Назначения ролей
В службах Службы Reporting Servicesназначения ролей определяют доступ к сохраненным элементам и к самому серверу отчетов. Назначение ролей состоит из следующих частей.
Защищаемый элемент, доступом к которому нужно управлять. Примеры защищаемых элементов — это папки, отчеты и ресурсы.
Учетная запись пользователя или группы, которая может быть проверена службой безопасности Windows или другим механизмом проверки подлинности.
Определение ролей, которые определяют набор задач. Примеры определения ролей: Системный администратор, Диспетчер содержимого и Издатель.
Назначения ролей наследуются в иерархии папок. Назначение ролей, заданное для папки, будет автоматически унаследовано всеми отчетами, общими источниками данных, ресурсами и вложенными папками этой папки. Можно заменить унаследованные параметры безопасности, определив назначения ролей для отдельных элементов. Все части иерархии папок должны быть защищены, по меньшей мере, одним назначением роли. Нельзя создать незащищенный элемент или задать настройки так, чтобы получился незащищенный элемент.
Следующий график показывает назначение ролей, которое назначает группу и отдельного пользователя на роль Издатель для папки В.
Диаграмма назначения ролей
.gif "Диаграмма назначения ролей")
Назначение ролей на уровне системы и на уровне элемента
Безопасность служб Службы Reporting Services на основе ролей организована на нескольких уровнях.
Назначения ролей на уровне элемента управляют доступом к отчетам, папкам, моделям отчетов, общим источникам данных и ресурсам в иерархии папок сервера отчетов. Назначения ролей на уровне элемента определяются при создании назначения роли отдельному элементу или корневой папке.
Назначения системных ролей разрешают операции, применяемые к серверу в целом (например, управление задачами системного уровня). Назначение системной роли не эквивалентно назначению роли системного администратора. Оно не предоставляет разрешений на полное управление сервером отчетов.
Назначение системной роли не дает доступа к элементам иерархии папок. Защищенность системы и элемента взаимно исключают друг друга. Для любого данного пользователя или группы может потребоваться создать одновременно назначения роли на уровне системы и на уровне элемента, чтобы предоставить адекватный доступ к серверу отчетов.
Пользователи и группы в назначении ролей
Учетные записи пользователей и групп, указанные в назначениях ролей, — это доменные учетные записи. Сервер отчетов ссылается (но не создает и не изменяет) на пользователей и группы домена Microsoft Windows (или иной модели безопасности, если используется настраиваемый модуль безопасности).
Среди всех назначений ролей, применяемых к данному элементу, никакие два не могут указывать одного и того же пользователя или группу. Если учетная запись пользователя входит в учетную запись группы, и существуют назначения ролей для них обеих, пользователю будет доступен комбинированный набор задач для обоих назначений.
Когда пользователь добавляется в группу, которая уже принимает участие в назначении ролей, необходимо перезагрузить службы IIS, чтобы новые назначения ролей подействовали на этого пользователя.
Предопределенное назначение ролей
По умолчанию применяются предопределенные назначения ролей, что позволяет локальным администраторам управлять сервером отчетов. Чтобы предоставить доступ другим пользователям, нужно добавить дополнительные назначения ролей.
Дополнительные сведения о стандартных назначениях ролей, обеспечивающих безопасность по умолчанию, см. в разделе Использование стандартных ролей.
См. также