Dienstkonto (Reporting Services-Konfiguration)
Auf der Seite Dienstkonto können Sie angeben, unter welchem Konto der Berichtsserverdienst ausgeführt wird. Dieses Konto wird ursprünglich beim Setup konfiguriert. Sie können es ändern, wenn Sie das Konto oder das Kennwort ändern möchten. Der Report Server-Webdienst, der Berichts-Manager und die Hintergrundverarbeitungsanwendung werden unter der Dienstidentität ausgeführt, die auf dieser Seite angegeben wird.
Das Konto, das Sie für den Berichtsserver-Dienst angeben, muss über entsprechende Berechtigungen verfügen, um auf die Registrierung, die Berichtsserver-Programmdateien und die Berichtsserver-Datenbank zugreifen zu können. Die Berechtigungen für das Konto werden beim Festlegen des Kontos mit dem Reporting Services-Konfigurationstool automatisch konfiguriert. Beim Herstellen einer Verbindung mit der Berichtsserver-Datenbank mit dem Dienstkonto wird eine Datenbankanmeldung für das Konto vom Tool erstellt, und die Datenbankberechtigungen werden durch Zuweisen des Kontos zur RSExecRole für die SQL Server-Instanz konfiguriert, die die Berichtsserver-Datenbank hostet. Die Berichtsserver-Datenbank ist der einzige Datenspeicher, in den ein Berichtsserver schreibt. Das Dienstkonto benötigt keine Berechtigungen für andere Datenspeicher.
Um diese Seite zu öffnen, starten Sie das Reporting Services-Konfigurationstool, und klicken Sie auf den Link im Navigationsbereich. Weitere Informationen finden Sie unter Vorgehensweise: Starten der Reporting Services-Konfiguration.
Wichtig |
---|
Es wird nachdrücklich empfohlen, das Reporting Services-Konfigurationstool zum Aktualisieren des Kontos oder des Kennworts zu verwenden. Auf diese Weise wird sichergestellt, dass andere interne Einstellungen, die von der Dienstidentität abhängen, automatisch aktualisiert werden. |
Optionen
Verwenden eines integrierten Kontos
Wählen Sie Netzwerkdienst, Lokales System oder Lokaler Dienst aus der Liste aus. Es wird empfohlen, die Einstellung Netzwerkdienst zu verwenden; Sie können das Konto jedoch für jedes verfügbare Konto konfigurieren.Verwenden eines anderen Kontos
Wählen Sie diese Option aus, um ein Windows-Benutzerkonto anzugeben. Sie können ein lokales Windows-Benutzerkonto oder ein Domänen-Benutzerkonto eingeben. Geben Sie ein Domänenkonto im folgenden Format an: <domain>\<user>. Geben Sie ein lokales Windows-Benutzerkonto im folgenden Format an: <Computername>\<Benutzer>. Sie können nur ein vorhandenes Konto auswählen. Während der Reporting Services-Konfiguration kann kein neues Konto erstellt werden.Die maximale Zeichenlänge für das Konto beträgt 20 Zeichen.
Wenn die Kerberos-Authentifizierung für das Netzwerk verwendet wird und der Berichtsserver für ein Domänenbenutzerkonto konfiguriert ist, müssen Sie den Dienst für das Benutzerkonto registrieren. Weitere Informationen finden Sie unter Vorgehensweise: Registrieren eines Dienstprinzipalnamens (SPN) für einen Berichtsserver.
Wenn Sie den Kontotyp wechseln (wenn Sie beispielsweise ein Windows-Konto durch ein anderes oder ein integriertes Konto durch ein Windows-Domänenkonto ersetzen), werden Sie aufgefordert, eine Sicherungskopie des Verschlüsselungsschlüssels zu erstellen. Die Sicherungskopie wird automatisch wiederhergestellt, sobald Sie das neue Konto auswählen.
Hinweis |
---|
Jedes Mal, wenn Sie das Dienstkonto verändern, werden Sie vom Reporting Services-Konfigurations-Manager aufgefordert, den Verschlüsselungsschlüssel zu sichern und wiederherzustellen. Diese Schritte sind notwendig, weil sie sicherstellen, dass der Berichtsserver weiterhin auf die verschlüsselten Daten zugreifen kann. Weitere Informationen zu diesen Aktionen finden Sie unter Verschlüsselungsschlüssel (Reporting Services-Konfiguration). |
Falls Sie außerdem mit einem Berichtsserver arbeiten, der für die Ausführung im integrierten SharePoint-Modus konfiguriert ist, und Sie das Dienstkonto mit dem Reporting Services-Konfigurationstool ändern, müssen Sie außerdem die SharePoint-Zentraladministration öffnen und die Seite Datenbankzugriff gewähren in der Reporting Services verwenden, um die Berichtsserver- und Instanzeneinstellungen erneut anzuwenden. Mit diesem Schritt wird dem neuen Dienstkonto Zugriff auf die SharePoint-Datenbanken gewährt. Dies ist für die Integration von Reporting Services mit einem SharePoint-Produkt bzw. einer SharePoint-Technologie erforderlich. Weitere Informationen über das Gewähren des Datenbankzugriffs in der SharePoint-Zentraladministration finden Sie unter Vorgehensweise: Konfigurieren der Berichtsserverintegration in der SharePoint-Zentraladministration.
Auswählen eines Kontos
Geben Sie am besten ein Konto an, das über Berechtigungen für Netzwerkverbindungen verfügt und auf die Netzwerkdomänencontroller und die SMTP-Server oder -Gateways des Unternehmens zugreifen kann. In der folgenden Tabelle werden die Konten zusammengefasst und Empfehlungen für ihre Verwendung gegeben.
Konto |
Erklärung |
---|---|
Domänenbenutzerkonten |
Wenn Sie über ein Windows-Domänenbenutzerkonto verfügen, das mindestens die für Berichtsservervorgänge erforderlichen Berechtigungen aufweist, sollten Sie dieses verwenden. Ein Domänenbenutzerkonto wird empfohlen, da es den Berichtsserverdienst von anderen Anwendungen trennt. Wenn Sie mehrere Anwendungen unter einem freigegebenen Konto wie Netzwerkdienst ausführen, steigt das Risiko, dass böswillige Benutzer die Kontrolle über den Berichtsserver erlangen, da sich eine Sicherheitsverletzung in einer Anwendung leicht auf alle anderen Anwendungen auswirken kann, die unter diesem Konto ausgeführt werden. Ein Domänenbenutzerkonto ist erforderlich, wenn Sie den Berichtsserver für eingeschränkte Delegierung konfiguieren oder für den integrierten SharePoint-Modus mit SharePoint 2010-Produkten, die Domänenbenutzerkonten eher als integrierte Computerkonten erfordern. Wenn Sie ein Domänenbenutzerkonto verwenden, ist eine Änderung Ihres Kennworts in regelmäßigen Abständen erforderlich, sofern eine entsprechende Richtlinie von Ihrer Organisation angewendet wird. Möglicherweise müssen Sie auch den Dienst für das Benutzerkonto registrieren. Weitere Informationen finden Sie unter Vorgehensweise: Registrieren eines Dienstprinzipalnamens (SPN) für einen Berichtsserver. Verwenden Sie kein lokales Windows-Benutzerkonto. Lokale Konten weisen in der Regel keine ausreichenden Berechtigungen für den Zugriff auf Ressourcen auf anderen Computern auf. Weitere Informationen über Einschränkungen der Berichtsserverfunktion bei Verwendung lokaler Konten finden Sie unter Überlegungen zur Verwendung lokaler Konten in diesem Thema. |
Netzwerkdienst |
Netzwerkdienst ist ein integriertes Konto mit Minimalprivilegien, das über Berechtigungen für die Netzwerkanmeldung verfügt. Dieses Konto wird empfohlen, wenn kein Domänenbenutzerkonto verfügbar ist oder wenn Sie mögliche Dienstausfälle aufgrund von Richtlinien zum Ablauf von Kennwörtern vermeiden möchten. Versuchen Sie, die Anzahl der Dienste, die unter einem Konto ausgeführt werden, so gering wie möglich zu halten, wenn Sie Netzwerkdienst auswählen. Eine Sicherheitsverletzung bei einer Anwendung gefährdet die Sicherheit aller anderen Anwendungen, die unter diesem Konto ausgeführt werden. |
Lokaler Dienst |
Lokaler Dienst ist ein integriertes Konto, das einem authentifizierten lokalen Windows-Benutzerkonto entspricht. Bei Diensten, die unter dem Konto Lokaler Dienst ausgeführt werden, erfolgt der Zugriff auf Netzwerkressourcen als NULL-Sitzung ohne Anmeldeinformationen. Dieses Konto ist nicht für Bereitstellungsszenarien im Intranet geeignet, bei denen eine Verbindung zwischen dem Berichtsserver und einer Remoteberichtsserver-Datenbank oder einem Netzwerkdomänencontroller hergestellt werden muss, um einen Benutzer vor dem Öffnen eines Berichts oder vor dem Verarbeiten eines Abonnements zu authentifizieren. |
Lokales System |
Lokales System ist ein Konto mit weit reichenden Berechtigungen, das für die Ausführung eines Berichtsservers nicht erforderlich ist. Verwenden Sie dieses Konto nicht für Berichtsserverinstallationen. Wählen Sie stattdessen ein Domänenkonto oder einen Netzwerkdienst aus. |
Überlegungen zur Verwendung lokaler Konten
Die vorrangige Überlegung im Hinblick auf die Verwendung lokaler Konten ist, ob der Berichtsserver auf Remotedatenbankserver, Mailserver und Domänencontroller zugreifen muss. Wenn Sie den Berichtsserver als lokales Windows-Benutzerkonto, lokalen Dienst oder lokales System konfigurieren, müssen bestimmte Überlegungen bei anderen Konfigurationseinstellungen sowie bei der Erstellung und Übermittlung von Abonnements berücksichtigt werden:
Durch die Ausführung des Dienstes unter einem lokalen Konto werden die Optionen eingeschränkt, die später beim Konfigurieren einer Verbindung mit einer Remoteberichtsserver-Datenbank verfügbar sind. Genauer gesagt: Wenn Sie eine Remoteberichtsserver-Datenbank verwenden, müssen Sie die Verbindung so konfigurieren, dass ein Domänenbenutzerkonto oder ein SQL Server-Datenbankbenutzer verwendet wird, das bzw. der über die Berechtigung zur Anmeldung an der Remoteinstanz von SQL Server verfügt.
Mit der Ausführung des Dienstes unter einem lokalen Konto sind neue Anforderungen im Hinblick auf die Erstellung von Abonnements verbunden. Der Berichtsserver speichert Informationen zum Benutzer, der das Abonnement erstellt. Wenn der Benutzer das Abonnement erstellt, während er mit einem Domänenkonto angemeldet ist, versucht der Berichtsserver-Dienst, eine Verbindung mit einem Domänencontroller herzustellen, um den Benutzer zu authentifizieren, wenn das Abonnement verarbeitet wird. Wenn der Dienst unter einem lokalen Konto ausgeführt wird, löst die Authentifizierungsanforderung einen Fehler aus, wenn der Berichtsserver versucht, die Anforderung an einen Remotedomänencontroller zu senden. Sie können diese Beschränkung umgehen, indem Sie eine formularbasierte Authentifizierungserweiterung verwenden oder alle Benutzer anweisen, die Verbindung mit einem Berichtsserver über ein lokales Benutzerkonto herzustellen.
Mit der Ausführung des Dienstes unter einem lokalen Konto sind neue Anforderungen im Hinblick auf die Übermittlung von Abonnements verbunden. Die Abonnementdefinitionen einiger Übermittlungserweiterungen enthalten Benutzerkontoinformationen. Wenn Sie Berichte an E-Mail-Adressen senden, die auf Domänenbenutzerkonten basieren, und den Berichtsserver-Dienst unter einem lokalen Konto ausführen, kann dieser zum Auflösen der Ziel-E-Mail-Konten nicht auf einen Remotedomänencontroller zugreifen.
Integrierte Windows-Dienstkonten (Lokaler Dienst oder Netzwerkdienst) werden auf einem Domänencontrollercomputer nicht als Berichtsserver-Dienstkonten unterstützt.