更改本地数据网关服务帐户
本地数据网关配置为使用 NT SERVICE\PBIEgwService 作为 Windows 服务登录凭据。 在要安装网关的计算机的上下文中,默认情况下,此帐户具有“作为服务登录”的权限。
此服务帐户不是用于连接到本地数据源的帐户。 也不是登录到云服务的工作或学校帐户。
更改服务帐户
无需更改服务帐户,但必要时可以更改。 更改本地数据网关的 Windows 服务帐户:
打开本地数据网关应用,选择“服务设置”,然后选择“更改帐户”。
注意
建议使用本地数据网关应用而不是 Windows 服务应用来更改服务帐户。 这将确保新帐户具有所有必需的权限。 如果不是为此目的而使用本地数据网关应用,则可能会导致日志记录不一致和其他问题。
此服务的默认帐户是 NT SERVICE\PBIEgwService。 将此帐户更改为 Windows Server Active Directory 域中的域用户帐户,或使用托管服务帐户来避免必须更改密码。
选择更改帐户。 需要恢复密钥来更改服务帐户。
提供服务帐户和密码,然后选择“配置”。
提供登录帐户,然后选择“登录”。
在接下来的窗口中,选择“迁移、还原或接管现有网关”,并跟随恢复网关的流程操作。
还原完成后,新网关将使用域帐户。
注意
若要将网关重置为默认服务帐户,需要卸载并重新安装网关。 需要此操作的恢复密钥。
切换到组托管服务帐户 (gMSA)
组托管服务帐户 (gMSA) 可用于数据网关,代替普通帐户。 若要使用 gMSA,可以按照以下步骤操作。
在安装了远程服务器管理工具的计算机上,运行以下命令以配置 KDS 根密钥(如果尚未在你的组织中完成):
Add-KdsRootKey -EffectiveImmediately
运行以下命令以创建组托管服务帐户。 使用 Name 参数指定服务帐户名称和 PrincipalsAllowedToRetrieveManagedPassword 参数,以指定允许使用组托管服务帐户的计算机的 NetBIOS 名称。
New-ADServiceAccount -Name "PowerBiDGgMSA" -PrincipalsAllowedToRetrieveManagedPassword server1$ -DnsHostName server1.contoso.com -Enabled $True
注意
需要 NetBIOS 服务器名称末尾的 $ 来指示计算机帐户。
将服务帐户添加到托管数据网关的计算机。
Install-ADServiceAccount -Identity PowerBiDGgMSA
注意
必须在托管数据网关的计算机上执行此步骤。
在托管数据网关的计算机上,从管理工具或按 Windows-R 启动“运行”窗口并运行 services.msc 来启动服务小程序。
找到服务本地数据网关服务,然后双击它以打开其属性。
将服务属性中的登录更新为要使用的 gMSA,然后选择“确定”。
注意
请务必在帐户名称末尾包含 $。 使用组托管服务帐户时,不要指定密码。
选择“确定”,确认已向组托管服务帐户授予登录即服务权限。
选择“确定”,确认必须手动停止并重启该服务。
从服务小程序重启服务。
启动本地数据网关应用程序。 出现提示时,以网关管理员身份登录。
选择“迁移、恢复或接管现有网关”,然后单击“下一步”。
输入在设置网关时创建的恢复密钥,然后单击“配置”。
选择“关闭”,退出数据网关应用配置。