Freigeben über


Sichern der von Analysis Services verwendeten Datenquellen

Wenn unbefugte Benutzer Zugriff auf die Datenquellen erhalten, aus denen MicrosoftSQL ServerAnalysis Services seine Daten lädt, können diese Benutzer auf dieselben Informationen zugreifen, die in der Instanz von Analysis Services gespeichert sind. Sie sollten den Zugriff auf diese Datenquellen einschränken. Um Cubes und Dimensionen zu durchsuchen, benötigen Analysis Services-Benutzer keine Berechtigungen für diese Datenquellen. Dagegen benötigen Analysis Services-Benutzer Berechtigungen, um Verbindungen mit den zugrunde liegenden Datenquellen herzustellen, wenn bestimmte Tasks ausgeführt werden, wie z. B. das Verwenden von Data Mining-Ausdrücken (DMX, Data Mining Expressions) zum Ausführen bestimmter Data Mining-Tasks.

Sichern der Verbindungen mit den zugrunde liegenden Datenquellen

Analysis Services stellt für folgende Zwecke Verbindungen mit den zugrunde liegenden Datenquellen her:

  • Verarbeiten von Daten zu Analysis Services.

  • Auflösen von Abfragen, wenn ROLAP oder HOLAP verwendet werden.

  • Aufzeichnen von Rückschreibeeinträgen

  • Ausführen von Drillthroughabfragen mit mehrdimensionalen Ausdrücken (MDX, Multidimensional Expressions).

Analysis Services führt jeden dieser Tasks mithilfe eines DataSource-Objekts aus. Das Sicherheitskonto, das vom DataSource-Objekt zum Zugreifen auf diese Datenquellen verwendet wird, sind entweder die Anmeldeinformationen des Benutzers oder der Benutzername und das Kennwort, die in der im DataSource-Objekt gespeicherten Verbindungszeichenfolge angegeben sind.

VorsichtshinweisVorsicht

Wenn Analysis Services mithilfe des Analysis Services-Anmeldekontos Verbindungen mit einer seiner Datenquellen herstellt, können Mitglieder einer Datenbankrolle mit Berechtigungen für den Vollzugriff auf diese Datenquelle zugreifen, und zwar unabhängig davon, ob diese Datenquelle innerhalb der Datenbank verwendet wird.

Welche Berechtigungen das Sicherheitskonto benötigt, das von einem DataSource-Objekt verwendet wird, hängt vom Task ab, den Analysis Services ausführen soll:

  • Zum Verbindungsaufbau mit der Datenquelle muss das vom DataSource-Objekt verwendete Sicherheitskonto mindestens über Leseberechtigungen für die entsprechende Tabelle in der Datenquelle verfügen. Wenn die ROLAP-Speicherung verwendet wird, muss das Sicherheitskonto außerdem über die Berechtigung zum Rückschreiben von Aggregationsdaten in die Datenquelle verfügen.

  • Wenn das Rückschreiben aktiviert ist, muss das verwendete Sicherheitskonto auch über die Berechtigung zum Schreiben in die Rückschreibetabelle verfügen.

Analysis Services verschlüsselt und speichert die Verbindungszeichenfolgendaten, die zum Verbindungsaufbau mit jeder Datenquelle verwendet werden. Wenn die Verbindungszeichenfolge ein bestimmtes Sicherheitskonto anstelle einer vertrauten Verbindung angibt, können Sie die Verbindungszeichenfolge entweder mit oder ohne das Kennwort speichern. Wenn das Kennwort nicht zusammen mit der Verbindungszeichenfolge gespeichert wird, fordert Analysis Services den Benutzer zum Eingeben eines geeigneten Sicherheitskontos und des Kennworts auf, wenn Analysis Services versucht, eine Verbindung mit dieser Datenquelle herzustellen (z. B. beim Verarbeiten oder beim Ändern einer Datenquellensicht).

Während der Bereitstellung können Sie festlegen, dass das Sicherheitskonto und das Kennwort des Sicherheitskontos im Analysis Services-Projekt gespeichert werden. Wenn Sie das Analysis Services-Projekt erstellen, entfernt Business Intelligence Development Studio die Sicherheitskonten und Kennwörter aus allen Datenquellen-Verbindungszeichenfolgen, außer wenn Sie festgelegt haben, dass diese Daten in den Ausgabedateien verbleiben sollen. Wenn Sie das Sicherheitskonto und das Kennwort in den Ausgabedateien für ein Analysis Services-Projekt speichern, werden diese Verbindungszeichenfolgendaten verschlüsselt. Wenn diese Verbindungszeichenfolgendaten nicht in den Ausgabedateien verbleiben und in der Verbindungszeichenfolge keine vertraute Verbindung angegeben ist, werden Sie während der Bereitstellung von Analysis Services zum Eingeben eines geeigneten Sicherheitskontos und Kennworts aufgefordert.

Sichern der von Data Mining-Abfragen verwendeten Verbindungen

Für Data Mining-Abfragen, die die OPENQUERY-Klausel in einer DMX-Anweisung verwenden, um eine Verbindung zur zugrunde liegenden Datenquelle herzustellen, stellt Analysis Services die Verbindung mithilfe eines DataSource-Objekts her. Das DataSource-Objekt nimmt entweder die Identität des Clients an oder verwendet den Namen und das Kennwort, die in der Verbindungszeichenfolge angegeben sind. Standardmäßig besitzen Benutzer keine Berechtigung für ein DataSource-Objekt und können keine Abfragen der zugrunde liegenden Datenquelle mithilfe der OPENQUERY-Anweisung ausführen. Um die OPENQUERY-Klausel in einer DMX-Anweisung zum Abfragen der zugrunde liegenden Datenquelle zu verwenden, müssen den Benutzern Lese-/Schreibberechtigungen für das DataSource-Objekt gewährt werden. Wenn Benutzer über Lese-/Schreibberechtigungen für ein DataSource-Objekt verfügen und in der Verbindungszeichenfolge ein bestimmtes Konto angegeben ist, wird empfohlen, für die Tabellen in der zugrunde liegenden Datenquelle für das angegebene Konto nur die am stärksten beschränkenden Berechtigungen zu verwenden, d. h. schreibgeschützte Berechtigungen für die Tabellen, auf die zugegriffen wird. Weitere Informationen zu DMX finden Sie unter Data Mining-Erweiterungen (DMX) - Datendefinitionsanweisungen und Data Mining-Erweiterungen (DMX) - Datenbearbeitungsanweisungen.

Standardmäßig können Benutzer nicht die OPENROWSET-Klausel in einer DMX-Anweisung verwenden und keine Ad-hoc-Abfragen für die zugrunde liegende Datenquelle mit einer Ad-hoc-Verbindungszeichenfolge ausführen. Um Benutzern das Verwenden der OPENROWSET-Klausel zu ermöglichen, ändern Sie die Standardeinstellung der DataMining \ AllowAdHocOpenRowsetQueries-Serverkonfigurationseigenschaft. Um auf diese Eigenschaft zuzugreifen, klicken Sie mit der rechten Maustaste auf die Instanz von Analysis Services, klicken Sie dann auf "Eigenschaften", und suchen Sie dann diese Eigenschaft auf der Sicherheit-Seite. Dabei ist es nicht möglich, die Datenquellen einzuschränken, für die Benutzer von Data Mining-Modellen Abfragen ausführen können. Weitere Informationen finden Sie unter Gewähren von Zugriff auf Miningstrukturen und Miningmodelle und Gewähren des Zugriffs auf Datenquellen.