Conta de serviço (Configuração do Reporting Services)
Use a página Conta de Serviço para especificar a conta em que o serviço Servidor de Relatório será executado. Essa conta é configurada inicialmente durante a Instalação. Você pode modificá-la se quiser alterar a conta ou a senha. O serviço Web Servidor de Relatórios, o Gerenciador de Relatórios e o aplicativo de processamento em segundo plano são executados na identidade de serviço especificada nesta página.
A conta especificada no serviço Servidor de Relatório exige permissão para acessar o registro, os arquivos de programa do servidor de relatório e o banco de dados do servidor de relatório. Todas as permissões são configuradas automaticamente para a conta quando você usa a ferramenta Configuração do Reporting Services para definir a conta. Se você usar a conta de serviço para se conectar ao banco de dados do servidor de relatório, a ferramenta criará um logon do banco de dados para a conta e irá configurar permissões do banco de dados pela atribuição da conta ao RSExecRole na instância do SQL Server que hospeda o banco de dados do servidor de relatório. O banco de dados do servidor de relatório é o único armazenamento de dados em que um servidor de relatório pode gravar. A conta de serviço não exige permissões para nenhum outro armazenamento de dados.
Para abrir essa página, inicie a ferramenta Configuração do Reporting Services e selecione o link no painel de navegação. Para obter mais informações, consulte Como iniciar a ferramenta Configuração do Reporting Services.
Importante |
---|
Sempre que você precisar atualizar a conta ou a senha, a utilização da ferramenta Configuração do Reporting Services será altamente recomendável. O uso dessa ferramenta para atualizar a conta assegura que outras configurações internas que dependam da identidade do serviço sejam atualizadas de forma automática e simultânea. |
Opções
Usar uma conta interna
Selecione Serviço de Rede, Sistema Local ou Serviço Local na lista. Somente a opção Serviço de Rede é recomendada; porém, você pode configurar a conta para usar qualquer conta disponível.Usar outra conta
Selecione essa opção para especificar uma conta de usuário do Windows. Você pode inserir uma conta de usuário local do Windows ou uma conta de usuário de domínio. Especifique uma conta de domínio neste formato: <domínio>\<usuário>. Especifique uma conta de usuário local do Windows neste formato: <nome do computador>\<usuário>. Só é possível selecionar uma conta existente; você não pode criar novas contas na Configuração do Reporting Services.O limite máximo de caracteres na conta é 20.
Se sua rede usar autenticação Kerberos e você configurar o servidor de relatório para ser executado em uma conta de usuário de domínio, será necessário registrar o serviço com a conta de usuário. Para obter mais informações, consulte Como registrar SPN (Nome da Entidade de Serviço) para um servidor de relatório.
Se você alternar o tipo da conta (por exemplo, substituindo uma conta do Windows por outra ou substituindo uma conta interna por uma conta de domínio do Windows), precisará criar uma cópia de backup da chave de criptografia. A cópia de backup será restaurada automaticamente quando você selecionar a nova conta.
Observação |
---|
A ferramenta Configuração do Reporting Services solicitará que se faça o backup e a restauração da chave de criptografia sempre que a conta de serviço for modificada. Essas etapas são necessárias para assegurar que os dados criptografados permaneçam disponíveis para o servidor de relatório. Para obter mais informações sobre essas ações, consulte Chaves de criptografia (Configuração do Reporting Services). |
Além disso, se houver um servidor de relatório configurado para execução no modo Integrado do SharePoint e você alterar a conta de serviço usando a ferramenta de Configuração do Reporting Services, também será necessário abrir a Administração Central do SharePoint Central e usar a página Conceder Acesso ao Banco de Dados do Reporting Services para reaplicar as configurações de servidor de relatório e instância. Essa etapa concederá à nova conta de serviço o acesso aos bancos de dados do SharePoint, necessário para integração do Reporting Services com o Windows SharePoint Services (WSS) ou o MicrosoftOffice SharePoint Server (MOSS). Para obter mais informações sobre como conceder acesso ao banco de dados na Administração Central do SharePoint, consulte Como configurar a integração do Servidor de Relatório na Administração Central do SharePoint.
Escolhendo uma conta
Para obter melhores resultados, especifique uma conta que tenha permissões de conexão de rede, com acesso aos controladores de domínio da rede e com gateways ou servidores SMTP corporativos. A tabela a seguir resume as contas e fornece recomendações para usá-las.
Conta |
Explicação |
---|---|
Contas de usuário de domínio |
Se você tiver uma conta de usuário de domínio do Windows que possua as permissões mínimas necessárias para operações do servidor de relatório, deverá usá-la. É recomendável uma conta de usuário de domínio porque ela isola o serviço Servidor de Relatório dos outros aplicativos. A execução de vários aplicativos em uma conta compartilhada, como Serviço de Rede, aumenta o risco de um usuário mal-intencionado assumir o controle do servidor de relatório, pois a violação de segurança de um aplicativo pode se estender facilmente a todos os aplicativos executados na mesma conta. É necessário ter uma conta de usuário de domínio se você estiver configurando o servidor de relatório para delegação restrita ou para uma configuração específica no modo integrado do SharePoint em que o servidor de relatório, o banco de dados do servidor de relatório, a configuração do SharePoint e os bancos de dados de conteúdo estejam em um computador e os aplicativos da Web do SharePoint estejam em outro computador. Observe que ao usar uma conta de usuário de domínio você precisará alterar a senha periodicamente caso a empresa tenha uma política de vencimento de senha. Talvez também seja necessário registrar o serviço com a conta de usuário. Para obter mais informações, consulte Como registrar SPN (Nome da Entidade de Serviço) para um servidor de relatório. Evite usar uma conta de usuário local do Windows. Normalmente, as contas locais não têm permissão suficiente para acessar recursos em outros computadores. Para obter mais informações sobre como o uso de uma conta local limita as funcionalidades do servidor de relatório, consulte Considerações sobre o uso de contas locais neste tópico. |
Serviço de Rede |
Serviço de Rede é uma conta interna com menos privilégios que tem permissões de logon de rede. Essa conta é recomendada caso você não tenha uma conta de usuário de domínio disponível ou se quiser evitar quaisquer interrupções de serviço que podem ocorrer em conseqüência de uma diretiva de vencimento da senha. Se você selecionar Serviço de Rede, tente minimizar o número de serviços que são executados na mesma conta. Uma violação de segurança em qualquer aplicativo comprometerá a segurança de todos os outros aplicativos executados na mesma conta. |
Serviço Local |
Serviço Local é uma conta interna semelhante a uma conta de usuário autenticada local do Windows. Os serviços executados como a conta Serviço Local acessam os recursos de rede como uma sessão nula sem credenciais. Essa conta não é apropriada para cenários de implantação de intranet em que o servidor de relatório deve se conectar a um banco de dados do servidor de relatório remoto ou a um controlador de domínio de rede para autenticar um usuário antes de abrir um relatório ou processar uma assinatura. |
Sistema Local |
Sistema Local é uma conta altamente privilegiada que não é exigida para executar um servidor de relatório. Evite usar essa conta para instalações do servidor de relatório. Escolha uma conta de domínio ou um Serviço de Rede. |
Considerações sobre o uso de contas locais
A primeira questão a ser considerada ao usar contas locais é se o servidor de relatório exige acesso aos servidores de banco de dados remotos, aos servidores de email e aos controladores de domínio. Se você configurar o servidor de relatório para ser executado como uma conta de usuário local do Windows, um Serviço Local ou um Sistema Local, surgirão questões que deverão ser consideradas com relação à especificação das demais configurações e à criação e à entrega de assinaturas.
A execução do serviço em uma conta local limitará suas opções posteriormente, caso configure uma conexão para um banco de dados do servidor de relatório remoto. Especificamente, se você estiver usando um banco de dados do servidor de relatório remoto, precisará configurar a conexão de forma que ela utilize uma conta de usuário de domínio ou um usuário do banco de dados do SQL Server que tenha permissão para fazer logon em uma instância remota do SQL Server.
A execução do serviço em uma conta local criará novos requisitos de criação de assinaturas. O servidor de relatório armazena informações sobre o usuário que cria a assinatura. Se o usuário criar uma assinatura enquanto estiver conectado em uma conta de domínio, o serviço Servidor de Relatório tentará se conectar a um controlador de domínio para autenticar o usuário durante o processamento da assinatura. Se o serviço for executado em uma conta local, a solicitação de autenticação falhará assim que o servidor de relatório tentar enviar a solicitação a um controlador de domínio remoto. Para solucionar temporariamente essa limitação, o usuário pode usar uma extensão personalizada de autenticação com base em formulário ou conectar todos os usuários a um servidor de relatório em uma conta de usuário local.
A execução do serviço em uma conta local criará novos requisitos para a entrega de assinaturas. Algumas extensões de entrega têm informações da conta de usuário na definição da assinatura. Se estiver enviando relatórios para endereços de email com base em contas de usuário de domínio e executar o serviço Servidor de Relatório em uma conta local, o serviço não conseguirá acessar um controlador de domínio remoto para resolver a conta de email de destino.