サービス アカウント (Reporting Services 構成)
[サービス アカウント] ページを使用すると、レポート サーバー サービスを実行するアカウントを指定できます。このアカウントは、最初はセットアップ中に構成されます。アカウントまたはパスワードの変更が必要な場合は、変更を加えることができます。レポート サーバー Web サービス、レポート マネージャー、およびバックグラウンド処理アプリケーションは、いずれもこのページで指定したサービス ID で実行されます。
レポート サーバー サービス用に指定するアカウントには、レジストリ、レポート サーバー プログラム ファイル、およびレポート サーバー データベースにアクセスするための権限が必要です。Reporting Services 構成ツールを使用してアカウントを設定すると、アカウントに対してすべての権限が自動的に構成されます。このサービス アカウントを使用してレポート サーバー データベースに接続すると、ツールによってアカウントのデータベース ログインが作成され、さらにレポート サーバー データベースをホストする SQL Server インスタンスでの RSExecRole がアカウントに割り当てられてデータベース権限が構成されます。レポート サーバー データベースは、レポート サーバーが書き込みを行う唯一のデータ ストアです。それ以外のデータ ストアに対する権限は、サービス アカウントには必要ありません。
このページを開くには、Reporting Services 構成ツールを起動して、ナビゲーション ウィンドウでリンクを選択します。詳細については、「Reporting Services 構成を開始する方法」を参照してください。
.gif "重要な注意事項") 重要 |
|---|
アカウントまたはパスワードを更新する場合は、常に Reporting Services 構成ツールを使用することを強くお勧めします。このツールを使用してアカウントを更新すると、サービス ID に依存する他の内部設定が自動的に同時に更新されます。 |
オプション
[ビルトイン アカウントを使用する]
一覧から [ネットワーク サービス]、[ローカル システム]、または [ローカル サービス] を選択します。推奨されるのは [ネットワーク サービス] だけですが、使用可能な任意のアカウントを使用するようにアカウントを構成できます。[他のアカウントを使用する]
Windows ユーザー アカウントを指定する場合は、このオプションを選択します。ローカル Windows ユーザー アカウントまたはドメイン ユーザー アカウントを入力できます。ドメイン アカウントは <domain>\<user> の形式で指定します。ローカル Windows ユーザー アカウントは、<computer name>\<user> の形式で指定します。このとき選択できるのは、既存のアカウントのみです。Reporting Services 構成で新しいアカウントを作成することはできません。アカウントの文字数の上限は 20 文字です。
ネットワークが Kerberos 認証を使用している場合に、ドメイン ユーザー アカウントで実行されるようにレポート サーバーを構成するには、サービスをユーザー アカウントに登録する必要があります。詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) を登録する方法」を参照してください。
たとえば、ある Windows アカウントを別のアカウントで置き換えたり、ビルトイン アカウントを Windows ドメイン アカウントで置き換えたりするなどしてアカウントの種類を切り替えると、暗号化キーのバックアップ コピーを作成するように求めるプロンプトが表示されます。新しいアカウントを選択すると、バックアップ コピーが自動的に復元されます。
.gif "注意") 注 |
|---|
サービス アカウントを変更するたびに、Reporting Services 構成マネージャーから暗号化キーのバックアップと復元を求められます。この手順は、暗号化されたデータをレポート サーバーが使用できるようにするために必要です。これらのアクションの詳細については、「[暗号化キー] (Reporting Services 構成)」を参照してください。 |
さらに、SharePoint 統合モードで実行するように構成されているレポート サーバーを使用している場合に Reporting Services 構成ツールを使用してサービス アカウントを変更するには、SharePoint サーバーの全体管理を開き、Reporting Services の [データベース アクセスの許可] ページを使用してレポート サーバーとインスタンスの設定を再適用する必要もあります。この操作により、新しいサービス アカウントには、SharePoint データベースへのアクセスが許可されます。これは、Reporting Services を SharePoint の製品またはテクノロジと統合する場合に必要です。SharePoint サーバーの全体管理でデータベースへのアクセスを許可する方法の詳細については、「SharePoint サーバーの全体管理でレポート サーバー統合を構成する方法」を参照してください。
アカウントの選択
最良の結果を得るには、ネットワーク接続権限があり、ネットワーク ドメイン コントローラーおよび会社の SMTP サーバーまたはゲートウェイにアクセスできるアカウントを指定します。次の表に、アカウントの概要およびアカウントの使用に関する推奨事項を示します。
アカウント |
説明 |
|---|---|
ドメイン ユーザー アカウント |
レポート サーバーの操作に必要な最小限の権限を持つ Windows ドメイン ユーザー アカウントがある場合は、それを使用してください。 レポート サーバー サービスが他のアプリケーションから切り離されるため、ドメイン ユーザー アカウントの使用をお勧めします。ネットワーク サービスなどの共有アカウントで複数のアプリケーションを実行すると、悪意のあるユーザーにレポート サーバーを制御されるリスクが増大します。これは、あるアプリケーションに対するセキュリティ侵害が、同じアカウントで実行されるすべてのアプリケーションへと容易に拡大するためです。 ドメイン ユーザー アカウントが必要となるのは、レポート サーバーで制約付き権限借用を構成する場合、または、ビルトイン コンピューター アカウントではなくドメイン ユーザー アカウントを必要とする SharePoint 2010 製品との SharePoint 統合モードを構成する場合です。 パスワードの有効期限ポリシーを実施する組織でドメイン ユーザー アカウントを使用する場合は、パスワードを定期的に変更する必要があるので注意してください。また、場合によってはサービスをユーザー アカウントに登録する必要があります。詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) を登録する方法」を参照してください。 ローカル Windows ユーザー アカウントは使用しないでください。一般に、ローカル アカウントには、他のコンピューター上のリソースにアクセスするための十分な権限が与えられていません。ローカル アカウントを使用した場合にレポート サーバーの機能がどのように制限されるかについては、このトピックの「ローカル アカウントの使用に関する注意点」を参照してください。 |
ネットワーク サービス |
ネットワーク サービスは、ネットワークへのログオン権限を持つ最小特権のビルトイン アカウントです。使用できるドメイン ユーザー アカウントがない場合や、パスワード有効期限ポリシーが原因でサービスが中断されないようにする場合は、このアカウントの使用をお勧めします。 [ネットワーク サービス] を選択する場合は、同じアカウントで実行される他のサービスの数を最小限に抑えてください。あるアプリケーションに対するセキュリティ侵害が、同じアカウントで実行される他のすべてのアプリケーションのセキュリティを損なうことになります。 |
ローカル サービス |
ローカル サービスは、認証済みのローカル Windows ユーザー アカウントに似たビルトイン アカウントです。Local Service アカウントとして実行されるサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。イントラネットに配置するシナリオでは、レポート サーバーがレポートを開いたりサブスクリプションを処理したりする前に、リモートのレポート サーバー データベースまたはネットワーク ドメイン コントローラーに接続してユーザーを認証する必要があるため、このアカウントは適していません。 |
ローカル システム |
ローカル システムは、レポート サーバーの実行には必要のない高い特権のアカウントです。レポート サーバーのインストールにこのアカウントを使用することは避けてください。代わりに、ドメイン アカウントまたはネットワーク サービスを使用してください。 |
ローカル アカウントの使用に関する注意点
ローカル アカウントを使用する場合の主な注意点は、レポート サーバーがリモートのデータベース サーバー、メール サーバー、およびドメイン コントローラーにアクセスする必要があるかどうかということです。レポート サーバーをローカル Windows ユーザー アカウント、ローカル サービス、またはローカル システムとして実行されるように構成する場合は、他の構成の設定方法やサブスクリプションの作成と配信に関して次の点を考慮する必要があります。
ローカル アカウントでサービスを実行すると、後でリモートのレポート サーバー データベースへの接続を構成する場合に選択肢が限られます。具体的には、リモートのレポート サーバー データベースを使用している場合、リモートの SQL Server インスタンスにログオンする権限のあるドメイン ユーザー アカウントまたは SQL Server データベース ユーザーを使用するように接続を構成する必要があります。
ローカル アカウントでサービスを実行すると、サブスクリプションの作成に関して新しい要件が発生します。レポート サーバーでは、サブスクリプションを作成するユーザーに関する情報が保存されます。ユーザーがドメイン アカウントでログオン中にサブスクリプションを作成すると、サブスクリプションの処理時に、レポート サーバー サービスがドメイン コントローラーに接続してユーザーを認証しようとします。サービスがローカル アカウントで実行されていると、レポート サーバーからリモート ドメイン コントローラーに認証の要求が送信される際にその要求が失敗します。この制限に対処するには、カスタムのフォームベースの認証拡張機能を使用するか、レポート サーバーへのすべてのユーザー接続をローカル ユーザー アカウントで行うようにします。
ローカル アカウントでサービスを実行すると、サブスクリプションの配信に関して新しい要件が発生します。一部の配信拡張機能では、ユーザーのアカウント情報がサブスクリプション定義内に保持されます。レポート サーバー サービスをローカル アカウントで実行しているときに、ドメイン ユーザー アカウントに基づく電子メール アドレスにレポートを送信すると、サービスがリモート ドメイン コントローラーに接続できず、送信先の電子メール アカウントを解決できません。
ドメイン コントローラーになっているコンピューターでは、ビルトイン Windows サービス アカウント (Local Service または Network Service) をレポート サーバーのサービス アカウントとして使用することはできません。