Wybieranie konta usługi
You can choose to run an instance of Microsoft SQL Server Usługi Analysis Services in the security context of many different accounts.Jednak zaleca się używanie domena lub konta użytkownika lokalnego jako konto logowania dla Usługi Analysis Services.Czy użyć domena lub lokalnego konta użytkownika zależy, czy Usługi Analysis Services musi połączyć się z zasobów sieci, jak opisano w poniższej liście:
Jeśli Usługi Analysis Services musi połączyć się z zasobami sieciowymi w kontekście zabezpieczeń konta logowania jego, uruchomić wystąpienie Usługi Analysis Services w kontekście zabezpieczeń konta użytkownika domena dedykowanym.
Jeśli Usługi Analysis Services , nie trzeba połączyć się z zasobami sieciowymi w kontekście zabezpieczeń konta logowania jego, uruchomić wystąpienie Usługi Analysis Services w kontekście zabezpieczeń konta użytkownika lokalnego lub konto użytkownika domena.
Zaleca się także po wybraniu konto logowania do innych celów nie należy używać tego konta logowania.Ograniczanie użycia konta logowania pomaga w ochronie szyfrowanie ciągi połączeń i hasła.
Jako konto logowania przy użyciu konta użytkownika domeny dedykowanym
Konto użytkownika domena jest konto użytkownika utworzone w katalogu Active Directory usługa.To konto jest element członkowski grupy Użytkownicy uwierzytelnieni w domenie.Usługa, która jest uruchomiona w kontekście zabezpieczeń konta użytkownika domena przedstawia bilet Kerberos konta użytkownika domena do serwerów zdalnych.Usługa, która jest uruchomiona w kontekście zabezpieczeń konta użytkownika domena mogą uzyskać dostęp do zasobów na serwerze zdalnym, do którego użytkownicy uwierzytelnieni lub konto użytkownika ma uprawnienia dostępu.
Jako konto logowania za pomocą konta użytkownika lokalnego
Lokalne konto użytkownika jest konto użytkownika systemu Windows, utworzony na komputerze lokalnym.Usługa, która jest uruchomiona w kontekście zabezpieczeń konta użytkownika lokalnego przedstawia token dostępu dla konta użytkownika lokalnego do serwerów zdalnych.Jeśli odpowiednia nazwa użytkownika i hasło są skonfigurowane na serwerze zdalnym, usługa używającej konta użytkownika lokalnego będą mieli dostęp do zasobów na serwerze zdalnym, do którego konto o identycznej nazwie ma uprawnienia.Chociaż działają w tym scenariuszu utrzymania konta odrębne i przechowywanie haseł synchronizowane zwiększa koszty zarządzania.
Jako konto logowania przy użyciu innych kont
Oprócz konta użytkownika domena dedykowanym i konta użytkownika lokalnego, można uruchomić wystąpienie Usługi Analysis Services w kontekście następujące konta:
System lokalny
To wstępnie zdefiniowane konto lokalne ma administratora praw na komputerze lokalnym.Usługa, która jest uruchomiona w kontekście zabezpieczeń konta System lokalny przedstawia poświadczenia komputera lokalnego do serwerów zdalnych.Usługa, która jest uruchomiona w kontekście zabezpieczeń systemu lokalnego konta nie można ustanowić uwierzytelnionej sesja, ponieważ konto System lokalny nie należą do grupy Wszyscy w domena.W wyniku usługa, który używa tego konta można tylko dostęp do zasobów sieciowych przy użyciu null sesja.Usługa lokalna
Jest to wstępnie zdefiniowane konto lokalne uwierzytelnił praw użytkownika na komputerze lokalnym.Usługa, która jest uruchomiona w kontekście zabezpieczeń konta LocalService przedstawia poświadczenia anonimowych do serwerów zdalnych.W wyniku usługa, który używa tego konta dostęp tylko zasobów sieciowych, które pozwalają na dostęp anonimowy.Usługa sieciowa
Jest to wstępnie zdefiniowane konto lokalne uwierzytelnił praw użytkownika na komputerze lokalnym.Usługa, która jest uruchomiona w kontekście zabezpieczeń prezenty konto usługi sieciowej komputera lokalnego poświadczenia do zdalnych serwerów jako użytkownik uwierzytelniony, użytkownik, który jest element członkowski wszyscy grupy w domenie.W wyniku usługa, który używa tego konta można uzyskać dostęp do zasobów na serwerze zdalnym, do którego użytkownicy uwierzytelnieni uprawnień dostępu.Aby włączyć usługa, który używa tego konta dostępu do zdalnego zasób, w szczególności można dodać nazwę serwera, na którym jest uruchomione Usługi Analysis Services do zdalnego zasób.
Kiedy kont w poprzedniej listy lub innych kont względów bezpieczeństwa jest uruchomienie Usługi Analysis Services w kontekście zabezpieczeń konta, które ma najmniejsze prawa.Konto System lokalny jest odpowiednia dla środowiska programowania, ale to konto administracyjne nie jest zalecane dla środowiska produkcyjnego, ponieważ ma zbyt wiele praw.UsługaLokalna i UsługaSieciowa konta nie są również zalecane.Chociaż przeznaczone do użycia jako konta logowania usługa minimalnymi prawami, UsługaLokalna i UsługaSieciowa konta nie są zalecane do Usługi Analysis Services ponieważ zaszyfrowany Usługi Analysis Services ciągów połączeń i hasła można odszyfrować za Usługi Analysis Services konto logowania.Oznacza to, że innej usługa Windows uruchomionym na obszarze tego samego konta logowania jako Usługi Analysis Services może odszyfrować tych ciągów połączeń i hasła.
Określanie konta logowania usługi Analysis Services
Po określeniu użyć kontekst konta logowania podczas instalacji strona konto usługi jest określić konto logowania.Proces instalacji udziela konto logowania określony wszystkie niezbędne prawa na komputerze lokalnym, w tym:
Pomijanie sprawdzania przechodniego
Tworzenie obiektu tokenu
Generowanie inspekcji zabezpieczeń
Blokowanie stron w pamięci
Zastępowania tokenu poziom procesu
Usługi Analysis Services Konto logowania jest również uprawnienia NTFS Pełna kontrola do wszystkich plików w wystąpienie z Usługi Analysis Services.Niezbędne prawa na serwerach zdalnych, takich jak źródła danych musi być wyraźnie przyznane konto logowania.
Ostrzeżenie
Usługi Analysis Services Konto logowania nie ma uprawnień do logowania się do wystąpienie Usługi Analysis Services, chociaż ma on dostępu Pełna kontrola do wszystkich plików w instancji Usługi Analysis Services.