Учетная запись службы
На странице «Учетная запись службы» укажите учетную запись, от которой будет запускаться служба сервера отчетов. Начальная конфигурация этой учетной записи выполняется программой установки. Ее можно изменить, если необходимо изменить учетную запись или пароль. Веб-служба сервера отчетов, диспетчер отчетов и приложение фоновой обработки будут запускаться с удостоверением службы, заданным на этой странице.
Учетная запись, указанная для службы сервера отчетов, должна иметь разрешение на доступ к реестру, а также программным файлам и базе данных сервера отчетов. Все разрешения настраиваются для учетной записи автоматически, если его задание выполняется при помощи программы настройки служб Службы Reporting Services. Если подключение к базе данных сервера отчетов происходит от имени учетной записи службы, программа создаст для нее имя входа в базу данных и необходимые разрешения, сделав эту учетную запись членом роли RSExecRole на экземпляре SQL Server, на котором находится база данных сервера отчетов. База данных сервера отчетов является единственным хранилищем данных, в которую производит запись сервер отчетов. Учетной записи службы не требуются разрешения на какие бы то ни было другие хранилища данных.
Чтобы открыть эту страницу, запустите программу настройки служб Службы Reporting Services и выберите ссылку на панели переходов. Дополнительные сведения см. в разделе How to: Start Reporting Services Configuration Manager.
.gif "Важное примечание") Важно! |
|---|
При необходимости обновления учетной записи или пароля настоятельно рекомендуется использовать программу настройки служб Службы Reporting Services. Это гарантирует, что при обновлении учетной записи службы все остальные зависящие от нее внутренние параметры будут автоматически обновлены. |
Параметры
Использовать встроенную учетную запись
Выберите из списка значение Сетевая служба, Локальная система или Локальная служба. Рекомендуется выбирать значение Сетевая служба, хотя может быть использована любая доступная учетная запись.Использовать другую учетную запись
Выберите этот параметр, чтобы указать учетную запись Windows. Можно ввести учетную запись либо локального пользователя Windows, либо пользователя домена. Определите учетную запись домена в формате: <domain>\<user>. Укажите локальную учетную запись пользователя Windows в таком формате: <computer name>\<user>. Программа настройки служб Службы Reporting Services не позволяет создавать новые учетные записи, поэтому может быть выбрана только существующая.Максимальная длина учетной записи составляет 20 символов.
Если в сети применяется проверка подлинности по протоколу Kerberos, а сервер отчетов настроен для запуска от имени учетной записи пользователя домена, необходимо зарегистрировать службу под этой учетной записью. Дополнительные сведения см. в разделе зарегистрировать имя участника-службы для сервера отчетов.
При переключении типа учетной записи (например, при замене одной учетной записи Windows на другую или при замене встроенной учетной записи на учетную запись домена Windows) будет предложено создать резервную копию ключа шифрования. Резервная копия будет восстановлена автоматически при выборе новой учетной записи.
.gif "Примечание") Примечание |
|---|
Диспетчер конфигурации служб Службы Reporting Services при каждом изменении учетной записи службы напоминает о необходимости создания резервной копии и восстановления ключа шифрования. Эти шаги необходимы для того, чтобы обеспечить доступность для сервера отчетов зашифрованных данных. Дополнительные сведения об этих действиях см. в разделе Ключи шифрования. |
Кроме того, если сервер отчетов настроен для работы в режиме интеграции с SharePoint, а учетная запись службы была изменена с помощью средства настройки служб Службы Reporting Services, необходимо также открыть центр администрирования SharePoint и на странице Службы Reporting Services Grant Database Access повторно применить параметры сервера отчетов и экземпляра. На этом шаге новой учетной записи службы предоставляется доступ к базам данных SharePoint, необходимый для интеграции служб Службы Reporting Services с продуктами или технологиями SharePoint. Дополнительные сведения о предоставлении доступа к базе данных в центре администрирования SharePoint см. в разделах Настройка и администрирование сервера отчетов (режим интеграции с SharePoint служб Reporting Services) и Установка служб Reporting Services на сервере отчетов в режиме интеграции с SharePoint для Power View и предупреждений об изменении данных.
Выбор учетной записи
Чтобы получить наилучший результат, укажите учетную запись, обладающую разрешениями сетевого подключения и имеющую доступ к контроллерам домена, шлюзам и SMTP-серверам предприятия. В следующей сводной таблице перечислены учетные записи и рекомендации по их использованию.
Учетная запись |
Объяснение |
|---|---|
Учетная запись пользователя домена |
При наличии учетной записи пользователя домена Windows, обладающей минимумом разрешений, необходимым для работы сервера отчетов, лучше пользоваться ей. Рекомендуется пользоваться учетной записью пользователя домена, поскольку она изолирует службу сервера отчетов от других приложений. Запуск нескольких приложений от имени общей учетной записи (например, «Сетевая служба») увеличивает риск получения возможности управления над сервером отчетов, так как в случае нарушения защиты в одном из приложений злоумышленнику станут доступны все приложения, запускаемые от имени той же учетной записи. Учетная запись пользователя домена требуется в том случае, если сервер отчетов настроен для ограниченного делегирования или имеет определенную конфигурацию в режиме интеграции с SharePoint 2010, для которой необходимо использование учетных записей пользователей домена, а не встроенных учетных записей. Обратите внимание, что при использовании учетной записи пользователя домена придется периодически менять пароль, если в организации действует политика истечения срока действия паролей. Может также потребоваться регистрация службы под учетной записью пользователя. Дополнительные сведения см. в разделе зарегистрировать имя участника-службы для сервера отчетов. Избегайте применения учетных записей локальных пользователей Windows. Как правило, они не предоставляют разрешений, необходимых для доступа к ресурсам на других компьютерах. Дополнительные сведения о том, каким образом применение локальных учетных записей ограничивает функции сервера отчетов, см. в подразделе Вопросы применения учетных записей локальных пользователей далее в этом разделе. |
Сетевая служба |
Сетевая служба — это встроенная учетная запись, обладающая наименьшими правами доступа, которая имеет разрешение на вход в сеть. Использование этой учетной записи рекомендуется в случае отсутствия учетной записи пользователя домена, если желательно избежать перерывов в обслуживании, вызванных применением политики истечения срока действия паролей. Выбрав учетную запись Сетевая служба, постарайтесь уменьшить число других запускаемых от нее служб. Нарушение защиты одного из приложений приведет к компрометации всех остальных приложений, запускаемых от имени той же учетной записи. |
Локальная служба |
Локальная служба — это встроенная учетная запись, похожая на учетную запись локального пользователя Windows, прошедшего проверку подлинности. Службы, запущенные с учетной записью Локальная служба, получают доступ к сетевым ресурсам в форме неопределенного сеанса без учетных данных. Эта учетная запись не подходит для развертывания в интрасети, когда сервер отчетов перед открытием отчета и обработкой подписки производит соединение со своей базой данных и контроллером домена, чтобы выполнить проверку подлинности пользователя. |
Локальная система |
Локальная система — это учетная запись с широким набором прав доступа, которые не нужны для запуска сервера отчетов. Избегайте использования данной учетной записи при установках сервера отчетов. Лучше вместо нее использовать учетную запись Сетевая служба. |
Вопросы применения учетных записей локальных пользователей
Использование локальных учетных записей главным образом обосновано в тех случаях, когда серверу отчетов требуется доступ к удаленным серверам баз данных, почтовым серверам и контроллеру домена. Если сервер отчетов настроен для запуска от имени учетной записи локального пользователя Windows, «Локальная служба» или «Локальная система», следует исходить в первую очередь из установки других параметров настройки, а также методов создания и доставки подписки.
Запуск службы от имени локальной учетной записи может привести к ограничению параметров настройки позже, во время установления соединения с удаленной базой данных сервера отчетов. В частности, если используется удаленная база данных сервера отчетов, для настройки подключения будет необходимо использовать учетную запись пользователя домена или пользователя базы данных SQL Server, которая обладает разрешением на подключение к удаленному экземпляру SQL Server.
Работа службы под локальной учетной записью накладывает новые требования на создание подписок. Сервер отчетов хранит сведения о пользователе, который создал подписку. Если пользователь создает подписку во время того, как он подключен под учетной записью домена, то служба сервера отчетов будет пытаться подключиться к контроллеру домена для проверки подлинности пользователя при обработке подписки. Если служба запущена от имени локальной учетной записи, то запрос проверки подлинности окажется неуспешным при попытке сервера отчета отправить запрос на удаленный контроллер домена. Чтобы обойти это ограничение, можно использовать модуль проверки подлинности на основе пользовательских форм или подключить всех пользователей к серверу отчета под локальной учетной записью пользователя.
Работа службы под локальной учетной записью накладывает новые требования на доставку подписок. Некоторые модули доставки имеют сведения об учетных записях пользователя в определении подписок. Если служба сервера отчетов запущена от имени локальной учетной записи, при отправке отчета по адресам электронной почты, основанным на учетных записях пользователей домена, служба сервера отчетов не может получить доступ к удаленному контроллеру домена и найти целевую учетную запись электронной почты.
Встроенные учетные записи служб Windows (Local Service или Network Service) не поддерживаются в качестве учетных записей служб для сервера отчетов на компьютере, который является контроллером домена.
См. также
Задания
настроить учетную запись службы для служб Reporting Services