Elegir la cuenta de servicio
Puede elegir ejecutar una instancia de MicrosoftSQL ServerAnalysis Services en el contexto de seguridad de muchas cuentas diferentes. Sin embargo, le recomendamos que utilice una cuenta de usuario local o de dominio como cuenta de inicio de sesión para Analysis Services. El uso de una cuenta de usuario local o de dominio depende de si Analysis Services debe conectarse a recursos de red, como en las situaciones descritas en la siguiente lista:
Si Analysis Services debe conectarse a recursos de red en el contexto de seguridad de su cuenta de inicio de sesión, ejecute la instancia de Analysis Services en el contexto de seguridad de una cuenta de usuario de dominio dedicada.
Si Analysis Services no debe conectarse a recursos de red en el contexto de seguridad de su cuenta de inicio de sesión, ejecute la instancia de Analysis Services en el contexto de seguridad de una cuenta de usuario local o una cuenta de usuario de dominio.
Asimismo, una vez seleccionada una cuenta de inicio de sesión, le recomendamos que no la utilice para ningún otro propósito. El uso limitado de la cuenta de inicio se sesión ayuda a proteger el cifrado de las cadenas y contraseñas de conexión.
Utilizar una cuenta de usuario de dominio dedicada como cuenta de inicio de sesión
Una cuenta de usuario de dominio es una cuenta de usuario creada dentro del servicio de directorio Active Directory. Esta cuenta es miembro del grupo de usuarios autenticados del dominio. Un servicio que se ejecuta en el contexto de seguridad de una cuenta de usuario de dominio presenta el vale Kerberos de la cuenta de usuario de dominio a los servidores remotos. Un servicio que se ejecuta en el contexto de seguridad de una cuenta de usuario de dominio puede obtener acceso a los recursos del servidor remoto en el que los usuarios autenticados o la cuenta de usuario específica tienen permisos de acceso.
Utilizar una cuenta de usuario local dedicada como cuentas de inicio de sesión
Una cuenta de usuario local es una cuenta de usuario de Windows creada en un equipo local. Un servicio que se ejecuta en el contexto de seguridad de una cuenta de usuario local presenta el token de acceso de la cuenta de usuario local a los servidores remotos. Si en el servidor remoto hay configurado un usuario con el mismo nombre y contraseña, un servicio que utilice una cuenta de usuario local podrá obtener acceso a los recursos del servidor remoto en el que la cuenta con el mismo nombre tiene permisos. Aunque este escenario funcionará, el mantenimiento de estas cuentas separadas y la sincronización de sus contraseñas incrementa los costos de administración.
Utilizar otras cuentas como cuenta de inicio de sesión
Además de la cuenta de usuario de dominio y la cuenta de usuario local dedicada, puede ejecutar una instancia de Analysis Services en el contexto de las siguientes cuentas:
Sistema local
Se trata de una cuenta local predefinida con derechos de administrador en el equipo local. Un servicio que se ejecute en el contexto de seguridad de una cuenta Sistema local presenta las credenciales del equipo local a los servidores remotos. Un servicio que se ejecute en el contexto de seguridad de una cuenta Sistema local no puede establecer una sesión autenticada porque esta cuenta no pertenece al grupo Todos del dominio. En consecuencia, un servicio que utiliza esta cuenta sólo podrá tener acceso a los recursos de red utilizando una sesión nula.Servicio local
Se trata de una cuenta local predefinida con derechos de usuario autenticado en el equipo local. Un servicio que se ejecuta en el contexto de seguridad de la cuenta Servicio local presenta credenciales anónimas a los servidores remotos. En consecuencia, un servicio que utiliza esta cuenta sólo podrá tener acceso a los recursos de red que permitan el acceso anónimo.Servicio de red
Se trata de una cuenta local predefinida con derechos de usuario autenticado en el equipo local. Un servicio que se ejecuta en el contexto de seguridad de la cuenta Servicio de red presenta las credenciales del equipo local a los servidores remotos como un usuario autenticado, es decir, un usuario que es miembro del grupo Todos del dominio. En consecuencia, un servicio que utiliza esta cuenta podrá obtener acceso a los recursos del servidor remoto en los que los usuarios autenticados tienen permisos de acceso. Para habilitar un servicio que utiliza esta cuenta para tener acceso a un recurso remoto, puede agregar específicamente el nombre del servidor que está ejecutando Analysis Services al recurso remoto.
Cuando se utilizan las cuentas de la lista anterior, o cualquier otra cuenta, la mejor práctica de seguridad consiste en ejecutar Analysis Services en el contexto de seguridad de una cuenta que tenga los menos derechos posibles. La cuenta Sistema local es conveniente para un entorno de desarrollo, pero esta cuenta administrativa no se recomienda para un entorno de producción porque tiene demasiados derechos. Las cuentas Servicio local y Servicio de red tampoco se recomiendan. Aunque están diseñadas para utilizarse como cuentas de inicio de sesión de servicio con derechos mínimos, las cuentas Servicio local y Servicio de red no se recomiendan para Analysis Services porque la cuenta de inicio de sesión de Analysis Services puede descifrar las cadenas y las contraseñas de conexión cifradas de Analysis Services. Esto significa que otro servicio de Windows que se ejecute en la misma cuenta de inicio de sesión que Analysis Services podría descifrar estas cadenas y contraseñas de conexión.
Especificar la cuenta de inicio de sesión de Analysis Services
Una vez decidido el contexto de cuenta de inicio de sesión que se utilizará, debe especificar la cuenta de inicio de sesión durante la instalación en la página Cuenta de servicio. El proceso de instalación concede a la cuenta de inicio de sesión especificada todos los derechos necesarios en el equipo local, entre los que se incluyen:
Omisión de la comprobación transversal
Creación de objetos de tokens
Generación de auditoría de seguridad
Bloqueo de páginas en memoria
Sustitución de un token de nivel de proceso
A la cuenta de inicio de sesión de Analysis Services también se le concede permisos completos de control NTFS para todos los archivos de la instancia de Analysis Services. Los derechos necesarios en los servidores remotos, como los de los orígenes de datos, deben concederse específicamente a la cuenta de inicio de sesión.
[!NOTA]
La cuenta de inicio de sesión de Analysis Services no tiene permiso para iniciar sesión en una instancia de Analysis Services, aunque tiene acceso de control total a todos los archivos de la instancia de Analysis Services.