Securing the Data Sources Used by Analysis Services
If unauthorized users obtain access to the data sources from which Microsoft SQL Server Analysis Services loads its data, those unauthorized users can access the same information that is stored within the instance of Analysis Services.Należy ograniczyć dostęp do tych źródeł danych.Modułów i wymiarów, przeglądanie Analysis Services Użytkownicy nie potrzebują uprawnień do tych źródeł danych. Jednak Analysis Services Użytkownicy są potrzebne uprawnienia do łączenia się z odpowiedniego źródła danych do wykonywania określonych zadań, takich jak użycie wyrażenia wyszukiwanie danych (DMX) do wykonywania pewnych zadań wyszukiwanie danych.
Zabezpieczanie połączeń do bazowe źródła danych
Analysis Services nawiązuje połączenie z odpowiedniego źródła danych do:
Dane procesu Analysis Services.
Rozpoznawać kwerendy ROLAP lub HOLAP.
Rekord wystornowania zapisów.
wykonać kwerendy przeglądanie szczegółowe Multidimensional Expressions (MDX).
Analysis Services Każdy z tych zadań za pomocą wykonuje DataSource obiekt. Zabezpieczenia konta, do którego DataSource używa obiektu w celu uzyskania dostępu do tych źródeł danych jest poświadczenia zabezpieczeń tego użytkownika lub nazwę użytkownika i hasło, które są określone w ciąg połączenia, który jest przechowywany w DataSource obiekt.
Ostrzeżenie
Jeśli Analysis Services łączy się z jednego z jej urządzenie źródłowe danych przy użyciu Analysis Services konto logowania, członkowie rola bazy danych, które mają uprawnienia Pełna kontrola mieć dostęp do tego urządzenie źródłowe danych, niezależnie od tego, czy to urządzenie źródłowe danych jest używany w tej bazie danych.
Uprawnienia, które są wymagane przez konto zabezpieczeń, który jest używany przez DataSource obiekt zależy od zadania, Analysis Services jest do wykonania:
Aby połączyć się ze źródłem danych, konto zabezpieczeń, który jest używany przez DataSource Obiekt musi mieć przynajmniej uprawnienia do odczytu w odpowiedniej tabela w źródle danych. Jeśli używany jest magazyn ROLAP, konto zabezpieczeń również musi mieć uprawnienia do zapisania danych agregacja z powrotem do urządzenie źródłowe danych.
Jeśli jest włączony zapis opóźniony, konto zabezpieczeń, które jest używane również musi mieć uprawnienie do zapisu w tabela Zapis opóźniony.
Analysis Services są szyfrowane i przechowywane informacje ciąg połączenia, który jest używany do łączenia się z każdego urządzenie źródłowe danych.Ciąg połączenia określa konta zabezpieczeń, a nie z zaufane połączenie, można zapisać ciąg połączenia z lub bez hasła.Jeśli hasło nie jest przechowywana w ciąg połączenia Analysis Services monituje użytkownika o podanie jest odpowiednie konta i hasło za każdym razem, gdy Analysis Services próbuje połączyć się z tego urządzenie źródłowe danych (takich jak podczas przetwarzania lub podczas modyfikowania danych źródłowych widoku).
Czasie projektowania, możesz zapisać ciąg połączenia zabezpieczonego konta i hasła w Analysis Services Projekt. Podczas tworzenia Analysis Services Projekt, Business Intelligence Development Studio Usunięcie konta i hasła wszystkich ciągów połączenia urządzenie źródłowe danych, dopóki nie zdecydujesz się utrzymują się je w plikach wyjściowych. Jeśli przechowywane zabezpieczeń konta i hasła w plikach wyjściowych dla Analysis Services Projekt, to informacje ciąg połączenia jest zaszyfrowany. Jeśli te informacje ciąg połączenia nie są zachowywane, a zaufane połączenie nie jest określony w ciąg połączenia Analysis Services zostanie wyświetlony monit o zapewnić taką odpowiednie konta i hasła podczas przetwarzania wdrażania.
Zabezpieczanie połączeń używanych przez kwerendy wyszukiwanie danych
Dla kwerendy wyszukiwanie danych, które do łączenia się z danych źródłowych należy użyć klauzula OPENQUERY w instrukcja DMX urządzenie źródłowe, Analysis Services łączy się przez DataSource obiekt. The DataSource object either impersonates the klient or uses the name and password that are specified in the connection ciąg. Domyślnie użytkownicy mają uprawnienia nie w DataSource obiekt, a nie za pomocą instrukcja OPENQUERY kwerendy urządzenie źródłowe danych. Aby użyć klauzula OPENQUERY w instrukcja DMX kwerendy urządzenie źródłowe danych, użytkownicy musi mieć uprawnienia odczytu/zapisu na DataSource obiekt. Jeżeli użytkownicy mają uprawnienia odczytu i zapisu w DataSource obiekt i określone konto jest określony w ciąg połączenia jest zaleca się posiadanie uprawnienia najbardziej restrykcyjne, to możliwe w tabelach urządzenie źródłowe danych dla określonego konta, a mianowicie uprawnienia tylko do odczytu do określonych tabel, które są dostępne. Aby uzyskać więcej informacji na temat DMX zobacz Instrukcje definicja danych wyszukiwanie danych rozszerzeń (DMX) i Deklaracje manipulowanie danych wyszukiwanie danych rozszerzeń (DMX).
Domyślnie użytkownicy nie mogą użyć klauzula OPENROWSET w instrukcja DMX i przesyłać kwerend ad hoc względem urządzenie źródłowe danych przy użyciu ciąg połączenia ad hoc.Zmienianie domyślnego ustawienia dla DataMining \ AllowAdHocOpenRowsetQueries właściwość konfiguracja serwera, aby umożliwić użytkownikom używać klauzula OPENROWSET. Aby uzyskać dostęp do tej właściwość, kliknij prawym przyciskiem myszy wystąpienie Analysis Services, kliknij polecenie właściwość, a następnie zlokalizuj tej właściwość strona. Jeśli to zrobisz, nie można ograniczyć źródła danych, na dane, które mogą wysyłać kwerendy wyszukiwania użytkowników modelu.Aby uzyskać więcej informacji zobacz Granting Access to Mining Structures and Mining Models i Granting Access to Data Sources.