Настройки безопасности этого компьютера не разрешают доступ к источнику данных в другом домене

Обновлено: 21.11.2024

Сеансы удаленного рабочего стола работают по зашифрованному каналу, поэтому никто не может просматривать ваш сеанс, прослушивая сеть. Однако в методе, используемом для шифрования сеансов в более ранних версиях RDP, есть уязвимость. Эта уязвимость может сделать возможным несанкционированный доступ к вашему сеансу с помощью атаки «человек посередине».

Удаленный рабочий стол можно защитить с помощью SSL/TLS в Windows Vista, Windows 7, Windows 8, Windows 10 и Windows Server 2003/2008/2012/2016. *Некоторые перечисленные системы больше не поддерживаются Microsoft и поэтому не соответствуют стандартам безопасности Campus. Если неподдерживаемые системы все еще используются, требуется исключение безопасности.

Хотя удаленный рабочий стол более безопасен, чем инструменты удаленного администрирования, такие как VNC, которые не шифруют весь сеанс, всякий раз, когда администратору предоставляется удаленный доступ к системе, возникают риски. Следующие советы помогут защитить удаленный доступ к рабочим столам и серверам, которые вы поддерживаете.

Основные советы по безопасности для удаленного рабочего стола

1. Используйте надежные пароли

Надежные пароли для любых учетных записей с доступом к удаленному рабочему столу следует рассматривать как обязательный шаг перед включением удаленного рабочего стола. Советы см. в руководстве по сложности пароля кампуса.

2. Используйте двухфакторную аутентификацию

Отделы должны рассмотреть возможность использования двухфакторной аутентификации. Эта тема выходит за рамки данной статьи, но шлюзы удаленных рабочих столов можно настроить для интеграции с экземпляром Campus DUO. Другими доступными опциями, не поддерживаемыми кампусом, будет простой механизм контроля аутентификации с помощью смарт-карт на основе двухфакторных сертификатов. Этот подход использует сам узел удаленного рабочего стола в сочетании с YubiKey и RSA в качестве примеров.

3. Обновите программное обеспечение

Одним из преимуществ использования удаленного рабочего стола по сравнению со сторонними инструментами удаленного администрирования является то, что компоненты автоматически обновляются с использованием последних исправлений безопасности в рамках стандартного цикла исправлений Microsoft. Убедитесь, что вы используете последние версии как клиентского, так и серверного программного обеспечения, включив и проведя аудит автоматических обновлений Microsoft. Если вы используете клиенты удаленного рабочего стола на других платформах, убедитесь, что они по-прежнему поддерживаются и у вас установлены последние версии. Старые версии могут не поддерживать высокий уровень шифрования и иметь другие недостатки безопасности.

4. Ограничить доступ с помощью брандмауэров

Используйте брандмауэры (как программные, так и аппаратные, если они доступны), чтобы ограничить доступ к прослушивающим портам удаленного рабочего стола (по умолчанию TCP 3389). Использование шлюза RDP настоятельно рекомендуется для ограничения доступа RDP к рабочим столам и серверам (см. обсуждение ниже). В качестве альтернативы для поддержки подключения за пределами кампуса вы можете использовать программное обеспечение кампусной VPN, чтобы получить IP-адрес кампуса и добавить пул сетевых адресов кампусной VPN в правило исключения брандмауэра RDP. Посетите нашу страницу для получения дополнительной информации о VPN-сервисе кампуса.

5. Включить аутентификацию на уровне сети

Windows 10, Windows Server 2012 R2/2016/2019 также по умолчанию обеспечивают проверку подлинности на уровне сети (NLA). Лучше оставить это на месте, так как NLA обеспечивает дополнительный уровень аутентификации до установления соединения. Серверы удаленных рабочих столов следует настраивать так, чтобы разрешать подключения без NLA, только если вы используете клиенты удаленных рабочих столов на других платформах, которые его не поддерживают.

NLA должен быть включен по умолчанию в Windows 10, Windows Server 2012 R2/2016/2019.

Для проверки можно посмотреть параметр групповой политики Требовать аутентификацию пользователя для удаленных подключений с помощью аутентификации на уровне сети, который находится в папке Компьютер\Политики\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Этот параметр групповой политики должен быть включен на сервере с ролью узла сеансов удаленных рабочих столов.

6. Ограничьте количество пользователей, которые могут входить в систему с помощью удаленного рабочего стола

По умолчанию все администраторы могут входить в удаленный рабочий стол. Если на вашем компьютере есть несколько учетных записей администратора, вы должны ограничить удаленный доступ только теми учетными записями, которым это необходимо. Если удаленный рабочий стол не используется для системного администрирования, удалите весь административный доступ через RDP и разрешите только учетные записи пользователей, которым требуется служба RDP. Для отделов, которые управляют многими машинами удаленно, удалите учетную запись локального администратора из доступа RDP по адресу и вместо этого добавьте техническую группу.

Нажмите Пуск-->Программы-->Администрирование-->Локальная политика безопасности

.

В разделе «Локальные политики» -> «Назначение прав пользователя» выберите «Разрешить вход через службы терминалов». Или «Разрешить вход через службы удаленных рабочих столов»

Удалите группу «Администраторы» и оставьте группу «Пользователи удаленного рабочего стола».

Используйте панель управления системой, чтобы добавить пользователей в группу пользователей удаленного рабочего стола.

Типичная операционная система MS по умолчанию имеет следующие настройки, как показано в локальной политике безопасности:

Проблема в том, что «Администраторы» здесь по умолчанию, а ваша учетная запись «Локальный администратор» находится в группе администраторов. Несмотря на то, что рекомендуется соглашение о паролях, чтобы избежать идентичных паролей локального администратора на локальном компьютере и жестко контролировать доступ к этим паролям или соглашениям, использование учетной записи локального администратора для удаленной работы на компьютере не позволяет должным образом регистрировать и идентифицировать пользователя, использующего систему. Лучше всего переопределить локальную политику безопасности с помощью параметра групповой политики.

Для управления доступом к системам также полезно использовать «Группы с ограниченным доступом» с помощью групповой политики.

Если вы используете параметр «Группа с ограниченным доступом», чтобы поместить свою группу, например, «CAMPUS\LAW-TECHIES» в «Администраторы» и «Пользователи удаленного рабочего стола», ваши технические специалисты по-прежнему будут иметь удаленный административный доступ, но с помощью шагов выше вы удалили проблемную «учетную запись локального администратора», имеющую доступ по RDP. В дальнейшем при добавлении новых машин в OU под объектом групповой политики ваши настройки будут правильными.

7. Установите политику блокировки учетной записи

Настроив свой компьютер на блокировку учетной записи для определенного количества неверных ответов, вы поможете хакерам не получить доступ к вашей системе с помощью инструментов автоматического подбора пароля (это называется атакой методом грубой силы). Чтобы установить политику блокировки учетной записи:

  1. Выберите "Пуск" --> "Программы" --> "Администрирование" --> "Локальная политика безопасности".
  2. В разделе «Политика учетной записи» -> «Политика блокировки учетной записи» задайте значения для всех трех параметров. Три недействительные попытки с трехминутной блокировкой являются разумным выбором.

Рекомендации по обеспечению дополнительной безопасности

1. Не разрешайте прямой доступ RDP к клиентам или серверам за пределами кампуса.

Настоятельно не рекомендуется открывать RDP (порт 3389) для сетей за пределами кампуса, поскольку это известное направление для многих атак. В приведенных ниже параметрах перечислены способы повышения безопасности при разрешении RDP-доступа к системе.

После настройки шлюза RDP узлы должны быть настроены так, чтобы разрешать соединения RDP только с хоста шлюза или подсетей кампуса, где это необходимо.

2. Использовать шлюзы RDP (лучший вариант)

Служба шлюза RDP также поддерживает новое требование к службам удаленного доступа черновика обновления MSSND (требование 8), которое требует использования утвержденной службы (например, шлюза RDP, выделенного шлюза или bSecure VPN) для доступ к сети Калифорнийского университета в Беркли из общедоступного Интернета.

Служба выделенного шлюза (управляемая). Требуется для доступа по протоколу RDP к системам с UC P4 или выше. Также необходимо настроить для DUO

В некоторых кампусных подразделениях в качестве шлюза удаленных рабочих столов используется VPS, управляемый IST. Приблизительно можно предположить, что 30-100 одновременных пользователей могут использовать один шлюз удаленных рабочих столов. HA на виртуальном уровне обеспечивает достаточно отказоустойчивый и надежный доступ; однако с балансировкой сетевой нагрузки можно реализовать несколько более сложную реализацию шлюза удаленных рабочих столов.

Установка конфигурации службы роли в основном соответствует описанию; однако рекомендуется использовать выданный Calnet доверенный сертификат Comodo. Использование самозаверяющего сертификата подходит для тестирования, а использование сертификата CalnetPKI может работать, если все клиенты доверяют корневому каталогу UCB. Сертификат Comodo обычно принимается лучше, чтобы ваши конечные пользователи не получали предупреждений о сертификате.

По сути, достаточно просто изменить вкладку "Дополнительно" вашего RDP-клиента:

3. Измените порт прослушивания для удаленного рабочего стола

Изменение порта прослушивания поможет «скрыть» удаленный рабочий стол от хакеров, которые сканируют сеть на наличие компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает эффективную защиту от новейших червей RDP, таких как Morto. Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь сделать это, если вы не знакомы с реестром Windows и TCP/IP): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Измените порт прослушивания с 3389 на что-то другое и не забудьте обновить все правила брандмауэра с помощью нового порта. Хотя этот подход полезен, это безопасность через неизвестность, что не является самым надежным подходом к обеспечению безопасности. Вам следует убедиться, что вы также используете другие методы ограничения доступа, как описано в этой статье.

4. Туннельное подключение к удаленному рабочему столу через IPSec или SSH

5.Используйте существующие инструменты управления для регистрации и настройки RDP

Использование других компонентов, таких как VNC или PCAnywhere, не рекомендуется, так как они могут не обеспечивать аудит или защиту. При использовании RDP входы в систему проверяются в локальном журнале безопасности и часто в системе аудита контроллера домена. При мониторинге локальных журналов безопасности ищите аномалии в сеансах RDP, например попытки входа в систему из учетной записи локального администратора. RDP также имеет преимущество подхода централизованного управления через GPO, как описано выше. По возможности используйте объекты групповой политики или другие инструменты управления конфигурацией Windows, чтобы обеспечить согласованную и безопасную конфигурацию RDP на всех ваших серверах и настольных компьютерах.

Принудительно используя шлюз RDP, вы также получаете третий уровень аудита, который легче читать, чем прочесывать логины контроллера домена, и он отделен от целевой машины, поэтому он не подвержен несанкционированному вмешательству. Этот тип журнала значительно упрощает отслеживание того, как и когда используется RDP на всех устройствах в вашей среде.

Ограничение доступа к RDP с помощью брандмауэра Windows

Если у вас есть компьютер, управляемый кампусом:

  • Обратитесь за помощью в ИТ-службу поддержки клиентов или в ИТ-поддержку вашего отдела.

Если у вас есть персональный компьютер и права администратора:

  • Следуйте инструкциям в этой статье, чтобы обновить брандмауэр Windows, чтобы только авторизованные хосты и сети могли получить доступ к вашей системе через удаленный рабочий стол (RDP).

Настройки > Обновление и безопасность > Безопасность Windows > Брандмауэр и защита сети > Дополнительные параметры > Правила для входящих подключений > Удаленный рабочий стол — режим пользователя (TCP-In) > Свойства > Область действия > Удаленный IP-адрес > Добавить > Этот IP-адрес или подсеть< /p>

  1. Безопасность Windows > Брандмауэр и защита сети

  1. Правила для входящих подключений > Удаленный рабочий стол — Режим пользователя (TCP-входящий) > Свойства

  1. В поле Этот IP-адрес или подсеть добавьте только те IP-адреса и сетевые подсети, которым должно быть разрешено подключение к службе удаленного рабочего стола (RDP) вашего компьютера. Некоторые распространенные примеры IP-адресов и подсетей кампуса перечислены в разделе ниже.

IP-адреса и подсети кампуса

Исходя из ваших потребностей, выбирайте только авторизованные IP-адреса и подсети кампуса для подключения к службе RDP вашего компьютера. Network Operations & Services поддерживает исходный список UC Berkeley Campus Networks, но некоторые распространенные примеры приведены ниже для справки.

IST RD Gateway
Чтобы получить доступ к вашей системе через RDP напрямую из Интернета, используйте Campus Remote Desktop Gateway. Шлюз удаленных рабочих столов позволит вам использовать ваш идентификатор CalNet с push-уведомлениями Duo для подключения. Вы можете авторизовать шлюз удаленных рабочих столов, добавив следующую подсеть в правило брандмауэра:

Кампусные VPN-сети удаленного доступа (bSecure Remote Access Services with GlobalProtect)
Чтобы получить доступ к вашей системе через RDP через кампусную VPN, добавьте одну или несколько следующих VPN-сетей в правило брандмауэра:< /p>

  • Раздельные туннельные клиентские сети
    • 10.136.128.0/18
    • 136.152.16.0/20
    • 136.152.210.0/23

    Сети кампуса (на месте)

    Чтобы получить доступ к вашей системе через RDP, находясь в кампусе, добавьте соответствующие беспроводные или проводные сети кампуса в правило брандмауэра:

    • AirBears2 и беспроводные сети eduroam
      • 10.142.0.0/16, 136.152.28.0/22, 136.152.36.0/22, 136.152.142.0/24, 136.152.145.0/24, 136.152.148.0/22, 2607:f140:400::/48
      • 128.32.0.0/16, 136.152.0.0/16, 136.152.0.0/16, 192.31.105.0/24


      Эта работа находится под лицензией Creative Commons Attribution-NonCommercial 4.0 International License.

      Этот форум закрыт. Спасибо за ваш вклад.

      Вопрос:

      Вопрос

      У меня есть пользователь (под управлением Windows 7), который сталкивается с проблемой "Настройки безопасности на этом компьютере запрещают доступ к источнику данных в другом домене" в моей программе HTA. Только некоторые пользователи сталкиваются с проблемой. Компьютеры, которые я мог найти с Windows 7, Windows 8, Windows 10, все в порядке. Чтобы вызвать помощь, мне нужно найти способ воспроизвести проблему на 100%, и я, наконец, воспроизвел ту же проблему на чистой установленной Windows XP на виртуальной машине VMware, как показано ниже,

      На приведенном выше рисунке видно, что один и тот же код отлично работает с cscript.exe (WSH), но всегда дает сбой с HTA в Windows XP.

      Я потратил много времени на гугление и пробу настроек "Инструментов администратора" Windows, так и не смог исправить это на плохом компьютере или воспроизвести на хорошем компьютере.

      Я упростил код до 3.hta и 2.js.

      Запуск 3.hta на плохой windows 7 воспроизвел проблему, на любой Windows Xp тоже.

      Выполнить 2.js (командная строка "cscript.exe 2.js") можно на всех компьютерах.

      Но 3.hta и 2.js логически абсолютно одинаковы!!

      помогите помогите спасибо спасибо

      вар аду;
      ado = новый ActiveXObject("ADODB.Stream");
      переменные данные;
      ado.CharSet = "utf-8";
      ado.Open();
      ado.LoadFromFile("2.js");
      данные = ado.ReadText();
      ado.Close();
      WScript.echo(данные);




      caption="yes"
      maximizebutton="no"
      minimizebutton="no"
      sysmenu= "да"
      BORDERSTYLE="сложный"
      BORDER="толстый"
      />
      HTA — Отладка



      HTA - Отладка, попробуйте прочитать мой собственный исходный код "3.hta"





      Все ответы

      Это помогло мне на XP:

      Установите значение 0 (ноль):

      Извините за столь поздний ответ. Но я только сейчас столкнулся с этим вопросом.

      Основная проблема заключается в том, что в статье Microsoft о HTML-приложениях упущены некоторые важные моменты, касающиеся этого.

      Файлы HTA выполняются за пределами обычных настроек безопасности IE, касающихся только двух основных параметров: «Инициализировать и создавать сценарии для элементов ActiveX, помеченных как небезопасные для сценариев». И междоменные ссылки «Iframe». Обратите внимание: когда я говорю, что ссылка — это *не* сценарий. Даже в файлах HTA вы не можете внедрить код скрипта в iframe, принадлежащий другому домену. Однако вы можете ссылаться на файлы, расположенные на локальном диске пользователя, даже если HTA выполняется из общего сетевого ресурса или HTTP-адреса. Кроме того, файлы HTA будут запускать ActiveX и код сценария, даже если они выполняются в контексте зоны «Ограниченные сайты» IE, которая по умолчанию никогда не разрешает такие действия. *НО* он унаследует большинство других настроек безопасности, таких как атрибут «Данные объекта» и «Доступ к источникам данных через домены». Судя по тому, что я видел на картинке, файл HTA загружается из Интернета, что заставляет большинство веб-браузеров «принуждать» файл в том же контексте веб-сайта, с которого он был получен, что в 99,99% случаев Интернет Зона. Это делается путем добавления простого потока данных NTFS в загруженный файл с именем «Zone.Identifier». Чтобы убедиться, что HTA будет работать в контексте зоны локального компьютера, который по умолчанию разрешает доступ к источникам данных через домены, вы можете попробовать использовать сценарии и ActiveX для удаления потока данных NTFS, но, позвольте мне сказать вам, это немного глючит. Таким образом, лучшим решением может быть предложение вашим пользователям щелкнуть правой кнопкой мыши загруженный файл HTA и выбрать «свойства» в меню. Затем в окне со свойствами файла нажмите кнопку «Разблокировать», затем нажмите кнопку «ОК». Вот и все, теперь файл HTA будет запускаться в контексте зоны локального компьютера и больше не будет (по умолчанию) отображать эту ошибку. Решение, предложенное нашим другом, которое требует редактирования реестра, допустимо, но не рекомендуется, особенно в корпоративной среде, потому что изменение настроек безопасности (в любой зоне IE) может привести к серьезным проблемам с безопасностью, и администратору это не понравится. вообще.

      В этой технической заметке объясняется, как настроить доступ к базам данных Microsoft® SQL Server, используемым IBM® Rational® ClearQuest®, когда сервер находится в отдельном домене и пользователи не могут подключиться.

      Симптом

      Если базы данных ClearQuest, размещенные на SQL Server, находятся на сервере, который находится в другом домене Microsoft Windows, вы можете получить ошибки при попытке создать базы данных или подключиться к ним.

      Причина

      Это происходит, когда SQL Server настроен на использование только "именованных каналов" в качестве сетевого протокола. Использование именованных каналов требует, чтобы SQL Server мог обращаться к файлам от имени вызывающего идентификатора пользователя, что, в свою очередь, требует, чтобы запрашивающий идентификатор пользователя был «известен» в домене SQL Server. Если ваш идентификатор пользователя определен в одном домене, а сервер — в другом, и отношения доверия между доменом не существуют, то запрашивающий идентификатор пользователя не является «известным». В этот момент аутентификация завершается ошибкой.

      Решение проблемы

      Вот некоторые известные обходные пути:


      Есть несколько способов обойти эту проблему:


      Настроить доступ пользователей к тому же домену, что и SQL Server

      Одним из способов обхода является создание идентификатора пользователя в домене Microsoft Windows сервера с тем же именем пользователя и паролем, что и у запрашивающего идентификатора пользователя. Затем, когда SQL Server использует именованные каналы для аутентификации, он завершается успешно.

      Хотя этот подход прост в реализации, он не является хорошим решением для больших сетей с большим количеством пользователей, поскольку требует, чтобы все действия по обслуживанию идентификаторов пользователей и паролей выполнялись дважды, по одному разу в каждом домене Microsoft Windows.


      Настроить доверие домена

      Еще одно решение — настроить отношение "доверие к домену", чтобы домен, в котором SQL Server "доверяет" домену, в котором определен запрашивающий пользователь. Доверительное отношение фактически делает видимыми всех пользователей, определенных в "доверенном" домене. и действителен в «доверяющем» домене (домен SQL Server).

      Этот подход также прост в применении (и не имеет административных последствий, таких как обходной путь с повторяющимся идентификатором пользователя выше), он может не соответствовать требованиям безопасности вашей компании.


      Настройка соединения SQL Server для TCP/IP

      Если предыдущие решения невозможны или не разрешены политикой безопасности вашей компании, то именованные каналы не могут быть единственным сетевым протоколом для SQL Server. Настройте SQL Server для использования TCP/IP.

      На SQL Server настройте сервер для поддержки TCP/IP вместо именованных каналов или в дополнение к ним.

      1. Вызовите «Сетевую утилиту сервера» в меню «Пуск» > «Программы» > Microsoft SQL Server 7.0.
      2. На вкладке "Общие", если TCP/IP еще не отображается, нажмите "Добавить".
      3. Установите для сетевой библиотеки значение TCP/IP.
      4. Убедитесь, что номер порта – 1433. Кроме того, вы можете выбрать другой порт и запомнить его для использования с процедурой на стороне клиента, описанной ниже.
        1. Вызовите «Сетевую утилиту сервера» в меню «Пуск» > «Программы» > Microsoft SQL Server.
        2. На вкладке «Общие», если TCP/IP еще не отображается в поле «Включенные протоколы», выберите его и нажмите «Включить» >>.
        3. Выберите TCP/IP и нажмите "Свойства".
        4. Убедитесь, что номер порта – 1433. Кроме того, вы можете выбрать другой порт и запомнить его для использования с процедурой на стороне клиента, описанной ниже.
          1. Откройте «Диспетчер конфигурации SQL Server» в меню «Пуск» > «Программы» > Microsoft SQL Server 2005 > «Инструменты настройки».
          2. Разверните параметр "Конфигурация сети SQL Server 2005" и выберите "Протоколы для MSSQLSERVER".
          3. Включите TCP/IP, если он еще не включен.
          4. Дважды щелкните TCP/IP.
          5. На вкладке "IP-адреса" убедитесь, что номер порта для соответствующего IP-адреса – 1433. Кроме того, вы можете выбрать другой порт и запомнить его для использования в описанной ниже процедуре на стороне клиента.
          1. Откройте диалоговое окно администратора ODBC: Пуск > Настройка > Панель управления > Администрирование > ODBC. Примечание. Его имя может быть "ODBC", "Администратор источника данных ODBC" или другое подобное имя.
          2. Выберите вкладку "Системный DSN" и нажмите "Добавить".
          3. Выберите драйвер SQL Server и нажмите "Готово".
          4. Введите любое имя в поле «Имя» и введите имя хоста SQL-сервера в поле «Сервер». При желании введите описание подключения. Нажмите "Далее".
          5. Выберите аутентификацию SQL Server, после чего появятся поля с идентификатором входа и паролем, расположенные ниже.
          6. Нажмите кнопку "Конфигурация клиента".
          7. В разделе «Сетевые библиотеки» выберите TCP/IP (подробности зависят от вашей версии ODBC). Задайте в поле «Имя компьютера» имя хоста сервера, если только проблемы с сетью на вашем сайте не требуют иного (см. примечание ниже). Установите номер порта в соответствии с номером порта TCP/IP, который вы выбрали на стороне сервера выше (по умолчанию 1433).
          8. Нажмите "ОК", чтобы закрыть диалоговое окно "Конфигурация клиента".
          9. Введите имя пользователя и пароль DBO (владельца базы данных) для базы данных SQL Server, к которой вы подключаетесь, и нажмите "Далее".
          10. Выберите значения по умолчанию на следующих трех шагах мастера, пока не дойдете до диалогового окна окончательного подтверждения и не увидите кнопку "Проверить источник данных". Щелкните источник тестовых данных. кнопку, чтобы убедиться, что соединение может быть выполнено. Это должно указывать на то, что тесты прошли успешно.

          Поле «Имя компьютера» не обязательно указывать одинаково на каждой клиентской рабочей станции ClearQuest, но на каждой рабочей станции оно должно быть указано в такой форме, которая позволит клиенту «видеть» сервер на уровне IP (используйте 'ping', чтобы определить это).

          Если ваши пользователи Tableau захотят поделиться определенными подключениями к данным, они могут опубликовать источники данных на сервере Tableau. Когда источник данных публикуется на сервере, другие пользователи могут подключаться к нему из своих книг, как и к другим типам данных. Когда данные в источнике данных Tableau обновляются, все книги, которые к нему подключаются, получают изменения.

          Источник данных Tableau Server состоит из метаданных, описывающих следующее:

          Информация о подключении: определяет, находятся ли данные в активной базе данных или в извлечении, а также какие из этих данных следует вводить в Tableau.

          Настройка и очистка. Включает информацию, которая способствует эффективному использованию данных. Например, вычисления, наборы, группы, бины, параметры, форматирование настраиваемых полей и т. д.

          Инструкции по доступу к данным и их обновлению. Включает расположение базового сервера базы данных (локально или в облаке), сетевые пути для файловых данных, информацию о безопасности, такую ​​как учетные данные или токены доступа, а также связанную информацию.< /p>

          Помимо помощи вашим пользователям в обеспечении согласованности и надежности данных, использование источников данных Tableau дает преимущества вам как администратору. Поскольку несколько рабочих книг могут подключаться к одному источнику данных, вы можете свести к минимуму увеличение количества источников данных и сэкономить место для хранения и время обработки. Когда кто-то загружает книгу, которая подключается к источнику данных Tableau, который, в свою очередь, имеет подключение к извлечению, извлечение остается на сервере, что снижает сетевой трафик. Наконец, если для подключения требуется драйвер базы данных, вам необходимо установить и поддерживать драйвер только на сервере, а не на компьютере каждого пользователя. Если вы используете Tableau Online, все поддерживаемые драйверы доступны для источников данных, опубликованных на вашем сайте.

          Управление источниками данных

          Вы можете выполнять некоторые или все задачи управления источником данных, если у вас есть один из следующих уровней доступа:

          Администратор сайта или сервера

          Руководитель проекта или владелец проекта, в котором опубликован источник данных

          Полный доступ руководителя проекта доступен только для некоторых ролей на сайте. Дополнительные сведения см. в разделе Администрирование на уровне проекта.

          Владелец источника данных

          Если вы не являетесь администратором сайта или сервера, у вас может не быть доступа ко всем задачам управления. Например, если меню «Разрешения» недоступно, есть вероятность, что разрешения проекта заблокированы, что не позволяет устанавливать разрешения для отдельных книг и источников данных.

          Совет. Лучше всего назначить человека или команду для управления всеми источниками данных, опубликованными в проекте или на всем сайте, чтобы все источники данных можно было поддерживать в соответствии с одним и тем же набором правил.

          Для выполнения задач управления, к которым у вас есть доступ, выполните следующие действия:

          Войдите на сайт и на вкладке "Контент" выберите "Обзор" > "Источники данных" .

          В источнике данных выберите меню Действия ( … ).

          Новая книга или загрузка. Создайте новую книгу в среде браузера, которая подключается к этому источнику данных. Или загрузите источник данных для локального использования.

          Тег: добавление или удаление тегов ключевых слов. Теги могут содержать одно слово или несколько слов, разделенных запятой.

          Переместить: переместить источник данных из одного проекта в другой. Для этого требуются определенные настройки для каждого проекта. Дополнительную информацию см. в разделе Требуемый уровень доступа для перемещения содержимого.

          Разрешения: просмотр или обновление разрешений, определяющих, какие пользователи или группы могут подключаться, изменять или загружать источник данных. Как упоминалось в начале этого раздела, если это действие недоступно, разрешения проекта могут быть заблокированы, и только руководитель проекта или администратор могут изменять разрешения.

          Сменить владельца: предоставление пользователю полного доступа к нему.

          Обновлять извлечения. Если источник данных содержит извлечения, вы можете назначить их расписанию обновления.

          Просмотр истории изменений источника данных

          Удалить. Удаление источника данных влияет на рабочие книги, которые подключаются к источнику данных. Перед удалением источника данных убедитесь, что нет книг, которые подключаются к источнику данных, или отредактируйте книги, чтобы использовать другой источник данных.

          Кроме того, для источников данных, являющихся прокси-соединениями, администраторы могут быть в курсе того, как пользователи аутентифицируются в базе данных и установлены ли соответствующие драйверы. Дополнительные сведения см. в разделе Драйверы баз данных и безопасность данных.

          Ограничения

          Опубликованные источники данных часто функционируют как проверенные и надежные источники данных. Таким образом, существуют ограничения на их изменение и использование.

          Если ваша компания использует SharePoint для размещения сервера InfoPath Forms или позволяет просматривать или редактировать базу данных Microsoft, SharePoint может извлекать данные из источников на нескольких веб-сайтах для заполнения списков документов или ресурсов. Это позволяет бизнесу консолидировать данные независимо от того, поступают ли они с локального сервера SharePoint, общего веб-сайта компании или любого другого доменного сервера, поддерживающего Microsoft XML или базы данных. Однако при доступе к данным из нескольких доменов Internet Explorer может отображать предупреждающие сообщения о безопасности, указывающие на то, что браузер пытается получить доступ к данным из источника, отличного от веб-сервера, к которому вы подключились. Если все домены, подключенные к серверу SharePoint, являются надежными источниками, отключите надоедливые всплывающие сообщения несколькими щелчками мыши.

          Запустите Internet Explorer на своем компьютере. Щелкните стрелку раскрывающегося списка "Инструменты" на панели инструментов, а затем выберите "Свойства обозревателя".

          Перейдите на вкладку "Безопасность". Щелкните значок «Интернет», затем нажмите кнопку «Пользовательский уровень». Прокрутите вниз до раздела «Разное» списка на панели настроек.

          Выберите параметр «Включить» под меткой «Доступ к источникам данных между доменами» в разделе «Разное» списка «Настройки». Нажмите кнопку "ОК".

          Нажмите кнопку «Применить», затем нажмите «ОК» в окне «Свойства обозревателя». Выйдите из Internet Explorer и перезапустите его. После перезапуска Internet Explorer браузер больше не выводит предупреждающее сообщение, когда ваш сервер SharePoint извлекает данные из внешних доменов.

          Джефф Гранди пишет статьи и учебные пособия о компьютерах с 1995 года. С тех пор Гранди написал множество руководств по использованию различных приложений, которые опубликованы на многочисленных сайтах с инструкциями и учебными пособиями. Гранди родился и вырос в Южной Джорджии. Имеет степень магистра математических наук Технологического института Джорджии.

          Читайте также: