Share via

  • [アーティクル]

プログラム ファイル、共通コンポーネント、およびデータ ファイルのセキュリティ保護

セットアップ プログラムを実行すると、Microsoft SQL Server Analysis Services のインスタンスごとに、Analysis Services のプログラム ファイルとデータ ファイルが別々のフォルダー構造にインストールされます。フォルダー構造は次のとおりです。

  • Analysis Services ファイルの既定の場所は、\Program Files\Microsoft SQL Server\MSAS10.50#\OLAP です。ここで、# は、インスタンス番号を表す数値です。このフォルダー構造には、Backup、Bin、Data、および Log という 4 つのサブフォルダーが含まれています。これらのフォルダーには、バックアップ情報、Analysis Services サービス自体の重要なファイル、ディメンションとキューブの実際のデータ、およびログ情報が格納されます。これらの情報は安全に保管する必要があります。セットアップ プログラムでは、このフォルダー構造に含まれているすべてのファイルへのアクセスが、Administrators ローカル グループと Analysis Services ログオン アカウントに制限されます。ユーザーは、これらのフォルダー内のファイルにアクセスする必要がありません。

    重要な注意事項重要

    Analysis Services のインストールやすべての Analysis Services データの保存は、NTFS ファイル システムを使用してフォーマットされているハード ディスクのみを対象としてしてください。

  • すべての Analysis Services インスタンスの共通コンポーネントは、既定で \Program Files\Microsoft SQL Server\100\Shared に配置されます。セットアップ プログラムでは、このフォルダー構造に格納されているファイルに対する読み取りアクセス権がユーザーに与えられ、ユーザーは承認されたタスクを実行したり、許可されたデータにアクセスしたりできます。これらの権限を変更する必要はありません。

Analysis Services データのセキュリティ保護

セットアップ プログラムでは、Backup フォルダー、Data フォルダー、および Log フォルダーへのアクセスが Administrators ローカル グループと Analysis Services ログオン アカウントのメンバーに制限されますが、このデータが損なわれないように、その安全を確保する必要があります。

  • Backup フォルダーへのアクセスは制限されていますが、Analysis Services データベースをバックアップするときにこのフォルダーを使用する必要はありません。別のフォルダーを使用してデータベースをバックアップする場合は、そのフォルダー構造も同様にセキュリティで保護する必要があります。

  • Data フォルダーへのアクセスが制限されているだけでなく、Data フォルダー内のファイルはバイナリ形式で格納されています。つまり、フォルダー内のファイルは、テキスト エディターを使用して読み取ることはできません。ただし、Analysis Services の別のインスタンスがこのフォルダー内のファイルに対するアクセス権を持っている場合、このインスタンスはこれらのファイルを読み取ることができます。このようなセキュリティ上のリスクを抑えるため、信頼できるユーザーのみを Administrators ローカル グループのメンバーに設定し、そのようなユーザーのみに Analysis Services ログオン アカウントのパスワードを知らせる必要があります。

  • インストール後に Data フォルダーを別の場所 (RAID アレイや SAN など) に移動する場合は、移動先の Data フォルダーに対するアクセス権を Administrators ローカル グループのメンバーと Analysis Services ログオン アカウントにのみ与える必要があります。

  • 1 つまたは複数のメジャー グループに対して複数のパーティションを構成し、これらのパーティションを別のフォルダー構造に格納する場合は、これらのパーティションの Analysis Services データが権限のないユーザーによってアクセスされないように、このフォルダー構造へのアクセス権を Administrators ローカル グループのメンバーと Analysis Services ログオン アカウントにのみ与える必要があります。

  • Log フォルダー以外の場所に実行トレースを記録する場合、実行トレースに機密情報がキャプチャされる可能性があるので、これらのトレースに対するアクセスも同様に制限する必要があります。