户配置 Tableau 计算机上的文件夹权限。

在要安装到系统驱动器上的默认文件夹 (C:\Program Files\Tableau) 的情况下，文件夹权限配置将由 TSM 来处理。对于这种情况，您不需要验证或更改任何文件夹权限。如果将 Tableau Server 安装到其他驱动器上，您将需要手动配置某些权限。

安装在非默认位置

如果将 Tableau Server 安装在其他驱动器上的非默认位置，则需要为运行身份服务帐户以及预定义本地帐户（网络服务、本地服务和系统）配置对该安装文件夹的权限。

下表描述了在非默认位置安装 Tableau Server 的情况下应用的权限。所有这些权限均针对安装文件夹设置，并由安装文件夹中的子文件夹和文件继承。这些权限由 Tableau 安装程序配置，并且在您将 Tableau Server 升级到新版本时也会重新配置。更改这些文件夹的权限可能会影响功能。

有关 Tableau Server 使用的不同帐户的详细信息，请参见Windows 帐户和权限。

重新应用文件夹权限

在某些组织中，会使用组策略或其他系统管理解决方案对应用程序服务器上的权限和帐户进行标准化。如果您的组织运行此类解决方案，请确保将系统配置为提供运行身份服务帐户所需的文件夹权限。如果运行身份服务帐户的文件夹权限已更改，您可以使用 TSM 来重新应用权限。请参见将现有域运行身份服务帐户更改为其他帐户。

• 验证注册表权限

用于运行 Tableau Server 服务的帐户需要在本地计算机上修改注册表的权限。

在多节点群集中，只会在群集中的 tsm 节点上授予注册表权限。

更新运行身份服务帐户时，TSM 将在 Tableau 计算机上为您指定的帐户配置注册表权限。您不太可能需要手动应用这些权限。

请验证是否为运行身份服务帐户授予了对 HKEY_LOCAL_MACHINE\Software\Tableau 注册表分支的权限。如果已指定为运行身份服务帐户的帐户是本地管理组的成员或者是域管理员安全组的成员，则此帐户将不会显示在“权限”页面上。

权限

TSM 将授予对这些分支的读取权限和以下特殊权限：

• 查询值

• 设置值

• 创建子项

• 枚举子项

• 通知

• 写入 DAC

• 写入所有者

• 读取控制

查看或编辑对注册表目录的权限：

1. 通过在 Windows 的“运行”中输入 regedit，然后单击“确定”，以打开注册表编辑器。

2. 在注册表编辑器中，导航到想要在其中查看或编辑权限的目录。右键单击此目录，然后单击“权限...”。

3. 在“权限”中的“安全性”选项卡上，选择运行身份服务帐户，然后单击“高级”。
   如果您要添加运行身份服务帐户，则单击“添加”，并执行用于将用户帐户添加到“安全”选项卡的 Windows 过程。添加该帐户后，则选择运行身份服务帐户，然后单击“高级”

4. 在“高级安全设置”中的“权限”选项卡上，选择运行身份服务帐户，然后单击“编辑”。

5. 在“权限项”上的“基本权限”下面，验证是否选择了“读取”和“特殊权限”。验证是否未选择“只将这些权限应用于此容器内的对象和/或容器”。

6. 若要查看或编辑特殊权限，请单击“显示高级权限”。

7. 在“高级权限”下面，验证本主题开头所列举的权限是否已选中。验证是否未选择“只将这些权限应用于此容器内的对象和/或容器”。

8. 如果您已设置新的权限，则单击多个窗口中的“确定”以完成操作。如果您已查看权限并且未编辑任何内容，则单击“取消”以关闭所有窗口。

• 验证本地安全策略

您在 Tableau 服务管理器中指定运行身份服务帐户之后（如主题更改运行身份服务帐户中所述），TSM 将更新运行 Tableau Server 的计算机上的本地安全策略。TSM 将更新本地安全策略，以向运行身份服务帐户提供“作为服务登录”和“本地登录”权限。之所以需要这种提升的策略，原因是使用了运行身份服务帐户作为 Tableau Server 应用程序管理器服务 (tabsvc) 的安全上下文。

注意：如果在 TSM 中指定的运行身份服务帐户是本地管理员或域管理员的成员，则 TSM 可能不会更新本地安全策略。使用作为本地管理员或域管理员成员的帐户更新运行身份服务帐户不是一个好的安全策略。建议为运行身份服务帐户使用域用户帐户。

在某些情况下，您可能需要为运行身份服务帐户手动设置安全策略。例如，某些组织运行 Windows 组策略，该策略会移除已对用户帐户设置的“作为服务登录”或“允许本地登录”权限。或者组织可能会运行一个策略，该策略通过指定“拒绝作为服务登录”引起了权限冲突。如果您的组织进行了此操作，则您将需要禁用或编辑此类组策略，使您的运行身份服务帐户不受影响。有关创建运行身份服务帐户时的最佳做法的详细信息，请参见创建运行身份服务帐户。

以下过程描述如何手动配置安全策略“作为服务登录”和“允许本地登录”。您也可以使用下面的过程来验证是否为您的运行身份服务帐户适当地配置了本地安全策略权限。例如，您应该验证在“拒绝作为服务登录”策略中是否未指定运行身份服务帐户。

如果您运行的是分布式安装，则配置在初始节点和所有附加节点中都必须相同。

验证或更新本地安全策略：

1. 选择“开始”>“控制面板”>“管理工具”>“本地安全策略”。

2. 在“本地安全策略”中，打开“本地策略”，选择“用户权限分配”。

   验证或设置“作为服务登录”策略：

   若要验证或设置“允许本地登录”策略，请执行以下操作：

   验证在“拒绝作为服务登录”策略中是否未指定运行身份服务帐户：

1. 右键单击“拒绝作为服务登录”策略，然后单击“属性”。

2. 在“拒绝作为服务登录”属性中，验证是否未列出运行身份服务帐户。如果是，请移除它。完成后，单击“确定”。

3. 右键单击“允许本地登录”策略，然后单击“属性”。

4. 验证是否指定了运行身份服务帐户。如果未指定，请按照上面的过程进行操作，添加运行身份服务帐户。

5. 右键单击“作为服务登录”策略，然后单击“属性”。

   

6. 在“作为服务登录属性”中，单击“添加用户或组”。

7. 键入 Tableau Server 运行身份服务帐户的 （例如：MYCO\tableau_server），然后单击“检查名称”。

8. 当帐户解析正确时，会带有下划线。单击“确定”。

3. 单击“确定”关闭“本地安全设置”窗口。

• 验证 Tableau Service 设置

确认为 Tableau Service 分配了正确的“登录”和“启动”值：如果您运行的是 Tableau Server 的分布式安装，请在群集中的所有节点上执行这些步骤。

注意：TSM 服务的启动值在以下维护版本中发生了变化：2020.215、2020.3.10、2020.4.6 和 2021.1.3。对于以下 TSM 服务，值从“自动”更改为“自动（延迟启动）”：Tableau Server 管理代理、Tableau Server 管理控制器、Tableau Server 客户端文件服务、Tableau Server 协调服务、Tableau Server 许可证管理器和 Tableau Server 服务管理器。如果您运行的是较旧版本的 Tableau Server，则不必从“自动”更改这些值，但这样做不会产生负面影响。

1. 以管理员身份登录到运行 Tableau Server 的计算机。

2. 在 Tableau Server 计算机上，选择“开始”>“控制面板”>“管理工具”>“计算机管理”>“服务和应用程序”>“服务”。

3. 打开“服务和应用程序”，然后单击“服务”。确认以下服务具有正确设置：

   服务名称	登录值	启动值
   FLEXnet Licensing Service 64	本地系统	自动
   Secondary Logon	本地系统	手动
   Tableau Server 管理代理	本地系统	自动（延迟启动）
   Tableau Server 管理控制器	网络服务	自动（延迟启动）
   Tableau Server 客户端文件服务	网络服务	自动（延迟启动）
   Tableau Server 协调服务	网络服务	自动（延迟启动）
   Tableau Server 许可证管理器 （仅在初始节点上运行）	本地服务 许可证管理器依赖于应用于本地服务的默认 Windows 文件夹权限。在更安全的环境中，您必须修改 Tableau 安装目录的权限。否则，您可能会遇到许可错误。 有关详细信息，请参见验证文件夹权限。	自动（延迟启动）
   Tableau Server 服务管理器		自动（延迟启动）

注意：不要更改“Tableau Server 服务管理器属性”对话框的“恢复”选项卡上的默认设置；将故障恢复的设置保留为“重新启动服务”。

更改“登录”值

若要将 Tableau Server (tabsvc) 的“登录”值更改为运行身份服务帐户，请参见更改运行身份服务帐户。

• 撤消运行身份服务帐户权限

在 Tableau Sever 配置实用工具中更改运行身份服务帐户不会从以前的帐户中移除权限。因此，在更改运行身份服务帐户之后，作为一项安全最佳做法，我们建议从以前的帐户中手动撤消权限。按照下面的过程进行操作，从以前的运行身份服务帐户中撤消权限。

如果已更改了您的运行身份服务帐户，并且组织使用转发代理解决方案，则您可能需要使用新的运行身份服务帐户重新配置本地 LAN 设置。有关详细信息，请参见配置转发代理服务器。

您必须使用管理员帐户登录到 Tableau Server 计算机才能执行以下过程。

移除文件夹权限

Tableau Server 根据您安装 Tableau Server 的位置配置 Windows 文件夹权限。移除文件夹权限之前，请查看验证文件夹权限以确定将需要为其移除权限的资源。为您已确定的每个资源运行以下过程：

1. 对于每个资源（驱动器、文件夹、可执行文件夹），右键单击资源，然后单击“属性”。

2. 在资源属性页面上，单击“安全”选项卡，然后单击“编辑”以更改权限。

3. 在“权限”页面上，选择以前的运行身份服务帐户，然后单击“移除”。

4. 单击“确定”。

移除注册表权限

从以下注册表位置中移除以前的运行身份服务帐户：

• HKEY_CURRENT_USER\Software\Tableau

• HKEY_LOCAL_MACHINE\Software\Tableau

警告：不正确地编辑 Windows 注册表可能会对计算机造成严重影响。

1. 通过在 Windows 的“运行”中输入 regedit，然后单击“确定”，以打开注册表编辑器。

2. 对于每个注册表目录，右键单击 Tableau 文件夹，然后单击“权限”。

3. 在“Tableau 的权限”页面上，选择以前的运行身份服务帐户，然后单击“移除”。

4. 单击“确定”。

移除安全策略

从以下安全策略中移除以前的运行身份服务帐户：

• “作为服务登录”策略

• “允许本地登录”策略

1. 选择“开始”>“控制面板”>“管理工具”>“本地安全策略”。

2. 在“本地安全策略”中，打开“本地策略”，选择“用户权限分配”。

3. 对于每个策略：

1. 右键单击策略，然后选择“属性”。

2. 在属性策略页面上，选择以前的运行身份服务帐户，然后单击“移除”。

3. 单击“确定”。