Escolhendo a conta de serviço
É possível executar uma instância do Microsoft SQL Server Analysis Services no contexto de segurança de muitas contas diferentes. No entanto, recomendamos que você use um domínio ou uma conta de usuário local como a conta de logon do Analysis Services. O uso de um domínio ou de uma conta de usuário local depende da necessidade do Analysis Services de se conectar aos recursos de rede, conforme descrito na lista a seguir:
Se o Analysis Services precisar se conectar aos recursos de rede no contexto de segurança da conta de logon, execute a instância do Analysis Services no contexto de segurança de uma conta de usuário de domínio dedicada.
Se o Analysis Services não precisar se conectar aos recursos de rede no contexto de segurança da conta de logon, execute a instância do Analysis Services no contexto de segurança de uma conta de usuário local ou de domínio.
Além disso, após selecionar uma conta de logon, é recomendado não usar essa conta de logon para nenhum outra finalidade. Limitar o uso da conta de logon ajuda a proteger a criptografia das cadeias de conexão e das senhas.
Usando uma conta de usuário de domínio dedicada como a conta de logon
Uma conta de usuário de domínio é uma conta de usuário criada no serviço de diretório do Active Directory. Essa conta é um membro do grupo Usuários Autenticados no domínio. Um serviço que está em execução no contexto de segurança de uma conta de usuário de domínio apresenta a permissão do Kerberos da conta de usuário de domínio aos servidores remotos. Um serviço que está em execução no contexto de segurança de uma conta de usuário de domínio pode acessar recursos no servidor remoto para o qual os usuários autenticados ou a conta de usuário específica tem permissão de acesso.
Usando uma conta de usuário local como a conta de logon
Uma conta de usuário local é uma conta de usuário do Windows criada no computador local. Um serviço que está em execução no contexto de segurança de uma conta de usuário local apresenta o token de acesso da conta de usuário local aos servidores remotos. Se um nome de usuário e uma senha correspondentes forem configurados no servidor remoto, um serviço que usa uma conta de usuário local poderá acessar os recursos no servidor remoto para o qual a conta nomeada de modo idêntico tem permissões. Embora este cenário funcione, manter essas contas separadas e as senhas sincronizadas aumenta a sobrecarga de gerenciamento.
Usando outras contas como a conta de logon
Além de uma conta de usuário de domínio dedicada e de uma conta de usuário local, é possível executar uma instância do Analysis Services no contexto das seguintes contas:
Local System
Esta é uma conta local predefinida que tem direitos de administrador no computador local. Um serviço que está em execução no contexto de segurança da conta Local System apresenta as credenciais do computador local aos servidores remotos. Um serviço que está em execução no contexto de segurança da conta Local System não pode estabelecer uma sessão autenticada porque a conta Local System não pertence ao grupo Todo mundo no domínio. Como resultado, um serviço que usa essa conta só pode acessar recursos de rede usando uma sessão nula.LocalService
Esta é uma conta local predefinida que tem direitos de usuário autenticado no computador local. Um serviço que está em execução no contexto de segurança da conta LocalService apresenta credenciais anônimas aos servidores remotos. Como resultado, um serviço que usa essa conta só pode acessar recursos de rede que permitem o acesso anônimo.NetworkService
Esta é uma conta local predefinida que tem direitos de usuário autenticado no computador local. Um serviço que está em execução no contexto de segurança da conta NetworkService apresenta as credenciais do computador local aos servidores remotos como um usuário autenticado, isto é, um usuário que é membro do grupo Todo mundo no domínio. Como resultado, um serviço que usa essa conta pode acessar recursos no servidor remoto para o qual os usuários autenticados têm permissões de acesso. Para habilitar um serviço que usa essa conta para acessar um recurso remoto, é possível adicionar o nome específico do servidor que está executando o Analysis Services ao recurso remoto.
Com relação às contas da lista anterior, ou qualquer outra conta, a melhor prática de segurança é executar o Analysis Services no contexto de segurança de uma conta que tenha o mínimo de direitos possível. A conta Local System é adequada para o ambiente de desenvolvimento, mas essa conta administrativa não é recomendada para o ambiente de produção porque tem muitos direitos. As contas LocalService e NetworkService também não são recomendadas. Embora tenham sido projetadas para serem usadas como contas de logon de serviço que têm direitos mínimos, as contas LocalService e NetworkService não são recomendadas para o Analysis Services porque as cadeias de conexão e as senhas criptogradas do Analysis Services podem ser descriptografadas pela conta de logon do Analysis Services. Isso significa que outro serviço do Windows que está em execução com a mesma conta de logon do Analysis Services pode descriptografar as cadeias de conexão e as senhas.
Especificando a conta de logon do Analysis Services
Após decidir qual contexto de conta de logon será usado, especifique a conta de logon durante a configuração na página Conta de Serviço. O processo de configuração concede à conta de logon especificada todos os direitos necessários no computador local, incluindo:
Verificação atravessada ignorável
Criação de objetos de token
Geração de auditorias de segurança
Bloqueio de páginas na memória
Substituição de um token no nível do processo
A conta de logon do Analysis Services também tem permissões de controle total NTFS de todos os arquivos na instância do Analysis Services. Os direitos necessários nos servidores remotos, como para fontes de dados, devem ser concedidos especificamente à conta de logon.
.gif "Observação") Observação |
|---|
A conta de logon do Analysis Services não tem nenhuma permissão para efetuar logon em uma instância do Analysis Services, embora tenha acesso de controle total a todos os arquivos na instância do Analysis Services. |