Поделиться через


Роли безопасности (службы Analysis Services — многомерные данные)

Роли в службах Microsoft SQL Server Службы Analysis Services используются для управления безопасностью объектов или данных служб Службы Analysis Services. Роли связывают идентификаторы безопасности (SID) пользователей и групп Microsoft Windows, имеющих определенные права доступа и разрешения, определенные для объектов, управляемых экземпляром служб Службы Analysis Services. В службах Службы Analysis Services имеет два типа ролей:

  • Роль сервера — фиксированная роль, предоставляющая права администратора для доступа к экземпляру служб Службы Analysis Services.

  • Роли базы данных — роли, определенные администраторами для контроля доступа к объектам и данным пользователям, которые не являются администраторами.

Безопасность в системе безопасности служб Microsoft SQL Server Службы Analysis Services обеспечивается с использованием ролей и разрешений. Роли — это группы пользователей. Пользователи, называемые также членами, могут быть добавлены или удалены из состава ролей. Разрешения для объектов регламентируются с помощью ролей, и все члены, относящиеся к некоторой роли, могут использовать объекты, на которые в этой роли имеются разрешения. Все члены одной и той же роли имеют одинаковые разрешения на объекты. Разрешения связаны с конкретными объектами. Для каждого объекта предусмотрена коллекция разрешений, в которой указаны предоставленные разрешения на этот объект, причем на каждый объект могут быть предоставлены разные наборы разрешений. Для каждого разрешения из коллекции разрешений объекта назначена отдельная роль.

Объекты ролей и членов ролей

Роль — это объект, который предназначен для использования в качестве контейнера для коллекции пользователей (членов). В определении роли регламентируется членство пользователей в службах Службы Analysis Services. Таким образом, разрешения присваиваются с учетом роли, поэтому пользователь должен стать членом роли, прежде чем получить доступ к какому-либо объекту.

Объект Role состоит из значений параметров Name, Id и Members. Значение Members — это коллекция строк. Каждый член роли содержит имя пользователя в форме «домен\имя_пользователя». Значение Name — это строка, которая содержит имя роли. Значение ID — это строка, которая содержит уникальный идентификатор роли.

Роль сервера

Роль сервера служб Службы Analysis Services определяет административный доступ пользователей и групп Windows к экземпляру служб Службы Analysis Services. Члены этой роли имеют доступ ко всем базам данных и объектам служб Службы Analysis Services экземпляра служб Службы Analysis Services и могут выполнять следующие задачи:

  • Выполнение административных функций на серверном уровне с использованием среды SQL Server Management Studio или Business Intelligence Development Studio, включая создание баз данных и настройку свойств на уровне сервера.

  • Выполнение административных функций программным методом с помощью объектов AMO.

  • Обслуживание ролей базы данных служб Службы Analysis Services.

  • Запуск трассировок (отличных от обработки событий, которые могут выполняться ролью базы данных с правом доступа Process).

Каждый экземпляр служб Службы Analysis Services имеет роль сервера, которая определяет пользователей с функциями администрирования этого экземпляра. Имя и идентификатор этой роли — «Администраторы»; в отличие от ролей базы данных, роль сервера удалить нельзя, в нее также нельзя добавлять разрешения или удалять их. Другими словами, пользователь является или не является администратором экземпляра служб Службы Analysis Services в зависимости от того, включен он или нет в роль сервера этого экземпляра служб Службы Analysis Services. См. также:Предоставление административного доступа, Настройка свойств конфигурации сервера.

Роли базы данных

Роль базы данных служб Службы Analysis Services определяет доступ пользователей к объектам и данным в базе данных служб Службы Analysis Services. Роль базы данных создается как отдельный объект в базе данных служб Службы Analysis Services и применяется только к той базе данных, в которой эта роль создана. Пользователи и группы Windows включаются в эту роль администратором. Он же определяет разрешения этой роли.

Разрешения роли, помимо доступа к объектам и данным в базе данных, позволяют членам роли получить доступ и права администрирования базы данных. Каждое разрешение имеет одно или несколько связанных прав доступа, которые, в свою очередь, позволяют точно контролировать доступ к отдельным объектам в базе данных. См. также:Разрешения и права доступа (службы Analysis Services — многомерные данные), Предоставление доступа пользователям.

Объекты разрешений

Разрешения связаны с объектом (куб, измерение и др.) для конкретной роли. Разрешения указывают на то, какие операции может выполнять над этим объектом член этой роли.

Класс Permission представляет собой абстрактный класс. Поэтому необходимо использовать производные классы для определения разрешений на соответствующие объекты. Для каждого объекта определяется производный класс разрешения.

Возможные действия, допускаемые в соответствии с разрешениями, показаны в следующем списке.

Действие

Values

Объяснение

Процесс

{true, false}

Default=false

Если дано значение true, то члены роли могут обрабатывать и сам объект, и любые содержащиеся в нем объекты.

Разрешения на обработку не применяются к моделям интеллектуального анализа данных. Разрешения MiningModel всегда наследуются от MiningStructure.

ReadDefinition

{None, Basic, Allowed}

Default=None

Определяет, могут ли члены читать определение данных (в коде ASSL), связанное с объектом.

Если дано значение Allowed, то члены могут читать код ASSL, связанный с объектом.

Значения Basic и Allowed наследуются объектами, содержащимися в данном объекте. Значение Allowed переопределяет Basic и None.

Значение Allowed требуется для параметра DISCOVER_XML_METADATA применительно к объекту. Значение Basic требуется для создания связанных объектов и локальных кубов.

Чтение

{None, Allowed}

Default=None (за исключением DimensionPermission, где default=Allowed)

Указывает, имеют ли члены доступ для чтения к наборам строк схемы и содержимому данных.

Значение Allowed предоставляет доступ для чтения в базе данных, что позволяет изучать состав объектов базы данных.

Значение Allowed применительно к кубу предоставляет доступ для чтения в наборах строк схемы и доступ к содержимому куба (при условии, что не введены в действие ограничения со стороны CellPermission и CubeDimensionPermission).

Значение Allowed применительно к измерению предоставляет разрешение на чтение для всех атрибутов в этом измерении (при условии, что не введены в действие ограничения со стороны CubeDimensionPermission). Разрешение на чтение используется только для статического наследования CubeDimensionPermission. Значение None применительно к измерению скрывает это измерение и предоставляет доступ члену, определяемому по умолчанию, только для статистически обрабатываемых атрибутов. Если измерение содержит статистически необрабатываемый атрибут, активизируется ошибка.

Значение Allowed применительно к разрешениям MiningModelPermission предоставляет возможность просматривать объекты в наборах строк схемы и выполнять соединения в целях выработки прогноза.

Примечание.   Значение Allowed является обязательным для выполнения чтения или записи применительно к любому объекту в базе данных.

Запись

{None, Allowed}

Default=None

Указывает, имеют ли члены доступ для записи к данным родительского объекта.

Права доступа относятся к подклассам Dimension, Cube и MiningModel. Они не применяются к подклассам базы данных MiningStructure, которые создают сообщения ошибок проверки.

Значение Allowed применительно к Dimension предоставляет разрешение на запись для всех атрибутов измерения.

Значение Allowed применительно к Cube предоставляет разрешение на запись в ячейки куба для секций, определенных как Type=writeback.

Значение Allowed применительно к MiningModel предоставляет разрешение на изменение содержимого модели.

Значение Allowed применительно к MiningStructure не имеет конкретного смысла в службах Службы Analysis Services.

ПримечаниеПримечание
Разрешение на запись не может быть задано как Allowed, если не задано также разрешение на чтение как Allowed

Администрирование

ПримечаниеПримечание
Только в разрешениях базы данных

{true, false}

Default=false

Указывает, могут ли члены выполнять административные функции по отношению к базе данных.

Значение true предоставляет членам роли разрешение для доступа ко всем объектам в базе данных.

Член роли может иметь разрешение на администрирование применительно к какой-то конкретной базе данных, но не к другим.