Choosing the Service Account
You can choose to run an instance of Microsoft SQL Server Analysis Services in the security context of many different accounts.Zaleca się jednak używanie domena lub konta użytkownika lokalnego jako konto logowania dla Analysis Services. Służy do domena lub lokalnego konta użytkownika zależy od tego, czy Analysis Services musi połączyć się z zasobów sieciowych, zgodnie z opisem w poniższej liście:
Jeśli Analysis Services musi połączyć się z zasobami sieciowymi w kontekście zabezpieczeń jego konto logowania, należy uruchomić wystąpienie programu Analysis Services w kontekście zabezpieczeń konta użytkownika domena dedykowanym.
Jeśli Analysis Services nie trzeba łączyć się z zasobami sieciowymi w kontekście zabezpieczeń jego konto logowania, należy uruchomić wystąpienie programu Analysis Services w kontekście zabezpieczeń konta użytkownika lokalnego lub konta użytkownika domena.
Po zaznaczeniu konto logowania, firma Microsoft zaleca także, czy to konto logowania nie należy używać w żadnym innym celu.Ograniczanie użycia konta logowania pomaga w ochronie szyfrowanie ciągów połączeń i haseł.
Przy użyciu konta użytkownika domena dedykowanym jako konto logowania
Konto użytkownika domena jest konto użytkownika, który ma być tworzony w usłudze Active Directory.To konto jest element członkowski grupy Użytkownicy uwierzytelnieni domena.Usługa jest uruchomiona w kontekście zabezpieczeń konta użytkownika domena, która przedstawia bilet Kerberos konta użytkownika domena, na serwerach zdalnych.Usługa jest uruchomiona w kontekście zabezpieczeń konta użytkownika domena mogą uzyskać dostęp do zasobów na serwerze zdalnym, do których użytkownicy uwierzytelnieni lub konto użytkownika ma uprawnienia dostępu.
Jako konto logowania za pośrednictwem lokalnego konta użytkownika
Konto użytkownika lokalnego jest konto użytkownika, który jest tworzony na komputerze lokalnym.Usługa jest uruchomiona w kontekście zabezpieczeń konta użytkownika lokalnego, która przedstawia tokenu dostępu dla konta użytkownika lokalnego na serwerach zdalnych.Jeśli odpowiednia nazwa użytkownika i hasło są skonfigurowane na serwerze zdalnym, usługa, która korzysta z konta użytkownika lokalnego będą mogli uzyskać dostęp do zasobów na serwerze zdalnym, do którego uprawnieniami konta o identycznej nazwie.Mimo że będzie działać w tym scenariuszu, konta są odrębne i przechowywanie haseł synchronizowane zwiększa obciążenie zarządzania.
Korzystanie z innych kont jako konta logowania
Oprócz konta użytkownika domena dedykowanym i konta użytkownika lokalnego można uruchomić wystąpienie Analysis Services w kontekście następujących kont:
System lokalny
To wstępnie zdefiniowane konto lokalnego administratora praw na komputerze lokalnym.Usługa jest uruchomiona w kontekście zabezpieczeń z lokalnego konta systemowego przedstawia poświadczenia komputera lokalnego z serwerami zdalnymi.Usługa jest uruchomiona w kontekście zabezpieczeń systemu lokalnego konta nie można ustanowić uwierzytelnionej sesja, ponieważ konto System lokalny nie należy do grupy Wszyscy domena.W rezultacie Usługa, która korzysta z tego konta mogą uzyskać dostęp tylko do zasobów sieciowych przy użyciu sesja pustej.Usługa lokalna
Jest to wstępnie zdefiniowane konto lokalne został uwierzytelniony prawa użytkownika na komputerze lokalnym.Usługa jest uruchomiona w kontekście zabezpieczeń konta Usługa lokalna, która przedstawia poświadczenia anonimowych do zdalnych serwerów.W rezultacie Usługa, która korzysta z tego konta mogą uzyskać dostęp tylko do zasobów sieciowych, które zezwalają na dostęp anonimowy.Usługa sieciowa
Jest to wstępnie zdefiniowane konto lokalne został uwierzytelniony prawa użytkownika na komputerze lokalnym.Usługa jest uruchomiona w kontekście zabezpieczeń konta Usługa sieciowa, która przedstawia poświadczenia komputera lokalnego do zdalnych serwerów jako użytkownik uwierzytelniony, to znaczy, użytkownik, który jest członkiem wszyscy grupy domena.W rezultacie Usługa, która korzysta z tego konta mogą uzyskać dostęp do zasobów na serwerze zdalnym, do których użytkownicy uwierzytelnieni uprawnień dostępu.Aby włączyć usługa, która to konto używane do uzyskania dostępu do zdalnego zasób, można w szczególności dodać nazwę serwera, na którym jest uruchomiony Analysis Services do zdalnego zasób.
Kiedy kont w poprzedniej listy lub innych kont, względów bezpieczeństwa jest uruchomienie Analysis Services w kontekście zabezpieczeń konta, które ma najmniejsze prawa. Lokalne konto systemowe jest odpowiednia dla środowiska programowania, ale to konto administratora nie jest zalecane dla środowiska produkcyjnego, ponieważ ma zbyt wiele praw.Konta Usługa lokalna i Usługa sieciowa nie są też zalecane.Mimo że przeznaczone do użycia jako konta logowania usług, z minimalnymi prawami, konta Usługa lokalna i Usługa sieciowa nie są zalecane dla Analysis Services Ponieważ szyfrowane Analysis Services ciągi połączeń i hasła mogą być odszyfrowane przy Analysis Services konto logowania. Oznacza to, że innej usługa systemu Windows jest uruchomiona w ramach tego samego konta logowania jako Analysis Services może odszyfrować tych ciągów połączeń i hasła.
Określanie konta logowania usługi Analysis Services
Po podjęciu decyzji za pomocą kontekście konta logowania, można określić konto logowania podczas instalacji strona konto usługa.Proces instalacji udziela konto logowania określony wszystkich niezbędnych praw na komputerze lokalnym, w tym:
Pomijanie sprawdzania przy przechodzeniu przez folder
Tworzenie obiektu tokenu
Generowanie inspekcji zabezpieczeń
Blokowanie stron w pamięci
Zastępowania tokenu poziom procesu
The Analysis Services logon account is also granted NTFS full control permissions to all files in the wystąpienie of Analysis Services. Niezbędne prawa na serwerach zdalnych, takich jak źródeł danych, musi być wyraźnie przyznane konto logowania.
Uwaga
The Analysis Services logon account has no permission to log on to an wystąpienie of Analysis Services, although it does have full control access to all files in the wystąpienie of Analysis Services.