Erforderliche Run-as-Benutzerberechtigungen konfigurieren

In gehärteten Server-Umgebungen mit restriktiven Berechtigungsrichtlinien müssen Sie möglicherweise Windows Server-Sicherheitsberechtigungen zur Unterstützung von Run-As-Anmeldedaten aktivieren. Diese Schritte sind für Server-Administratoren gedacht, wenn Run-As-Anmeldedaten nicht sofort verfügbar sind. Hilfe zum Ausführen von Workflows als anderer Benutzer finden Sie auf der Hilfeseite Workflow als anderer Benutzer ausführen .

Um ein Run-As-Benutzerkonto zur Workflow-Ausführung zu verwenden, müssen Server-Administratoren alle erforderlichen Berechtigungen auf jedem Server-Worker-Rechner aktivieren. Überprüfen Sie, ob der sekundäre Anmeldedienst ausgeführt wird, damit alternative Benutzer andere Dienste ausführen können.

Bearbeiten Sie zunächst die lokale Gruppenrichtlinie auf dem Rechner, um dem Run-As-Benutzerkonto die Berechtigung zur Anmeldung als Batchauftrag zu geben.

Wählen Sie Start in der Windows-Taskleiste.
Unter Suchen geben Sie gpedit.msc oder die lokale Gruppenrichtlinie ein.
Wählen Sie im Fenster Editor für lokale Gruppenrichtlinien die Option Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten .
Wählen Sie Anmelden als Batchauftrag aus.
Wählen Sie unter Anmelden als Batchauftrag: Eigenschaften die Option Benutzer oder Gruppe hinzufügen aus.
Geben Sie die erforderlichen Informationen ein, um den Benutzer oder die Gruppe hinzuzufügen.
Wählen Sie OK und Übernehmen .

Legen Sie dann Berechtigungen für jeden Ordner fest, für den Run-As-Benutzerberechtigungen erforderlich sind. Navigieren Sie zu Run-As-Benutzerberechtigungen .

Klicken Sie mit der rechten Maustaste auf den Ordner, für den Sie Berechtigungen festlegen möchten, und wählen Sie Eigenschaften .
Wählen Sie die Registerkarte Sicherheit und dann Bearbeiten .
Wählen Sie unter Gruppen- oder Benutzernamen den Namen des Benutzers aus, dem Sie Berechtigungen erteilen möchten, oder wählen Sie Hinzufügen , um einen Benutzer hinzuzufügen, der nicht in der Liste angezeigt wird.
Wählen Sie unter Berechtigungen für „Run-As-Benutzer" die erforderlichen „Ausführen als“-Berechtigungen für den Benutzer aus.
Wählen Sie Hinzufügen , nachdem Sie alle erforderlichen Berechtigungen ausgewählt haben.
Wählen Sie Anwenden aus.

Führen Sie diese Schritte auf jedem Worker-Rechner für jedes Benutzerkonto aus, das Sie als Run-As-Benutzer hinzufügen möchten.

Erforderliche Run-As-Benutzerberechtigungen

Für jeden Run-As-Benutzer müssen alle diese Berechtigungen auf jedem Worker-Rechner festgelegt werden. Je nach Workflow und Daten- und Programmdateien, auf die der Workflow zugreift, müssen Sie möglicherweise zusätzliche Berechtigungen auf dem Rechner aktivieren.

Der Run-As-Benutzer benötigt außerdem Berechtigungen für den Zugriff auf die Datenquellen, die in den auf dem Server ausgeführten Workflows enthalten sind. Die erforderlichen Berechtigungen und Datenquellen variieren je nach Workflow.

Anmerkung

Die aufgeführten Dateipfade sind die Standardpfade und können geändert werden. Einige Speicherorte werden möglicherweise nicht angezeigt, weil Benutzer den Standardspeicherort ändern.

Tabelle 11. Erforderliche Run-As-Benutzerberechtigungen

Der Ordner, in dem Alteryx installiert ist, enthält Alteryx Programmdateien.

Speicherort: [Installationsverzeichnis] (der Standardspeicherort ist C:\Programme\Alteryx. Dies könnte von Windows versteckt sein).
Berechtigungen: Lesen und Ausführen, Ordnerinhalt anzeigen, Lesen

Der Windows-Ordner „Program Data“ enthält Inhalte, die sich auf die von den Windows-APIs verwendeten Verschlüsselungsschlüssel beziehen.

Speicherort: %ProgramData%\Microsoft\Crypto\RSA\MachineKeys
Berechtigungen: Lesen, Schreiben

Der Ordner, der Server-Lizenzdateien enthält.

Speicherort: %ProgramData%\SRC
Berechtigungen: Lesen und Ausführen

Der Ordner „Server Program files“ enthält installierte Geodaten. Geodaten können auch an anderen Speicherorten installiert werden. Der Zugriff ist nur erforderlich, wenn die Geodaten in die Workflows einbezogen werden.

Speicherort: %ProgramFiles(x86)%\Alteryx
Berechtigungen: Lesen und Ausführen

Im Staging-Ordner, der unter System Settings > Worker > General > Workspace angegeben ist. Dieser Ordner enthält temporäre Dateien, wie z. B. nicht in Package integrierte Workflows, oder andere Dateien, die zur Ausführung von Workflows verwendet werden. Stellen Sie sicher, dass diese Unterordner die Berechtigungen übernehmen: MapTileCache, Results, Cache, TileSetInfoCache und XProcessCache.

Speicherort: %ProgramData%\Alteryx\Service\Staging
Berechtigungen: Ändern, Lesen und Ausführen, Ordnerinhalt anzeigen, Lesen, Schreiben

Der Engine-Ordner unter System Settings > Engine > General > Temporary Directory . Dieser Ordner enthält temporäre Dateien, die in verarbeiteten Workflows und Apps verwendet werden.

Speicherort: %ProgramData%\Alteryx\Engine
Berechtigungen: Ändern, Lesen und Ausführen, Ordnerinhalt anzeigen, Lesen, Schreiben

Das Protokollierungsverzeichnis, das unter Systemeinstellungen > Engine > General > Logging Directory angegeben ist. Dieser Ordner enthält Ausgabedateien, die bei der Verarbeitung von Workflows oder Apps erstellt werden. Standardmäßig ist die Protokollierung deaktiviert, sodass das Verzeichnis möglicherweise leer ist.

Berechtigungen: Ändern, Ordnerinhalt anzeigen, Lesen, Schreiben (Schreibberechtigung wird nur benötigt, wenn die Protokollierung aktiviert ist.)

Die Benutzerkonten „Run-As"- und „Workflow-Anmeldedaten“ müssen über ein Profil auf dem lokalen Rechner verfügen, auf dem der Workflow ausgeführt wird, und müssen die volle Kontrolle über dieses Profil haben. Dieses Profil sollte automatisch mit den korrekten Berechtigungen erstellt werden, wenn ein Auftrag zum ersten Mal mit den angegebenen Anmeldedaten ausgeführt wird.

Speicherort: C:\Users\<UserName>: %HOMEDRIVE%%HOMEPATH%
Berechtigungen: Vollzugriff

Dies ist die Mindestberechtigung, die für den Profil-Speicherordner von Windows erforderlich ist, damit Profile erfolgreich erstellt werden können.

Location: C:\Users: %HOMEDRIVE%\Users
Berechtigungen: Lesen und Ausführen, Ordnerinhalt anzeigen, Lesen

Standard-Workflow-Anmeldedaten festlegen

Benutzer und Admins können Standard-Workflow-Anmeldedaten („Run As“-Anmeldedaten) wie folgt festlegen:

Als Benutzer können Sie beliebige Workflow-Anmeldedaten verwenden, die für Sie freigegeben wurden, oder benutzerdefinierte Anmeldedaten (in der Regel Ihre eigenen) über Ihr Profil festlegen.
Als Administrator können Sie die Run-As-Anmeldedaten für einen Benutzer über die Server-API festlegen.
- Sie können dies entweder während der Kontoerstellung erledigen über den Endpunkt POST /v3/users , oder wenn Sie einen bestehenden Benutzer aktualisieren über den Endpunkt PUT /v3/users/{id} .
- Um einen Berechtigungsnachweis über diese API-Endpunkte festzulegen, müssen Sie die defaultCredentialId auf die Id eines in der Server-Umgebung vorhandenen Workflow-Berechtigungsnachweises setzen. Sie können nur Anmeldedaten auswählen, die für den Benutzer freigegeben wurden. Um die Id eines Berechtigungsnachweises zu finden oder sie für den Benutzer freizugeben, können Sie die verschiedenen Endpunkte für Berechtigungsnachweise /v3/credentials verwenden. Weitere Informationen über Anmeldedatenendpunkte finden Sie auf der Hilfeseite Anmeldedatenendpunkte .
Als Administrator können Sie die Standard-Workflow-Anmeldedaten über die Studio-Detailseite festlegen. Dies gilt für alle Benutzer im Studio.

In diesem Abschnitt:

Erforderliche Run-as-Benutzerberechtigungen konfigurieren

Erforderliche Run-As-Benutzerberechtigungen

Suchresultat