本地数据网关被配置为使用 NT SERVICE\PBIEgwService 作为 Windows 服务的登录凭据。 在您安装网关的计算机环境中,该帐户默认具有“作为服务登录”的权限。
此服务帐户不是用于连接到本地数据源的帐户。 它也不是用于登录云服务的工作或学校帐户。
更改服务帐户
无需更改服务帐户,但可以根据需要进行更改。 若要更改本地数据网关的 Windows 服务帐户,请执行以下作:
打开 本地数据网关应用,选择 “服务设置”,然后选择“ 更改帐户”。
注释
建议使用本地数据网关应用更改服务帐户,而不是 Windows 服务应用。 使用网关应用可确保新帐户具有所有必需的权限。 出于此目的不使用本地数据网关应用可能会导致日志记录和其他问题不一致。
此服务的默认帐户是 NT SERVICE\PBIEgwService。 将此帐户更改为 Windows Server Active Directory 域中的域用户帐户,或使用托管服务帐户来避免更改密码。
在弹出窗口中,选择“ 应用和重启”。 需要恢复密钥才能更改服务帐户。
提供服务帐户和密码,然后选择“ 配置”。
提供登录帐户,然后选择 “登录”。
在下一个窗口中,选择 “迁移”、“还原”或“接管现有网关”,然后按照 还原 网关的过程进行操作。
还原完成后,新网关将使用域帐户。
注释
若要将网关重置为默认服务帐户,需要卸载并重新安装网关。 此操作需要恢复密钥。
切换到组托管服务帐户(gMSA)
组托管服务帐户(gMSA)可用于数据网关,代替普通帐户。 若要使用 gMSA,可以按以下步骤操作。
在安装了远程服务器管理工具的计算机上,运行以下命令以配置 KDS 根密钥(如果尚未在组织中完成):
Add-KdsRootKey -EffectiveImmediately运行以下命令以创建组托管服务帐户。 使用 Name 参数指定服务帐户名称和 PrincipalsAllowedToRetrieveManagedPassword 参数,以指定允许使用组托管服务帐户的计算机的 NetBIOS 名称。
New-ADServiceAccount -Name "PowerBiDGgMSA" -PrincipalsAllowedToRetrieveManagedPassword server1$ -DnsHostName server1.contoso.com -Enabled $True注释
NetBIOS 服务器名称末尾的
$是必需的,以指示计算机帐户。将服务帐户添加到托管数据网关的计算机。
Install-ADServiceAccount -Identity PowerBiDGgMSA注释
必须在托管数据网关的计算机上执行此步骤。
在托管数据网关的计算机上,从管理工具启动服务小程序,或通过按 Windows-R 启动 “运行” 窗口并运行 services.msc 来启动服务小程序。
找到服务 本地数据网关服务 ,然后双击它以打开其属性。
将服务属性中的登录更新为要使用的 gMSA,然后选择“ 确定”。
注释
请务必在帐户名称末尾包含
$。 使用组托管服务帐户时不要指定密码。选择 “确定 ”以确认 登录即服务 权限已授予组托管服务帐户。
选择 “确定 ”以确认必须手动停止并重启该服务。
从服务小程序重启服务。
启动本地数据网关应用。 出现提示时,以网关管理员身份登录。
选择 “迁移”、“还原”或“接管现有网关 ”,然后选择“ 下一步”。
输入在设置网关时创建的恢复密钥,然后选择“ 配置”。
选择 “关闭 ”退出数据网关应用配置。