Account servizio (Configurazione di Reporting Services)
La pagina Account servizio consente di specificare l'account con cui viene eseguito il servizio del server di report. Questo account viene configurato inizialmente durante l'installazione, ma può essere modificato se si desidera utilizzare un account o una password diversa. Il servizio Web ReportServer, Gestione report e l'applicazione di elaborazione in background verranno tutti eseguiti con l'identità del servizio specificata in questa pagina.
L'account specificato per il servizio del server di report deve disporre dell'autorizzazione necessaria per accedere al Registro di sistema, ai file di programma del server di report e al database del server di report. Tutte le autorizzazioni vengono configurate automaticamente per l'account quando si utilizza lo strumento di configurazione di Reporting Services per impostare l'account. Se si utilizza l'account del servizio per connettersi al database del server di report, lo strumento crea un account di accesso al database per l'account e configura le autorizzazioni per il database assegnando l'account a RSExecRole nell'istanza di SQL Server che ospita il database del server di report. Il database del server di report è l'unico archivio dati in cui scrive un server di report. Per l'account del servizio non sono necessarie autorizzazioni per altri archivi dati.
Per aprire questa pagina, avviare lo strumento di configurazione di Reporting Services e selezionare il collegamento nel riquadro di navigazione. Per ulteriori informazioni, vedere Procedura: Avvio di Configurazione Reporting Services.
Importante |
---|
Ogni volta che è necessario aggiornare l'account o la password, è consigliabile utilizzare lo strumento di configurazione di Reporting Services. L'utilizzo dello strumento per aggiornare l'account garantisce che vengano aggiornate automaticamente anche le altre impostazioni interne che dipendono dall'identità del servizio. |
Opzioni
Utilizza account predefinito
Selezionare Servizio di rete, Sistema locale o Servizio locale dall'elenco. L'unica opzione consigliata è Servizio di rete. È tuttavia possibile configurare l'utilizzo di qualsiasi account disponibile.Utilizza un altro account
Selezionare questa opzione per specificare un account utente di Windows. È possibile immettere un account utente locale di Windows o un account utente di dominio. Specificare un account di dominio nel formato <dominio>\<utente>. Specificare un account utente locale di Windows nel formato <nome computer>\<utente>. È possibile solo selezionare un account esistente: in Configurazione di Reporting Services non è possibile creare nuovi account.Il limite massimo di caratteri per l'account è 20.
Se la rete utilizza l'autenticazione Kerberos e il server di report viene configurato per l'esecuzione con un account utente di dominio, è necessario registrare il servizio con l'account utente. Per ulteriori informazioni, vedere Procedura: Registrazione di un nome dell'entità servizio (SPN) per un server di report.
Se si passa a un altro tipo di account, ad esempio sostituendo un account di Windows con un altro o un account predefinito con un account di dominio di Windows, verrà richiesto di creare una copia di backup della chiave di crittografia. La copia di backup verrà ripristinata automaticamente quando si seleziona il nuovo account.
Nota
In Gestione configurazione di Reporting Services viene richiesto di eseguire il backup e il ripristino della chiave di crittografia ogni volta che si modifica l'account del servizio. Questa procedura è necessaria per garantire che i dati crittografati restino disponibili per il server di report. Per ulteriori informazioni su queste azioni, vedere Chiave di crittografia (Configurazione di Reporting Services).
Inoltre, se si dispone di un server di report configurato per l'esecuzione in modalità integrata SharePoint e si modifica l'account del servizio mediante lo strumento di configurazione di Reporting Services, è necessario aprire anche Amministrazione centrale SharePoint e utilizzare la pagina Concedi accesso al database di Reporting Services per applicare nuovamente le impostazioni del server di report e dell'istanza. Tramite l'esecuzione di questo passaggio, al nuovo account del servizio verrà concesso l'accesso ai database di SharePoint necessari per l'integrazione di Reporting Services con un prodotto o una tecnologia SharePoint. Per ulteriori informazioni su come concedere l'accesso ai database in Amministrazione centrale SharePoint, vedere Procedura: Configurazione dell'integrazione del server di report in Amministrazione centrale SharePoint.
Scelta di un account
Per ottenere risultati ottimali, specificare un account che dispone delle autorizzazioni necessarie per stabilire connessioni di rete, con accesso ai controller di dominio di rete e ai server o ai gateway SMTP aziendali. Nella tabella seguente vengono forniti un riepilogo degli account e alcuni consigli per utilizzarli.
Account |
Spiegazione |
---|---|
Account utente di dominio |
Se si possiede un account utente di dominio di Windows che dispone delle autorizzazioni minime necessarie per operazioni sul server di report, è consigliabile utilizzarlo. Un account utente di dominio rappresenta la scelta consigliata, in quanto isola il servizio del server di report dalle altre applicazioni. L'esecuzione di più applicazioni tramite un account condiviso, ad esempio Servizio di rete, aumenta il rischio di esporre il server di report al controllo da parte di utenti malintenzionati, in quanto una violazione della sicurezza di una delle applicazioni può facilmente estendersi a tutte le applicazioni eseguite utilizzando lo stesso account. Un account utente di dominio è necessario se si configura il server di report per la delega vincolata o per la modalità integrata SharePoint con i prodotti SharePoint 2010 che richiedono account utente di dominio piuttosto che account predefiniti del computer. Si noti che se si utilizza un account utente di dominio, sarà necessario modificare periodicamente la password se l'organizzazione applica criteri di scadenza delle password. Potrebbe inoltre essere necessario registrare il servizio con l'account utente. Per ulteriori informazioni, vedere Procedura: Registrazione di un nome dell'entità servizio (SPN) per un server di report. Evitare di utilizzare un account utente locale di Windows. Gli account locali non dispongono in genere di autorizzazioni sufficienti per accedere alle risorse in altri computer. Per ulteriori informazioni sulle limitazioni imposte alle funzionalità del server di report quando si utilizza un account locale, vedere Considerazioni sull'utilizzo di account locali in questo argomento. |
Servizio di rete |
Servizio di rete è un account predefinito con privilegi minimi che dispone di autorizzazioni di accesso alla rete. Tale account è consigliato se non si dispone di un account utente di dominio o se si desidera evitare le possibili interruzioni del servizio provocate dall'applicazione di criteri di scadenza delle password. Se si seleziona Servizio di rete, tentare di ridurre al minimo il numero degli altri servizi eseguiti con lo stesso account. Una violazione della sicurezza di una delle applicazioni può pregiudicare la sicurezza di tutte le altre applicazioni eseguite con lo stesso account. |
Servizio locale |
Servizio locale è un account predefinito simile a un account utente locale di Windows autenticato. I servizi eseguiti tramite l'account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali. Questo account non è adatto per scenari di distribuzione Intranet in cui il server di report deve connettersi a un database del server di report remoto o a un controller di dominio di rete per autenticare un utente prima dell'apertura di un report o dell'elaborazione di una sottoscrizione. |
Sistema locale |
Sistema locale è un account con privilegi elevati, non necessario per l'esecuzione di un server di report. Non utilizzare questo account per le installazioni dei server di report. Scegliere piuttosto un account di dominio o l'account Servizio di rete. |
Considerazioni sull'utilizzo di account locali
La considerazione principale relativa all'utilizzo di account locali consiste nel determinare se il server di report dovrà accedere a server database remoti, server di posta elettronica e controller di dominio. La configurazione del server di report per l'esecuzione come account utente locale di Windows, Servizio locale o Sistema locale impone alcune considerazioni di cui è necessario tenere conto correlate all'impostazione di altre opzioni di configurazione e alla creazione e al recapito delle sottoscrizioni:
Se il servizio viene eseguito utilizzando un account locale e si configura una connessione a un database del server di report remoto, il numero di opzioni disponibili in seguito risulterà limitato. In particolare, se si utilizza un database del server di report remoto, sarà necessario configurare la connessione per l'utilizzo di un account utente di dominio o di un account utente di accesso al database di SQL Server che disponga dell'autorizzazione necessaria per accedere all'istanza remota di SQL Server.
L'esecuzione del servizio tramite un account locale introduce anche nuovi requisiti relativi alla creazione delle sottoscrizioni. Il server di report archivia le informazioni relative agli utenti che creano le sottoscrizioni. Se un utente crea una sottoscrizione mentre è connesso con un account di dominio, il servizio del server di report tenterà di connettersi a un controller di dominio per autenticare l'utente al momento dell'elaborazione della sottoscrizione. Se il servizio viene eseguito utilizzando un account locale, la richiesta di autenticazione ha esito negativo quando viene inviata a un controller di dominio remoto dal server di report. Per ovviare a questa limitazione è possibile utilizzare un'estensione personalizzata per l'autenticazione basata su form oppure fare in modo che tutti gli utenti si connettano al server di report tramite un account utente locale.
L'esecuzione del servizio tramite un account locale introduce anche nuovi requisiti relativi al recapito delle sottoscrizioni. Alcune estensioni di recapito includono informazioni sull'account utente nelle definizioni delle sottoscrizioni. Se si inviano report a indirizzi di posta elettronica basati su account utente di dominio e il servizio del server di report viene eseguito utilizzando un account locale, il servizio non sarà in grado di accedere a un controller di dominio remoto per risolvere l'account di posta elettronica di destinazione.
Gli account di servizio Windows predefiniti (Servizio locale o Servizio di rete) non sono supportati come account del servizio del server di report su un computer con funzioni di controller di dominio.