Freigeben über

Erteilen von Cube- oder Modellberechtigungen (Analysis Services)

  • Artikel

Ein Cube- oder ein Tabellenmodell ist das primäre Abfrageobjekt in einem Analysis Services-Datenmodell. Wenn sie in Excel eine Verbindung zu mehrdimensionalen oder tabellarischen Daten für eine Ad-hoc-Datenuntersuchung herstellen, starten Benutzer normalerweise mit der Auswahl eines bestimmten Cube- oder Tabellenmodells als Datenstruktur hinter dem Pivot-Berichtsobjekt. In diesem Thema wird erläutert, wie die erforderlichen Berechtigungen für den Zugriff auf Cube- oder Tabellendaten gewährt werden.

Standardmäßig wird nicht erwartet, dass ein Serveradministrator oder ein Datenbankadministrator die Berechtigung hat, Cubes in einer Datenbank abzufragen. Der Zugriff auf einen Cube durch einen Nicht-Administrator erfordert die Mitgliedschaft in einer Rolle, die für die Datenbank erstellt wurde, die den Cube enthält. Die Mitgliedschaft wird für Windows-Benutzer- oder Gruppenkonten unterstützt, die entweder in Active Directory oder auf dem lokalen Computer definiert werden. Identifizieren Sie vor dem Start die Konten, denen eine Mitgliedschaft in den Rollen zugewiesen werden soll, die Sie erstellen möchten.

Der Read-Zugriff auf einen Cube beinhaltet auch die Berechtigung für die Dimensionen, Measuregruppen und Perspektiven darin. Die meisten Administratoren gewähren Leseberechtigungen auf Cube-Ebene und beschränken dann die Berechtigungen für bestimmte Objekte, für assoziierte Daten oder nach Benutzeridentität.

Ein bewährtes Verfahren zur Beibehaltung von Rollendefinitionen trotz späterer Lösungsbereitstellungen ist es, Rollen in SQL Server Data Tools als wesentlichen Bestandteil des Modells zu definieren und dann einen Datenbankadministrator die Rollenmitgliedschaften in SQL Server Management Studio zuweisen zu lassen, nachdem die Datenbank veröffentlicht wurde. Sie können jedoch beide Tools für beide Aufgaben verwenden. Um diese Übung zu vereinfachen, verwenden wir SQL Server Management Studio für die Rollendefinition und für die Mitgliedschaft.

HinweisHinweis

Nur Serveradministratoren oder Datenbankadministratoren mit Vollzugriffsberechtigung können einen Cube aus Quelldateien auf einem Server bereitstellen oder Rollen erstellen und diesen Mitglieder zuweisen. Weitere Informationen über diese Berechtigungsebenen finden Sie unter Erteilen von Serveradministratorberechtigungen (Analysis Services) und Erteilen von Datenbankberechtigungen (Analysis Services).

Schritt 1: Erstellen der Rolle

  1. Stellen Sie in SSMS eine Verbindung zu Analysis Services her. Weitere Hilfe zu diesem Schritt finden Sie unter Herstellen einer Verbindung von Clientanwendungen (Analysis Services).

  2. Öffnen Sie im Objekt-Explorer den Ordner Datenbanken, und wählen Sie eine Datenbank aus.

  3. Klicken Sie mit der rechten Maustaste auf Rollen, und wählen Sie Neue Rolle aus. Beachten Sie, dass Rollen auf Datenbankebene erstellt werden und für Objekte darin gültig sind. Sie können keine Rollen datenbankübergreifend freigeben.

  4. Geben Sie im Bereich Allgemein einen Namen und optional eine Beschreibung ein. Dieser Bereich enthält außerdem einige Datenbankberechtigungen wie "Vollzugriff", "Datenbank verarbeiten" und "Definition lesen". Keine dieser Berechtigungen ist erforderlich, um ein Cube- oder Tabellenmodell abzufragen. Mehr Informationen über diese Berechtigungen erhalten Sie unter Erteilen von Datenbankberechtigungen (Analysis Services).

  5. Fahren Sie mit dem nächsten Schritt fort, nachdem Sie einen Namen und optional eine Beschreibung eingegeben haben.

Schritt 2: Zuweisen von Mitgliedschaften

  1. Klicken Sie im Fenster Mitgliedschaft auf Hinzufügen, um die Windows-Benutzer- oder Gruppenkonten hinzuzufügen, die in dieser Rolle Zugriff auf den Cube haben sollen. Analysis Services unterstützt nur Windows-Sicherheitsidentitäten. Bitte beachten Sie, dass Sie in diesem Schritt keine Datenbankanmeldungen erstellen. In Analysis Services stellen Benutzer Verbindungen über Windows-Konten her.

  2. Fahren Sie mit dem nächsten Schritt fort, um Cube-Berechtigungen zuzuweisen.

    Beachten Sie, dass wir den Bereich "Datenquelle" überspringen. Die meisten regulären Benutzer von Analysis Services-Daten benötigen keine Berechtigungen für das Datenquellenobjekt. Informationen dazu, wann Sie diese Berechtigung festlegen können, finden Sie unter Erteilen von Berechtigungen für ein Datenquellenobjekt (Analysis Services).

Schritt 3: Festlegen von Cubeberechtigungen

  1. Wählen Sie im Bereich Cubes einen Cube aus, und klicken Sie anschließend auf die Zugriffsberechtigung Lesen oder Lesen/Schreiben.

    Die Berechtigung Lesen reicht für die meisten Vorgänge aus. Lesen/Schreiben wird nur für den Rückschreibemodus und nicht für die Verarbeitung verwendet. Weitere Informationen über diese Funktion erhalten Sie unter Einrichten des Rückschreibens von Partitionen.

    Beachten Sie, dass Sie mehrere Cubes sowie andere Objekte, die im Dialogfeld "Rolle erstellen" vorhanden sind, auswählen können. Berechtigungen für einen Cube bedeuten auch die Zugriffsberechtigung auf die Dimensionen und Perspektiven in diesem Cube. Objekte, die bereits im Cube dargestellt werden, müssen nicht manuell hinzugefügt werden.

    Wenn Sie Berechtigungen nach Objekten oder Benutzern unterscheiden müssen, z. B., um bestimmte Measures unverfügbar zu machen, können Sie Berechtigungen für einzelne Objekte und sogar für einzelne Zellen gewähren oder verweigern. Ausführliche Informationen finden Sie unter Erteilen von benutzerdefiniertem Zugriff auf Dimensionsdaten (Analysis Services) und Erteilen von benutzerdefiniertem Zugriff auf Zellendaten (Analysis Services).

  2. An diesem Punkt haben, wenn Sie auf OK klicken, alle Mitglieder dieser Rolle Zugriff auf die Cubes auf den von Ihnen festgelegten Berechtigungsebenen.

    Beachten Sie, dass Sie im Bereich Cubes den Benutzern die Berechtigung gewähren können, über Drillthrough und lokaler Cube lokale Cubes aus einem Servercube zu erstellen, oder dass Sie Drillthroughberechtigungen gewähren können, indem Sie Drillthrough auswählen.

    Schließlich können Sie in diesem Bereich noch Berechtigungen für Datenbank verarbeiten auf dem Cube gewähren, um allen Mitgliedern dieser Rolle die Möglichkeit zu geben, Daten für diesen Cube zu verarbeiten. Da die Verarbeitung normalerweise ein eingeschränkter Vorgang ist, wird empfohlen, dass Sie diese Aufgabe den Administratoren überlassen oder separate Rollen speziell für diese Aufgabe definieren. Weitere Informationen über bewährte Verfahren für Verarbeitungsberechtigungen finden Sie unter Erteilen von Berechtigungen zum Verarbeiten (Analysis Services).

Schritt 4: Testen

  1. In Excel können Sie Cube-Zugriffsberechtigungen testen. Sie können auch SQL Server Management Studio verwenden und das im nächsten Abschnitt beschriebene Verfahren anwenden, wobei Sie die Anwendung als Nicht-Administrator-Benutzer ausführen.

    HinweisHinweis

    Wenn Sie ein Analysis Services-Administrator sind, werden die Administratorberechtigungen mit Rollen kombiniert, die weniger Berechtigungen haben. Dies macht es schwierig, die Rollenberechtigungen isoliert zu testen. Zur Vereinfachung des Tests schlagen wir vor, mit dem Konto, das der Rolle zugewiesen ist, die Sie testen, eine zweite Instanz von SSMS zu öffnen.

  2. Halten Sie die UMSCHALTTASTE gedrückt, und klicken Sie mit der rechten Maustaste auf die Verknüpfung Excel, um auf die Option Als anderer Benutzer ausführen zuzugreifen. Geben Sie eines der Windows-Benutzer- oder Gruppenkonten ein, die Mitglied dieser Rolle sind.

  3. Wenn Excel geöffnet wird, verwenden Sie die Registerkarte "Daten", um eine Verbindung zu Analysis Services herzustellen. Da Sie Excel als ein anderer Windows-Benutzer ausführen, ist die Option Windows-Authentifizierung verwenden die Art von Anmeldeinformation, die für den Test von Rollen verwendet werden sollte. Weitere Hilfe zu diesem Schritt finden Sie unter Herstellen einer Verbindung von Clientanwendungen (Analysis Services).

    Wenn bei dieser Verbindung Fehler auftreten, prüfen Sie die Portkonfiguration für Analysis Services, und stellen Sie sicher, dass der Server Remoteverbindungen akzeptiert. Informationen zur Portkonfiguration finden Sie unter Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen.

Schritt 5: Definition und Zuweisung von Skriptrollen

  1. Im letzten Schritt sollten Sie ein Skript generieren, in dem die Rollendefinition, die Sie gerade erstellt haben, erfasst ist.

    Durch das erneute Bereitstellen eines Projekts aus SQL Server Data Tools werden alle Rollen oder Rollenmitgliedschaften überschrieben, die innerhalb des Projekts nicht definiert sind. Der schnellste Weg, um Rollen und Rollenmitgliedschaften nach der erneuten Bereitstellung neu zu erstellen, ist über ein Skript.

  2. Navigieren Sie In SSMS zum Ordner Rollen, und klicken Sie mit der rechten Maustaste auf eine vorhandene Rolle.

  3. Wählen Sie Skript für Rolle als | Erstellen, um | Datei aus.

  4. Speichern Sie die Datei mit der Dateierweiterung .xmla. Löschen Sie zum Testen des Skripts die aktuelle Rolle, öffnen Sie die Datei in SSMS, und drücken Sie F5, um das Skript auszuführen.

Nächster Schritt

Sie können die Cubeberechtigungen noch verfeinern, um den Zugriff auf Zellen- oder Dimensionsdaten zu beschränken. Ausführliche Informationen finden Sie unter Erteilen von benutzerdefiniertem Zugriff auf Dimensionsdaten (Analysis Services) und Erteilen von benutzerdefiniertem Zugriff auf Zellendaten (Analysis Services).

Siehe auch

Aufgaben

Erteilen von Berechtigungen für Data Mining-Strukturen und Modelle (Analysis Services)

Erteilen von Berechtigungen für ein Datenquellenobjekt (Analysis Services)

Konzepte

Von Analysis Services unterstützte Authentifizierungsmethoden