Configurazione delle autorizzazioni obbligatorie per gli utenti run-as

Negli ambienti server con protezione avanzata e criteri di autorizzazione restrittivi, per supportare le credenziali run-as potrebbe essere necessario abilitare le autorizzazioni di sicurezza di Windows Server. Questi passaggi sono destinati agli amministratori di Server quando le credenziali run-as fornite non funzionano. Gli utenti di Server che desiderano assistenza nell'esecuzione dei flussi di lavoro come altro utente possono accedere alla pagina della guida Esecuzione di un flusso di lavoro come altro utente.

Per utilizzare un account utente run-as per eseguire flussi di lavoro, gli amministratori di Server devono abilitare tutte le autorizzazioni necessarie in ogni macchina worker di Server. Verifica che il servizio Accesso secondario sia in esecuzione per consentire a utenti alternativi di eseguire altri servizi.

Required Run As User Group Policy

First, edit the local group policy on the machine to give the Run As user account permission to log on as a batch job.

Select Start on the Windows taskbar.
In Search, enter gpedit.msc or local group policy.
In the Local Group Policy Editor window, select Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
Select Log on as a batch job.
In Log on as a batch job Properties, select Add User or Group.
Complete the required information to add the user or group.
Select OK and Apply.

Autorizzazioni Utente run-as richieste

Then, set permissions on each of the folders requiring Run As user permissions. Refer to the Required Run As User Permissions table for the list of permissions.

Right-click the folder for which you want to set permissions and select Properties.
Select the Security tab and select Edit.
In Group or user names, select the name of the user you want to grant permissions to or select Add to add a user that doesn't appear in the list.
In Permissions for Run As User, select the required Run As permissions for the user.
Select Add after selecting all required permissions.
Select Apply.

Complete these steps on each worker machine for each of the user accounts you want to add as a Run As user.

Per ciascun utente run-as è necessario impostare in ogni macchina worker tutte le autorizzazioni indicate. Potrebbe essere necessario abilitare sulla macchina autorizzazioni aggiuntive a seconda del flusso di lavoro e dei file di dati e di programma a cui il flusso di lavoro deve accedere.

L'utente run-as deve inoltre disporre delle autorizzazioni per l'accesso alle origini dati incluse nei flussi di lavoro eseguiti in Server. Le autorizzazioni e le origini dati necessarie variano in base al flusso di lavoro.

Nota

I percorsi dei file elencati sono i percorsi di default e possono essere modificati. Alcune posizioni potrebbero non essere visualizzate a causa della modifica della posizione predefinita da parte degli utenti.

Tabella 9. Autorizzazioni Utente run-as richieste

La cartella in cui è installato Alteryx contiene i file di programma Alteryx.

Percorso: [Directory di installazione] Il percorso predefinito è C:\Program Files\Alteryx. Questo percorso potrebbe risultare nascosto da Windows.
Autorizzazioni: Lettura & Esecuzione, Elenco, Lettura

Se esegui l'aggiornamento a questa versione dalla versione 2022.1 o precedente, devi disporre delle seguenti autorizzazioni per completare il processo di migrazione della crittografia. In caso di nuova installazione o di aggiornamento dalla versione 2022.3 o successiva, le autorizzazioni di accesso alla cartella MachineKeys non sono necessarie.

La cartella Windows Program Data contiene il contenuto relativo alle chiavi di crittografia utilizzate dalle API di Windows.

Percorso: %ProgramData%\Microsoft\Crypto\RSA\MachineKeys
Autorizzazioni: Lettura, Scrittura

La cartella che contiene i file di licenza del Server.

Posizione: %ProgramData%\SRC
Autorizzazioni: Lettura & Esecuzione

La cartella dei file di programma di Server contiene i dati spaziali installati. I dati spaziali possono essere installati anche in altre posizioni. È necessario consentire l'accesso solo se i dati spaziali sono inclusi nei flussi di lavoro.

Posizione: %ProgramFiles(x86)%\Alteryx
Autorizzazioni: Lettura & Esecuzione

Nella cartella staging specificata in Impostazioni di sistema > Worker > Generale > Area di lavoro. Questa cartella contiene file temporanei, come flussi di lavoro non confezionati o altri file utilizzati per eseguire i flussi di lavoro. Assicurati che queste sottocartelle ereditino le autorizzazioni: MapTileCache, Results, Cache, TileSetInfoCache e XProcessCache.

Percorso: %ProgramData%\Alteryx\Service\Staging
Autorizzazioni: Modifica, Lettura & Esecuzione, Visualizzazione contenuto cartella, Lettura, Scrittura

La cartella engine in Impostazioni di sistema > Engine > Generale > Directory temporanea. Questa cartella contiene i file temporanei utilizzati nei flussi di lavoro elaborati e nelle applicazioni.

Percorso: %ProgramData%\Alteryx\Engine
Autorizzazioni: Modifica, Lettura & Esecuzione, Visualizzazione contenuto cartella, Lettura, Scrittura

La directory di registrazione specificata in Impostazioni di sistema > Engine > Generale > Directory di registrazione. Questa cartella contiene i file di output creati durante l'elaborazione dei flussi di lavoro o delle applicazioni. Per impostazione predefinita, la registrazione non è attivata, pertanto la directory potrebbe essere vuota.

Autorizzazioni: Modifica, Visualizzazione contenuto cartella, Lettura, Scrittura. L'autorizzazione Scrittura è necessaria solo se la registrazione è abilitata.

L'account utente delle credenziali run-as e del flusso di lavoro deve avere un profilo nel computer locale in cui viene eseguito il flusso di lavoro e deve avere il controllo completo di tale profilo. Questo profilo dovrebbe essere creato automaticamente con le autorizzazioni corrette alla prima esecuzione di un processo con la credenziale specificata.

Posizione: C:\Utenti\<Nome-utente>: %HOMEDRIVE%%HOMEPATH%
Autorizzazioni: Controllo completo

Si tratta dell'autorizzazione minima richiesta per la cartella di archiviazione dei profili di Windows che garantisce la corretta creazione dei profili.

Posizione: C:\Users: %HOMEDRIVE%\Users
Autorizzazioni: Lettura & Esecuzione, Visualizzazione contenuto cartella, Lettura

Impostazione delle credenziali del flusso di lavoro predefinite

Gli utenti e gli amministratori possono impostare delle credenziali predefinite per il flusso di lavoro (Credenziali run-as) come segue:

In qualità di utente, puoi scegliere di utilizzare tutte le credenziali del flusso di lavoro che sono state condivise con te o impostare credenziali personalizzate (in genere le tue) tramite il tuo profilo.
Come amministratore, è possibile impostare Esegui come credenziale per un utente tramite l'API di Server.
- È possibile eseguire questa operazione durante la creazione dell'account tramite l'endpoint POST /v3/users o quando si aggiorna un utente esistente con l'endpoint PUT /v3/users/{id}.
- Per impostare una credenziale tramite questi endpoint API, è necessario impostare l'ID predefinito CredentialId sull'ID di una credenziale del flusso di lavoro esistente nell'ambiente Server. È possibile scegliere solo le credenziali condivise con l'utente. Per trovare un ID credenziale o condividerlo con l'utente, è possibile utilizzare i vari endpoint delle credenziali /v3/credentials. Per ulteriori informazioni sugli endpoint delle credenziali, consulta la pagina di assistenza Endpoint delle credenziali.
In qualità di amministratore, puoi impostare le credenziali del flusso di lavoro predefinite tramite la pagina dei dettagli di Studio. Questo vale per tutti gli utenti in Studio.

In questa sezione:

Configurazione delle autorizzazioni obbligatorie per gli utenti run-as

Required Run As User Group Policy

Autorizzazioni Utente run-as richieste

Risultati della ricerca