Berechtigungen und Zugriffsrechte (Analysis Services - Mehrdimensionale Daten)
In Microsoft Analysis Services können Administratoren mithilfe von Rollen Sicherheitsstufen für Objekte in einer Analysis Services-Datenbank für verschiedene Windows-Benutzer und Windows-Gruppen definieren. Jedem Objekt kann pro Rolle eine einzelne Berechtigung zugeordnet werden. Dabei kann für jede Berechtigung mindestens ein Zugriffsrecht zugeordnet werden. Zusätzlich kann einem Windows-Benutzer bzw. einer Windows-Gruppe mehr als eine Analysis Services-Rolle zugewiesen werden. Dies ermöglicht Ihnen das Kombinieren von Berechtigungen und Zugriffsrechten für komplexe Sicherheitsmodelle in Business Intelligence-Anwendungen.
Zugriffsrechte
In der folgenden Tabelle werden die in Berechtigungen verfügbaren Zugriffsrechte beschrieben, die in Analysis Services-Datenbanken enthaltenen Objekten zugeordnet sind.
Zugriffsrecht |
Beschreibung |
---|---|
Access |
Ermöglicht das Zugreifen auf Metadaten eines Objekts. Die folgenden Zugriffsarten werden unterstützt:
|
Administer |
Zeigt an, ob Mitglieder der Rollen das Objekt verwalten dürfen. Die Administer-Berechtigung erteilt Mitgliedern der Rolle kompletten Zugriff auf die im Objekt enthaltenen Objekte. |
AllowBrowsing |
Ermöglicht Mitgliedern der Rolle das Durchsuchen der Daten eines Miningmodells. |
AllowDrillthrough |
Erteilt Mitgliedern der Rolle die Berechtigung, einen Drillthrough von einem Miningmodell zu den zugrunde liegenden Daten auszuführen. |
AllowedSet |
Die AllowedSet-Berechtigung definiert die Elemente eines Attributs, die ein Mitglied der Rolle anzeigen kann. Wenn beispielsweise die in [Customer].[CountryRegion] zulässige Menge {Canada} lautet, so haben die Mitglieder der Rolle Zugriff auf alle Bundesländer und Orte von Kanada. In einer Parent-Child-Hierarchie werden die zulässigen Elemente durch die Menge definiert, plus der Menge der Vorgänger der Parent-Child-Hierarchie, die für diese Elemente vorhanden ist. Wenn ein Element einer Parent-Child-Hierarchie nicht in einer zulässigen Menge enthalten ist, wird die Rolle den untergeordneten Elemente dieser Hierarchie nicht zugeordnet. Die Datenelemente sind hiervon nicht betroffen. Der Zugriff auf die Datenelemente ist weiterhin möglich, da sie zum Schlüsselattribut der Dimension gehören. Wenn für die AllowedSet-Berechtigung keine Menge definiert wird, besteht der Standard aus der Menge aller Attributelemente. |
AllowPredict |
Die Vorhersageberechtigung für ein Miningmodell erteilt Mitgliedern der Rolle die Berechtigung, auf Basis des Miningmodells Vorhersagen auszuführen. |
ApplyDenied |
Bestimmt, ob Elemente dieses Attributs, die mit anderen explizit verweigerten Elementen vorhanden sind, nicht angezeigt werden können. |
DefaultMember |
Die DefaultMember-Berechtigung definiert das Standardelement der Dimension. Das Standardelement beeinflusst die Datasets, die von Abfragen in Cubes zurückgegeben werden, die diese Dimension enthalten. Wenn die Dimension nicht auf einer Achse angezeigt wird, wird das Dataset standardmäßig mit dem Standardelement gefiltert (d. h. in Slices aufgeteilt). |
DeniedSet |
Die DeniedSet-Berechtigung definiert die Elemente eines Attributs, die ein Mitglied der Rolle nicht anzeigen kann. |
IsAllowed |
Bestimmt, ob einem beliebigen Element des Attributs der Zugriff gewährt wird, unabhängig von den Einstellungen einer auf dem Attribut basierten Ebene. Wenn die IsAllowed-Eigenschaft für das Granularitätsattribut einer Dimension auf den Wert False festgelegt ist, ergeben sich für alle Elemente NULL-Werte beim Festlegen von VisualTotals in einem Dimensionsattribut. Wenn bei unären Operatoren VisualTotals auf den Wert False festgelegt ist, stellt jedes Element die Zusammenfassung der jeweils ihm untergeordneten Elemente dar. Wenn VisualTotals auf den Wert True festgelegt ist, stellt jedes Element die Zusammenfassung aller zulässigen untergeordneten Elemente dar. Der Standardwert dieser Eigenschaftseinstellung ist True. |
Process |
Die Process-Berechtigung für ein Objekt erteilt Mitgliedern der Rolle die Berechtigung, das Objekt zu verarbeiten. Mit dieser Berechtigung wird auch die Berechtigung zum Verarbeiten aller untergeordneten Objekte innerhalb des Objekts erteilt, es sei denn, diese Berechtigung wird für ein untergeordnetes Objekt explizit verweigert. Die Process-Berechtigung erteilt Mitgliedern der Rolle nicht den Zugriff auf die Daten oder Metadaten des Objekts. |
ReadDefinition |
Zeigt an, ob Mitglieder der Rolle die Metadaten, die das Berechtigungsobjekt definieren, lesen dürfen. Diese Eigenschaftseinstellung wird von den im Objekt enthaltenen Objekten geerbt. |
VisualTotals |
Die VisualTotals-Berechtigung für Dimensionsdaten definiert die Aggregation von Daten in Attributen. Hierbei handelt es sich um einen MDX-Ausdruck (Multidimensional Expression), der den Wert True oder False zurückgibt. Wenn VisualTotals auf den Wert False festgelegt ist, werden die Daten auf allen Elementen der Attribute der Dimension aggregiert, unabhängig davon, ob sie von Mitgliedern der Rolle angezeigt werden können. Wenn VisualTotals auf den Wert True festgelegt ist, werden die Daten nur für die Elemente des Granularitätsattributs der Dimension aggregiert, auf die die Rolle Lesezugriff hat. Wenn beispielsweise Customer Name das Granularitätsattribut ist, und VisualTotals ist im City-Attribut auf True festgelegt, dann stellt jeder Ort die Aggregation der Daten für die Kunden dar, auf die die Rolle Lesezugriff hat. Die Standardeinstellung ist False. |
Berechtigungen
In der folgenden Tabelle werden die in einer Analysis Services-Datenbank verfügbaren Berechtigungen sowie die in den jeweiligen Berechtigungen verwalteten Zugriffsrechte beschrieben.
Berechtigung |
Zugriffsberechtigungen |
Datenbank |
Der Datenbankzugriff definiert den Zugriff auf die Objekte und Daten in einer Analysis Services-Datenbank. Die folgenden Zugriffsrechte sind verfügbar:
|
Datenquelle |
Der Datenquellenzugriff definiert den Zugriff auf Datenquellen in einer Analysis Services-Datenbank. Die folgenden Zugriffsrechte sind verfügbar:
|
Cube |
Eine Cuberolle wird auf der Cubeebene erstellt, wenn eine Datenbankrolle einem Cube zugewiesen wird, und bezieht sich nur auf diesen Cube. Standardeinstellungen in einer Cuberolle werden von der Datenbankrolle mit demselben Namen abgeleitet, jedoch können einige Standardeinstellungen in der Cuberolle außer Kraft gesetzt werden. Eine Cuberolle enthält zusätzliche Optionen, wie z. B. Zellensicherheit, die nicht in einer Datenbankrolle enthalten sind. Sie können beim Erteilen von Lese- und Lese-/Schreibzugriff auf Cubeabschnitte sehr flexibel sein. Sie können angeben, welche Dimensionselemente und Cubezellen von einer Rolle angezeigt und aktualisiert werden können. Weitere Informationen zur Dimensions- und Zellensicherheit finden Sie unter <link xlink:href="be5b2746-0336-4b12-827e-131462bdf605">Granting Dimension Access</link>. Die folgenden Zugriffsrechte sind verfügbar:
|
Zelle |
Der Zellendatenzugriff definiert den Zugriff auf die Zellen eines Cubes. Die folgenden drei Arten des Zugriffs auf die Zellen eines Cubes sind verfügbar:
Die Zellensicherheit in einem Cube wird für jede Art des Zellenzugriffs mithilfe eines MDX-Ausdrucks definiert, der für jede Cubezelle in den Wert True oder False aufgelöst wird. Jeder Wert, der in einem numerischen Ausdruck ungleich 0 ist, wird als True ausgewertet. Der Wert 0 wird hingegen als False ausgewertet. Der Zugriff wird gewährt, wenn ein Ausdruck in True aufgelöst wird. Wird ein Ausdruck in False aufgelöst, wird der Zugriff verweigert. Die folgenden Zugriffsrechte sind verfügbar:
|
Dimension |
Die Eigenschaften des Dimensionszugriffs definieren den Zugriff auf die Datenbankdimensionen in einer Datenbank, unabhängig von ihrer Beteiligung an Cubes. Der Dimensionszugriff ermöglicht Benutzern, die Mitglieder einer Rolle sind, eine Dimension in Clientanwendungen zu durchsuchen. Es können ebenfalls Cubedimensionsberechtigungen angegeben werden, die die Datenbank-Zugriffsberechtigungen für eine Rolle außer Kraft setzen, wenn in einem bestimmten Cube auf eine Dimension zugegriffen wird. Die folgenden Zugriffsrechte sind verfügbar:
|
Attribut |
Der Dimensionsdatenzugriff steuert, auf welche Dimensionsattribute von Mitgliedern einer Rolle zugegriffen werden kann. Das Gewähren oder Verweigern des Zugriffs auf ein Attribut definiert den Zugriff auf die Ebenen in den Dimensionshierarchien, die auf diesem Attribut basieren. Wenn einer Rolle der Zugriff auf ein Attribut verweigert wird, dann wird der Zugriff auf allen vom Attribut abgeleiteten Ebenen verweigert. Wenn durch das Verweigern des Zugriffs auf ein Attribut eine Lücke in einer Hierarchie erstellt wird, dann wird die gesamte Hierarchie für ungültig erklärt. Des Weiteren ist der Zugriff für die Mitglieder der Rolle auf die Hierarchie nicht länger möglich. Beispielsweise stellen in der Hierarchie CountryRegion-State-City-Name die State- und Nameebenen keine zusammenhängenden Ebenen der Hierarchie dar. Durch das Verweigern des Zugriffs auf das City-Attribut entsteht daher eine Lücke, wodurch die Hierarchie ungültig wird. Durch das Verweigern des Zugriffs auf das CountryRegion-Attribut entsteht hingegen keine Lücke. Die Hierarchie State-City-Name ist somit weiterhin als zusammenhängende Ebene gültig. Entsprechend ist durch das Verweigern des Zugriffs auf das Name-Attribut die Hierarchie CountryRegion-State-City weiterhin gültig. Wenn Sie Mitgliedern einer Rolle den Zugriff auf ein Attribut gewähren, haben Sie die Möglichkeit, den Zugriff auf ausgewählte Elemente des Attributs zu gewähren oder zu verweigern. Die folgenden Zugriffsrechte sind verfügbar:
|
Miningstruktur |
Der Miningstrukturzugriff bestimmt die Berechtigungen für Miningstrukturen sowie für Miningmodelle und Miningmodelldaten. Die folgenden Zugriffsrechte sind verfügbar:
|
Miningmodell |
Der Miningstrukturzugriff bestimmt die Berechtigungen für Miningstrukturen sowie für Miningmodelle und Miningmodelldaten. Die folgenden Zugriffsrechte sind verfügbar:
|
1 Das DefaultMember-Zugriffsrecht definiert die Standardelemente der Dimension. Weitere Informationen finden Sie unter Definieren eines Standardelements.
Berechtigungen und Vererbung
Wenn in einem Objekt andere Objekte enthalten sind, wie z. B. Cubes oder Dimensionen einer Datenbank, werden die Administer-, Process- und ReadDefinition-Berechtigungen des übergeordneten Objekts von den untergeordneten Objekten geerbt.
Berechtigung |
Vererbung |
---|---|
Administer |
Mitglieder der Analysis Services-Serverrolle verfügen über die Berechtigung zum Verwalten eines Servers und haben daher ebenfalls den vollständigen Zugriff auf alle auf dem Server vorhandenen Objekte. Mitgliedern einer Analysis Services-Datenbankrolle, denen die Berechtigung zum Verwalten einer Datenbank gewährt wird, haben den vollständigen Zugriff auf alle in der Datenbank enthaltenen Objekte. |
Process |
Die Process-Einstellung in einem Objekt gilt standardmäßig für alle untergeordneten Objekte. Diese Eigenschaft kann ebenfalls für ein untergeordnetes Objekt festgelegt werden, um die vom übergeordneten Objekt geerbte Berechtigung außer Kraft zu setzen.
|
ReadDefinition |
Die ReadDefinition-Eigenschaftseinstellung in einem Objekt wird standardmäßig von allen untergeordneten Objekten geerbt. Diese Eigenschaft kann ebenfalls für ein untergeordnetes Objekt festgelegt werden, um die vom übergeordneten Objekt geerbte Berechtigung außer Kraft zu setzen. |
Mehrere Rollen und Berechtigungen
Ein Benutzer kann mehreren Rollen einer Analysis Services-Datenbank angehören. Berechtigungen über mehrere Rollen hinweg sind additiv. Ein Mitglied einer Rolle kann auf ein Objekt zugreifen, wenn die Rolle den Zugriff auf das Objekt gewährt, unabhängig davon, ob dem Mitglied der Zugriff auf das Objekt in einer anderen Rolle explizit verweigert wird.