Выбор учетной записи службы
Можно запустить экземпляр служб Microsoft SQL Server Службы Analysis Services в контексте безопасности многих различных учетных записей. В качестве учетной записи входа служб Службы Analysis Services рекомендуется использовать доменную или локальную учетную запись пользователя. Использование доменной или локальной учетной записи пользователя зависит от необходимости подключения к сетевым ресурсам служб Службы Analysis Services. Описание приводится в следующем списке:
Если службам Службы Analysis Services требуется подключиться к сетевым ресурсам в контексте безопасности учетной записи входа, то запустите экземпляр служб Службы Analysis Services в контексте безопасности выделенной доменной учетной записи пользователя.
Если службам Службы Analysis Services не требуется подключаться к сетевым ресурсам в контексте безопасности учетной записи, то запустите экземпляр служб Службы Analysis Services в контексте безопасности локальной или доменной учетной записи пользователя.
После выбора учетной записи входа эту запись не рекомендуется использовать для других целей. Ограничение использования учетной записи входа позволяет защитить шифрование строк соединения и паролей.
Использование выделенной доменной учетной записи пользователя в качестве учетной записи входа
Доменная учетная запись пользователя представляет собой учетную запись пользователя, созданную службой каталогов Active Directory. Эта учетная запись является членом группы «Прошедшие проверку» домена. Служба, запущенная в контексте безопасности доменной учетной записи пользователя, представляет собой билет Kerberos доменной учетной записи пользователя для удаленных серверов. Служба, запущенная в контексте безопасности доменной учетной записи пользователя может получать доступ к ресурсам на удаленном сервере, для которого имеют разрешение на доступ группы «Прошедшие проверку» или специальная учетная запись пользователя.
Использование локальной учетной записи пользователя в качестве учетной записи входа
Локальная учетная запись пользователя представляет собой учетную запись пользователя Windows, созданную на локальном компьютере. Служба, запущенная в контексте безопасности локальной учетной записи пользователя, предоставляет для локальной учетной записи пользователя маркер доступа к удаленным серверам. Если соответствующее имя пользователя и пароль настроены на удаленном сервере, то служба, использующая локальную учетную запись пользователя, получает доступ к ресурсам на удаленном сервере, для которого имеются разрешения у учетной записи с таким же именем. Хотя этот сценарий работает, обслуживание отдельных учетных записей и синхронизация паролей увеличивают расходы на обслуживание.
Использование других учетных записей в качестве учетной записи входа
Помимо выделенной доменной учетной записи пользователя и локальной учетной записи пользователя экземпляр служб Службы Analysis Services можно запустить в контексте безопасности следующих учетных записей.
Локальная система
Это заранее установленная локальная учетная запись, обладающая на локальном компьютере правами администратора. Служба, запущенная в контексте безопасности учетной записи «Локальная система», передает на удаленные серверы учетные данные локального компьютера. Служба, запущенная в контексте безопасности учетной записи «Локальная система», не может установить авторизованный сеанс, так как учетная запись «Локальная система» не принадлежит к группе «Все» в домене. В результате служба, использующая эту учетную запись, имеет доступ только к сетевым ресурсам с помощью сеанса NULL.Локальная служба
Это заранее установленная локальная учетная запись, обладающая на локальном компьютере правами пользователя, прошедшего проверку подлинности. Служба, запущенная в контексте безопасности учетной записи «Локальная служба», передает на удаленные серверы анонимные учетные данные. В результате служба, использующая эту учетную запись, имеет доступ только к сетевым ресурсам, допускающим анонимный доступ.Сетевая служба
Это заранее установленная локальная учетная запись, обладающая на локальном компьютере правами пользователя, прошедшего проверку подлинности. Служба, запущенная в контексте безопасности учетной записи «Сетевая служба», передает на удаленные серверы учетные данные локального компьютера в качестве пользователя, прошедшего проверку подлинности, то есть пользователя, являющегося членом группы «Все» в домене. В результате служба, использующая эту учетную запись, имеет доступ к ресурсам на удаленном сервере, к которому имеют разрешения на доступ члены группы «Прошедшие проверку». Чтобы разрешить службе, использующей эту учетную запись, доступ к удаленному серверу, можно добавить к удаленному ресурсу имя сервера, на котором запускаются службы Службы Analysis Services.
Если учетные записи из предыдущего списка или любые другие учетные записи, то наилучшим решением будет запустить службы Службы Analysis Services в контексте безопасности учетной записи, имеющей минимально возможные права. Учетная запись «Локальная система» подходит для среды разработки, но не рекомендуется использовать эту административную учетную запись для рабочей среды, так как она имеет слишком много прав. Учетные записи «Локальная служба» и «Сетевая служба» также не рекомендуется использовать. Хотя они предназначены для использования в качестве учетных записей входа служб, имеющих минимальные права, их не рекомендуется использовать для служб Службы Analysis Services, так как зашифрованные строки соединения и пароли служб Службы Analysis Services можно расшифровать с помощью учетной записи входа служб Службы Analysis Services. Это означает, что другая служба Windows, запущенная под той же учетной записью входа, что и службы Службы Analysis Services, может расшифровать эти строки соединения и пароли.
Указание учетной записи входа служб Analysis Services
Выбрав контекст учетной записи входа, задайте учетную запись входа во время настройки на странице «Учетная запись службы». Процесс настройки предоставляет определенной учетной записи входа все необходимые права на локальном компьютере, включая следующее:
Обход проходной проверки.
Создание объекта маркера.
Формирование безопасного аудита.
Блокировка страниц в памяти.
Замена маркера на уровне процесса.
Учетной записи входа служб Службы Analysis Services также предоставляются разрешения на полное управление NTFS для всех файлов в экземпляре служб Службы Analysis Services. Требуется предоставить учетной записи входа необходимые права на удаленных серверах, например для источников данных.
Примечание |
---|
Учетная запись входа служб Службы Analysis Services не имеет разрешения для входа на экземпляр служб Службы Analysis Services, хотя имеет доступ к полному управлению всеми файлами в экземпляре служб Службы Analysis Services. |