Predefined Roles
Reporting Services、レポート サーバー操作へのアクセスを許可するために使用できる定義済みのロールがインストールされます。 定義済みの各ロールは、関連するタスクのコレクションを示しています。 定義済みのロールにグループやユーザー アカウントを割り当てることで、レポート サーバーの操作にすぐにアクセスできます。
定義済みのロールを使用する方法
定義済みロールを確認して、これらのロールをそのまま使用できるかどうかを判断します。 タスクを調整したり追加のロールを定義したりする必要がある場合は、この手順を実行してから、ユーザーを特定のロールに割り当てる必要があります。
レポート サーバーへのアクセス権を必要とするユーザーやグループ、およびそのレベルを特定します。 閲覧者 ロールまたは レポート ビルダー ロールには、大半のユーザーを割り当てる必要があります。 パブリッシャー ロールには、少数のユーザーしか割り当てる必要はありません。 また、 コンテンツ マネージャーに割り当てる必要があるのは、ごく限られたユーザーです。
ユーザー アカウントおよびグループ アカウントを特定のロールに割り当てる準備ができたら、レポート マネージャーを使用します。 詳細については、「 レポート サーバーへのユーザー アクセスの許可 (レポート マネージャー)」を参照してください。
定義済みロールの定義
定義済みロールは、サポートするタスクによって定義されます。 これらのロールは、変更したりカスタム ロールに置き換えることができます。
スコープ は、ロールが使用される境界を定義します。 アイテムレベルのロールは、レポート サーバー アイテムおよびそのアイテムに影響を与える操作に対するさまざまなレベルのアクセスを提供します。 アイテムレベルのロールは、レポート サーバー フォルダー階層のルート ノード ([ホーム]) およびすべてのアイテムに対して定義されています。 システムレベルのロールは、サイトレベルでアクセスを承認します。 アイテムレベルのロールとシステムレベルのロールは相互に排他的ですが、一緒に使用すると、レポート サーバーのコンテンツや操作に対する包括的な権限を提供できます。
次の表に、定義済みのロール、スコープ、およびその使用方法を示します。
| 定義済みロール | スコープ | 説明 |
|---|---|---|
| コンテンツ マネージャー ロール | アイテム | アイテムレベルのタスクがすべて含まれます。 このロールに割り当てられたユーザーには、レポート サーバーのコンテンツを管理するための完全な権限が付与されます。たとえば、他のユーザーに権限を付与したり、レポートなどのアイテムを格納するフォルダー構造を定義したりできます。 |
| パブリッシャー ロール | アイテム | このロールに割り当てられたユーザーは、レポート サーバーにアイテムを追加することができます。たとえば、追加したアイテムを格納するフォルダーを作成および管理できます。 |
| 閲覧者ロール | アイテム | このロールに割り当てられたユーザーは、レポートの実行、レポートのサブスクライブ、およびフォルダー構造の参照を実行できます。 |
| レポート ビルダー ロール | アイテム | このロールに割り当てられたユーザーは、レポート ビルダーでレポートを作成および編集できます。 |
| 個人用レポート ロール | アイテム | このロールに割り当てられたユーザーは、レポートや他のアイテムを格納および使用するための個人用の作業領域を管理できます。 |
| システム管理者ロール | システム | このロールに割り当てられたユーザーは、機能を有効にして既定値を設定したり、サイト全体のセキュリティを設定したりできます。また、Management Studio でロールの定義を作成したり、ジョブを管理したりすることもできます。 |
| システム ユーザー ロール | システム | このロールに割り当てられたユーザーは、共有スケジュールのスケジュール情報など、レポート サーバーに関する基本的な情報を表示できます。 |
コンテンツ マネージャー ロール
Content Manager ロールは、レポートと Web コンテンツを管理するユーザーに役立つタスクを含む定義済みのロールですが、必ずしもレポートを作成したり、Web サーバーやSQL Server インスタンスを管理したりするとは限りません。 コンテンツ マネージャーは、レポートの配置、レポート モデルとデータ ソース接続の管理、およびレポートの使用方法の決定を行います。 コンテンツ マネージャー ロールの定義には、既定ですべてのアイテムレベルのタスクが選択されています。
コンテンツ マネージャー ロールは、 システム管理者 ロールと共に頻繁に使用されます。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。 コンテンツ マネージャー ロールでは、フォルダー階層内のレポート、レポート モデル、フォルダー、およびその他のアイテムへのフル アクセスが許可されますが、サイトレベルのアイテムや操作へのアクセスは許可されません。 共有スケジュールの作成と管理、サーバー プロパティの設定、ロールの定義の管理などのタスクは、 システム管理者 ロールに含まれるシステムレベルのタスクです。 このため、共有スケジュールにアクセスできる 2 番目のロールの割り当てをサイトレベルで作成することをお勧めします。
コンテンツ マネージャーのタスク
次の表は、 コンテンツ マネージャー ロールに含まれるタスクの一覧です。
| タスク | 説明 |
|---|---|
| レポートの使用 | レポート定義を読み込みます。 |
| リンク レポートの作成 | リンク レポートではないレポートを基にしたリンク レポートを作成します。 |
| すべてのサブスクリプションを管理 | レポートおよびリンク レポートのサブスクリプションを、その所有者がだれであるかにかかわらず表示、変更、および削除します。 このタスクでは、データ ドリブン サブスクリプションも作成できます。 |
| データ ソースを管理する | 共有データ ソース アイテムの作成および削除、データ ソースのプロパティとコンテンツの表示および変更を行います。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| モデルを管理する | モデルの作成、表示、削除、およびモデルのプロパティの表示と変更を行います。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートに対してユーザーが所有するサブスクリプションを作成、表示、変更、および削除します。 |
| レポート履歴の管理 | レポート履歴の作成、表示、削除、レポート履歴のプロパティの表示、およびスナップショット履歴の制限とキャッシュの動作を決定する設定の表示と変更を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルのセキュリティ ポリシーの設定を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示および変更を行います。 |
| アイテムごとにセキュリティを設定 | レポート、リンク レポート、フォルダー、リソース、およびデータ ソースのセキュリティ ポリシーを定義します。 詳細については、「 セキュリティ保護可能なアイテム」を参照してください。 |
| データ ソースの表示 | フォルダー階層内の共有データ ソース アイテムを表示します。 |
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。 |
コンテンツ マネージャー ロールのカスタマイズ
このロールは、レポート サーバーのコンテンツの管理およびメンテナンスの全体責任を負う、信頼されたユーザーのためのものです。 この定義からはタスクを削除できますが、削除の結果、管理できるコンテンツの範囲があいまいになる可能性があります。 たとえば、"レポートの表示" タスクをこのロールの定義から削除すると、 コンテンツ マネージャー はレポート コンテンツを表示できなくなり、パラメーターや資格情報の設定に対する変更を検証できなくなります。
コンテンツ マネージャー ロールは既定のセキュリティで使用されます。 詳細については、「 Using Default Security」を参照してください。
パブリッシャー ロール
パブリッシャー ロールは、ユーザーがレポート サーバーにコンテンツを追加するためのタスクが含まれた、組み込みのロール定義です。 このロールは、ユーザーの便宜を図って、あらかじめ定義されています。 このロールを含むロール割り当てを作成するまで、パブリッシャー ロールは使用されません。 レポート デザイナーでレポートまたはモデルを作成し、レポート サーバーにそのアイテムをパブリッシュするユーザーを対象にしています。
注意事項
アイテムをレポート サーバーにパブリッシュする権限は、信頼されたユーザーにのみ付与する必要があります。 パブリッシャー ロールでは、ユーザーが任意の種類のファイルをレポート サーバーにアップロードできるような、広範囲にわたる権限が付与されます。 アップロードされたレポートまたは HTML ファイルに悪意のあるスクリプトが含まれていた場合、レポートまたは HTML ドキュメントをユーザーがクリックすると、そのユーザーの資格情報で悪意のあるスクリプトが実行されることになります。
実行時にレポートが HTML で表示される場合、レポート定義には、HTML インジェクション攻撃を受けやすいスクリプトおよび他の要素が含まれる可能性があります。 パブリッシュしたレポートに悪意のあるスクリプトが含まれていると、ユーザーがそのレポートを開いたとき、不正なスクリプトが意図せず実行されてしまう可能性があります。 ユーザーが高度な権限を持っている場合、スクリプトはその権限で実行されます。
悪意のあるスクリプトをユーザーが意図せず実行してしまうリスクを軽減するには、コンテンツをパブリッシュする権限を持つユーザーの数を制限し、信頼されたソースのドキュメントおよびレポートだけがユーザーからパブリッシュされるようにします。 パブリッシュするレポート定義が安全かどうか確信がない場合は、テキスト エディターで .rdl ファイルを開いてスクリプトのタグを検索してください。 悪意のあるスクリプトは、式や URL (ナビゲーション アクションの URL など) に隠れていることがあります。
パブリッシャーのタスク
次の表に、Publisher ロールに含まれるタスクを示します。
| タスク | 説明 |
|---|---|
| リンク レポートの作成 | リンク レポートを作成し、レポート サーバー フォルダーにパブリッシュします。 |
| データ ソースを管理する | 共有データ ソース アイテムの作成および削除、データ ソースのプロパティとコンテンツの表示および変更を行います。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更を行います。 |
| モデルを管理する | レポート モデルの作成、表示、削除、およびレポート モデルのプロパティの表示と変更を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示と変更を行います。 |
パブリッシャー ロールのカスタマイズ
パブリッシャー ロールは、必要に応じて変更できます。 たとえば、ユーザーにリンク レポートの作成とパブリッシュを許可しない場合、"リンク レポートの作成" タスクを削除することができます。また、ユーザーが新しいアイテムの保存先を選択するときにフォルダー階層を参照できるように、"フォルダーの表示" タスクを追加できます。
レポート デザイナーからレポートをパブリッシュするユーザーは、レポート サーバーにレポートを追加するために、少なくとも "レポートの管理" タスクが必要です。 ユーザーが共有データ ソースまたは外部ファイルを使用するレポートを発行する必要がある場合は、"データ ソースの管理" と "リソースの管理" も含める必要があります。ユーザーが発行プロセスの一部としてフォルダーを作成する機能も必要な場合は、"フォルダーの管理" も含める必要があります。
閲覧者ロール
閲覧者 ロールは、レポートを表示しても、レポートの作成および管理は必ずしも行わないユーザーにとって役立つタスクが含まれた定義済みのロールです。 このロールには、レポート サーバーを通常の方法で使用するための基本的な機能が備わっています。 このロールのタスクを使用しない場合、レポート サーバーの使用が困難になることがあります。
閲覧者 ロールは、 システム ユーザー ロールと共に使用する必要があります。 これら 2 つのロールの定義を使用すると、レポート サーバー上のアイテムを操作するユーザーに完全なタスク セットを提供できます。 閲覧者 ロールでは、フォルダー階層内のレポート、レポート モデル、フォルダー、およびその他のアイテムへの表示アクセスが許可されますが、サブスクリプションを作成するときに役立つ共有スケジュールなどのサイトレベルのアイテムへのアクセスは許可されません。 このため、共有スケジュールにアクセスできる 2 番目のロールの割り当てをサイトレベルで作成することをお勧めします。
閲覧者のタスク
閲覧者 ロールの定義に含まれているタスクを、次の表に示します。
| タスク | 説明 |
|---|---|
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。 |
閲覧者ロールのカスタマイズ
閲覧者 ロールは、必要に応じて変更できます。 たとえば、サブスクリプションをサポートしないようにする場合は、"個別のサブスクリプションを管理" タスクを削除できます。また、レポート サーバーにアップロードされる可能性がある付属ドキュメントなどのアイテムをユーザーに対し非表示にする場合は、"リソースの表示" タスクを削除できます。
表示とフォルダーの参照を可能にするために、このロールには、少なくとも "レポートの表示" タスクと "フォルダーの表示" タスクを定義する必要があります。 フォルダーの参照を無効にする必要がない限り、"フォルダーの表示" タスクは削除しないでください。 同様に、ユーザーに対しレポートを非表示にする必要がない限り、"レポートの表示" タスクは削除しないでください。 いずれかのタスクを削除する場合、特定のユーザー グループに限定して適用されるカスタム ロールの定義が必要になります。
レポート ビルダー ロール
レポート ビルダー ロールは、レポート ビルダーでのレポート読み込みタスクのほか、フォルダー階層の表示および移動タスクを含む、定義済みロールです。 レポート ビルダーでレポートを作成および変更するには、レポート ビルダーでレポートをローカルに処理するのに必要な、"レポート定義の実行" タスクを含むシステム ロールも割り当てられている必要があります。
レポート ビルダーのタスク
レポート ビルダー ロールの定義に含まれているタスクを、次の表に示します。
| タスク | 説明 |
|---|---|
| レポートの使用 | レポート定義を読み込みます。 |
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。 |
レポート ビルダー ロールのカスタマイズ
レポート ビルダー ロールは、必要に応じて変更できます。 推奨事項は 参照 ロールとほぼ同じです。サブスクリプションをサポートしない場合は、"個別のサブスクリプションを管理" タスクを削除し、ユーザーにリソースを表示しない場合は、"リソースの表示" タスクを削除します。表示およびフォルダーの移動をサポートするには、"レポートの表示" タスクと "フォルダーの表示" タスクを保存します。
このロール定義の中で最も重要なタスクは "レポートの使用" です。このタスクにより、ユーザーはレポート サーバーからレポート ビルダーのローカル インスタンスにレポート定義を読み込むことができます。 このタスクをサポートしない場合は、このロール定義を削除し、 閲覧者 ロールを使用してレポート サーバーへの一般的なアクセスをサポートすることができます。
個人用レポート ロール
個人用レポート ロールは、個人用レポート機能のユーザーに役立つ一連のタスクを含む定義済みロールです。 このロールの定義には、ユーザーが所有する [個人用レポート] フォルダーの管理権限をそのユーザーに与えるタスクが含まれています。
個人用レポート機能と共に使用するロールに別のロールを選択することもできますが、個人用レポートのセキュリティ専用に使用するロールを選択することをお勧めします。 詳細については、「 個人用レポートをセキュリティで保護する」を参照してください。
個人用レポートのタスク
次の表に、 個人用レポート ロールに含まれるタスクの一覧を示します。
| タスク | 説明 |
|---|---|
| リンク レポートの作成 | ユーザーの [個人用レポート] フォルダーに格納されているレポートを基にしたリンク レポートを作成します。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| データ ソースを管理する | 共有データ ソース アイテムの作成および削除、データ ソースのプロパティとコンテンツの表示および変更を行います。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのサブスクリプションの作成、表示、変更、および削除を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルのセキュリティ ポリシーの設定を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示および変更を行います。 |
| レポートの表示 | ユーザーの [個人用レポート] フォルダーに格納されているレポートの実行およびレポートのプロパティの表示を行います。 |
| データ ソースの表示 | フォルダー階層内の共有データ ソース アイテムを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
| フォルダーの表示 | フォルダーのコンテンツを表示します。 |
個人用レポート ロールのカスタマイズ
このロールは、必要に応じて変更できます。 ただし、"レポートの管理" タスクおよび "フォルダーの管理" タスクは保持して、基本コンテンツの管理を有効にすることをお勧めします。 また、このロールでは、ユーザーによるフォルダー コンテンツの表示と管理するレポートの実行を可能にする、表示に関するすべてのタスクがサポートされている必要があります。
既定では、"アイテムごとにセキュリティを設定" タスクはロール定義の一部ではありませんが、 個人用レポート ロールにこのタスクを追加すると、ユーザーがサブフォルダーおよびレポートのセキュリティを設定することができます。
システム管理者ロール
システム管理者 ロールは、レポート サーバーの全体的な責任は負うが、サーバーのコンテンツに対しては必ずしも責任を負わないレポート サーバー管理者にとって役立つタスクを含んだ、定義済みのロールです。
このロールを含むロールの割り当てを作成するには、レポート マネージャーの [サイト 設定] ページを使用するか、Management Studioのレポート サーバー ノードで右クリック コマンドを使用します。
システム管理者 ロールには、ローカル管理者がコンピューターに対して持つような完全な権限は与えられません。 システム管理者 ロールに含まれるのは、アイテム レベルではなくサイト レベルで実行される操作です。 サイト全体の操作とレポート サーバーに格納されているアイテムの両方へのアクセスが必要なユーザーに対しては、 コンテンツ マネージャー ロールを含む 2 つ目のロール割り当てを [ホーム] フォルダーに対して作成します。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。
システム管理者タスク
次の表に、 システム管理者 ロールに含まれるタスクの一覧を示します。
| タスク | 説明 |
|---|---|
| レポート定義の実行 | レポート サーバーにパブリッシュせずにレポート定義の実行を開始します。 |
| ジョブの管理 | 実行中のジョブを表示および取り消します。 詳細については、「 実行中の処理を管理する」を参照してください。 |
| レポート サーバーのプロパティを管理 | レポート サーバーと、レポート サーバーの管理下にあるアイテムに適用されるプロパティを表示および変更します。 このタスクにより、レポート マネージャーの名前の変更、個人用レポートの有効化、およびレポート履歴の既定値の設定を行うことができます。 |
| ロールの管理 | ロールの定義を作成、表示、変更、および削除します。 システム管理者 ロールのメンバーは [サイトの設定] ページを使用してロールを管理できます。 |
| 共有スケジュールの管理 | レポートの実行や更新に使用する共有スケジュールを作成、表示、変更、および削除します。 |
| レポート サーバーのセキュリティを管理 | システム全体のロールの割り当てを表示および変更します。 |
システム管理者 ロールは既定のセキュリティで使用されます。 詳細については、「 Using Default Security」を参照してください。
システム ユーザー ロール
システム ユーザー ロールは、レポート サーバーに関する基本的な情報の表示をユーザーに許可するタスクを含んだ、定義済みのロールです。 レポート ビルダーへのレポートの読み込みもサポートされています。 レポート ビルダーは、レポート サーバーから独立してレポートを処理できるクライアント アプリケーションです。 "レポート定義の実行" タスクは、レポート ビルダーで使用するために用意されています。 レポート ビルダーを使用していない場合は、このタスクを システム ユーザー ロールから削除してもかまいません。 次の表に、 システム ユーザー ロール定義に含まれるタスクの一覧を示します。
システム ユーザー タスク
| タスク | 説明 |
|---|---|
| レポート定義の実行 | レポート サーバーにパブリッシュせずにレポートを実行します。 |
| レポート サーバーのプロパティを表示 | アプリケーション名、個人用レポートの有効/無効、レポート履歴の既定値など、レポート サーバーに適用するプロパティを表示します。 システム ユーザー ロールからこのタスクを削除すると、[サイトの設定] ページを利用できなくなります。 また、各ページの上部にアプリケーションのタイトルが表示されません。 既定では、レポート マネージャーのタイトルは "SQL Server Reporting Services" です。 |
| 共有スケジュールの表示 | レポートの実行または更新に使用する共有スケジュールを表示します。 システム ユーザー ロールからこのタスクを削除すると、ユーザーはサブスクリプションおよびその他のスケジュールに設定された操作に使用する共有スケジュールを選択できなくなります。 |
システム ユーザー ロールを使用して、既定のセキュリティを補完できます。 このロールは、レポート サーバーへのアクセスをレポート ユーザーに許可する新しいロールの割り当てに含めることができます。 詳細については、「 ネイティブ モードのレポート サーバーに対する権限の許可」をご覧ください。
参照
ロールを作成、削除、または変更する (Management Studio)
レポート サーバーへのユーザー アクセス権の付与 (レポート マネージャー)
ロールの割り当てを変更または削除する (レポート マネージャー)
ネイティブ モードのレポート サーバーに対する権限の許可
タスクと権限