Importsecurity:规划命令实用程序操作
更新: 2010-01-11
使用 importsecurity 命令可以导入用户和角色、将用户应用到特定角色以及对角色设置自定义安全性。该功能旨在通过可编写的脚本来设置规划业务建模器中的安全设置。特定操作类型的所有用户和角色定义均在单独的 CSV 文件中定义。
注意: |
---|
您必须是 UA 角色的成员才能使用此命令。 |
语法
ppscmd importsecurity [switches] file [files]
注意: |
---|
如果应用程序和模型站点具有相同的标签,请使用以下语法:application_label.model site_label。 |
命令开关
参数
参数 | 是否必需? | 说明 |
---|---|---|
/server <ServerUri> |
否 |
指定要连接的服务器 URI。默认值为建模器默认服务器。 |
/application <AppLevel> |
否 |
指定要打开的应用程序。默认值为建模器默认应用程序。 |
/site <SiteLabel> |
否 |
指定要打开的模型站点。默认值为建模器默认站点。 |
/type <ObjType> |
是 |
指定要导入的文件内容的类型。ObjType 可以是以下值之一:User – 添加系统用户;UserPermission – 向维度成员添加用户权限(与 UI 中相同 – BizModeler:读取、读取+写入、写入);UserRoleAssociation – 向角色添加用户(与 UI 中相同);ModelRolePermission – 为特定角色将模型设置为开/关;Role – 向应用程序添加业务角色(与 UI 中相同);RolePermission – 向维度成员添加角色权限(与 UI 中相同 – BizModeler:读取、读取+写入、写入) |
/encoding <FileEncoding> |
否 |
指定 CSV 文件的文件编码。默认值为 UTF8。FileEncoding 可以是:ISO-8859、UTF8、UNICODE 或 ASCII。请将 ISO-8859 用于 8 位字符编码。 |
注意: |
---|
/application 和 /site 参数可用于规划业务建模器 Service Pack 3。 |
标志
以下标志在与 importsecurity 命令一起使用时,用于向服务器提供附加指令。
重要: |
---|
需要安装针对 Microsoft Office PerformancePoint Server 2007 Service Pack 3 (SP3) 的 QFE26 更新,才能将 importsecurity 命令与 /Replace 标志一起使用。要下载和安装 Microsoft Office PerformancePoint Server 2007 QFE26 (KB978617),必须与 Microsoft 客户支持服务部门联系。 |
标志 | 说明 |
---|---|
/Override |
导入 CSV 文件时替代现有对象。 |
/IgnoreExtraColumns |
忽略 CSV 文件中的多余列。 |
/Replace |
导入 CSV 文件时替换现有对象,并移除 CSV 文件中未指定的任何对象。 |
注意: |
---|
/Replace 标志可用于规划业务建模器 SP3。 |
返回值
无
示例
下面的命令行示例显示了 importsecurity 命令的用法。
ppscmd importsecurity /type user users.csv
ppscmd importsecurity /type role /encoding iso-8859 roles.csv
ppscmd importsecurity /type userrole /encoding iso-8859 userroles.csv
ppscmd importsecurity /type modelroleassociation modelroles.csv
ppscmd importsecurity /type rolepermission /app testapp /site testappsite rolepermissions.csv
ppscmd importsecurity /type userpermission userpermissions.csv
要求
以下各部分说明了所有导入安全类型的 CSV 文件格式。
角色
importsecurity 命令的 Role 选项定义模型站点的自定义角色。如果角色已存在,importsecurity 操作将忽略该角色,并继续处理 CSV 文件中的其余部分。CSV 文件必须首先包含列标题,后跟所定义的角色。
列标题和定义如下表所示。
列标题 | 定义 |
---|---|
标签 |
角色标签 |
名称 |
角色的用户友好名称 |
说明 |
角色的说明 |
应用程序 |
为其定义该角色的应用程序 |
DefaultSecurity |
角色的安全设置。有效值对应于建模器安全设置。选项有:无访问权、只读、读取 + 写入。 |
范围 |
角色的模型站点标签 |
注意: |
---|
在“读取 + 写入”中,加号前后各有一个空格字符。这两个空格是必需的。 |
示例:
以下示例表格使用一个名为 testapp 的应用程序。此 testapp 应用程序具有 role1(包含多个用户)和 role2(空白,未包含用户)。用于 importsecurity 的示例 CSV 文件仅含有 role3 和 role4。如果运行示例命令 D:\Program Files\Microsoft Office PerformancePoint Server\3.0\BizModeler>PPSCmd ImportSecurity /app testapp/ser http://<servername>:<port#>/replace/type role
,则会删除 role2 并添加 role3 和 role4。此示例命令并不删除 role1,因为当前向此角色分配了用户。
标签 | 名称 | 说明 | 应用程序 | DefaultSecurity | 范围 |
---|---|---|---|---|---|
CustomRole |
我的自定义角色 |
一些文字 |
BizCorp |
只读 |
公司 |
用户
如果在将 /type 参数设置为“User”的情况下导入用户 CSV 文件,会将用户添加到 PerformancePoint 规划 系统。此操作只添加新用户,并跳过系统中已有的所有用户。不能使用此操作删除现有用户;只能添加/更新新的用户。
创建 CSV 文件时必须包含以下标题列:“标签”、“名称”和“电子邮件”。添加关联用户,但给定其标签、名称和电子邮件地址。
列标题如下表所述。
列标题 | 说明 |
---|---|
标签 |
必需。用户的域和用户名。 |
名称 |
必需。用户的名称。 |
电子邮件 |
可选。用户的电子邮件地址。 |
示例:
标签 | 名称 | 电子邮件 |
---|---|---|
DOMAIN\USER1 |
User1 |
user1@domain.com |
DOMAIN\USER2 |
User2 |
user2@domain.com |
DOMAIN\USER3 |
User3 |
user3@domain.com |
用户角色
UserRoles 导入选项用于将定义的系统用户与系统中的角色相关联。您可以将现有用户分配给系统角色和应用程序中定义的任何自定义角色。用户和角色必须已在系统中。如果不在系统中,importsecurity 操作将显示一则错误并继续处理 CSV 文件。
用户角色如下表所述。
用户 |
与角色关联的用户。必须在系统中定义该用户。 |
角色 |
角色。角色可以是四个系统角色之一(全局管理员、用户管理员、数据管理员或建模者),也可以是模型站点中的任何自定义角色。在下面的示例中,User5 使用的是自定义角色“业务用户”。 |
应用程序 |
角色的应用程序。全局管理员角色适用于所有系统应用程序,因此不会为全局管理员定义应用程序。 |
范围 |
可以是用户管理员、数据管理员或建模者的应用程序级别或模型站点级别。不需要为全局管理员定义范围。对于自定义角色,范围是为其定义角色的模型站点。 |
示例:
用户 | 角色 | 应用程序 | 范围 |
---|---|---|---|
Domain\User1 |
全局管理员 |
||
Domain\User2 |
用户管理员 |
BizCorp |
BizCorp |
Domain\User3 |
数据管理员 |
BizCorp |
BizCorp |
Domain\User4 |
建模者 |
BizCorp |
公司 |
Domain\User5 |
业务用户 |
BizCorp |
公司 |
角色模型关联
用户角色导入选项将定义的角色与系统中的模型相关联。模型和角色必须已在系统中。如果不在系统中,importsecurity 命令将显示一条错误并继续处理 CSV 文件。
角色模型关联如下表所述。
角色 |
角色标签。 |
模型 |
模型标签。 |
允许日记 |
(可选)定义日记权限开关。未指定时,默认为关。 |
应用程序 |
定义应用程序。 |
范围(模型站点) |
定义模型站点。 |
以下是角色模型关联 csv 文件示例:
角色 | 模型 | 访问权 | 允许日记 | 应用程序 | 范围 |
---|---|---|---|---|---|
RoleLabel1 |
HR |
On |
Off |
BizCorp |
EMEA |
RoleLabel2 |
成本 |
On |
Off |
BizCorp |
EMEA |
RoleLabel3 |
汇率 |
On |
Off |
BizCorp |
公司 |
RoleLabel4 |
财务 1 |
On |
On |
BizCorp |
公司 |
RoleLabel5 |
财务 2 |
Off |
Off |
BizCorp |
公司 |
“允许日记”列指定是否为财务模型将“允许日记”权限设置为 on。如果为某个模型将“允许日记”权限设置为 on,并且该模型的模型属性 value journal 未设置为 true,则系统会发送错误消息。如果为某个模型将“允许日记”权限设置为 on,并且该模型的访问权设置为 off,则系统会发送错误消息。如果某角色已具有特定模型的关联,并且在 CSV 文件中未指定该关联,则导入操作不会更改 RoleModel 访问权。在发生错误时,仍将导入所有有效的条目。
对于用户到角色的关联,当使用 /Replace 开关时,具体行为是:
如果某角色已具有特定模型的关联,并且在 CSV 文件中未指定该关联,则 importsecurity 会将 RoleModel 访问权设置为 off。(从后端移除角色/模型关联。)
示例:
PPSCmd ImportSecurity /type userpermissions / userpermissions.csv
PPSCmd ImportSecurity /type rolemodelassociations / rolesmodels.csv
用户权限
利用 UserPermission 导入选项,可以导入新的或其他的用户权限,也可以覆盖系统现有的用户权限。
用户权限如下表所述。
用户 |
用户标签,可以是 Active Directory 组。 |
角色 |
角色标签,可以是 Active Directory 组。 |
层次结构 |
维度层次结构。 |
成员定义 |
定义哪些成员在范围内。语法与 Rolepermission 导入命令相同。 |
应用程序 |
定义应用程序。 |
范围 |
定义模型站点。 |
权限 |
记录权限。 |
示例:
用户 | 角色 | 层次结构定义 | 成员定义 | 权限 | 应用程序 | 范围 |
---|---|---|---|---|---|---|
Redmond\biuser2 |
Role1 |
[Account].[accountmemberset] |
members() |
读取 + 写入 |
BizCorp |
公司 |
Redmond\biuser2 |
Role1 |
[Account].[accountmemberset] |
members() |
读取 + 写入 |
BizCorp |
公司 |
Redmond\biuser2 |
Role1 |
[Account].[accountmemberset] |
Member1 |
读取 + 写入 |
BizCorp |
公司 |
Redmond\biuser3 |
Role1 |
[BusinessProcess].[Standard] |
members() |
只写 |
BizCorp |
公司 |
Redmond\biuser4 |
Role1 |
[BusinessProcess].[Standard] |
[AUTOADJ] |
只读 |
BizCorp |
公司 |
Redmond\biuser2 |
Role2 |
[BusinessProcess].[Standard] |
[INPUT] |
只读 |
BizCorp |
公司 |
Redmond\biuser3 |
Role2 |
[BusinessProcess].[Standard] |
[MANADJ] |
只读 |
BizCorp |
公司 |
Redmond\biuser4 |
Role2 |
[BusinessProcess].[Standard] |
[FXADJ] |
只读 |
BizCorp |
公司 |
角色权限
利用 RolePermissions 导入选项,可以为自定义角色导入自定义角色安全定义。您不能对系统定义的角色(即全局管理员、数据管理员、建模者和用户管理员)设置权限。如果角色不存在或任何列值无效,importsecurity 操作将忽略该行并处理其余的角色定义。
角色权限如下表所述。
角色 |
希望对其设置自定义安全性的角色。 |
层次结构定义 |
要应用自定义安全性的维度和层次结构。定义层次结构时,请使用以下语法:[DimensionLabel].[MemberSetLabel]。如果想要引用维度的“所有成员”成员集,请使用以下语法:[DimensionLabel].[Standard] |
成员定义 |
希望对其设置权限的一个或多个成员的定义。 |
权限 |
成员的权限。它必须是以下权限之一:读取 + 写入、只写、只读。 |
应用程序 |
角色所在的应用程序。 |
范围 |
角色所在的模型站点。 |
示例:
角色 | 层次结构定义 | 成员定义 | 权限 | 应用程序 | 范围 |
---|---|---|---|---|---|
ReadWriteAccessRole |
[Account].[accountmemberset] |
members() |
读取 + 写入 |
BizCorp |
公司 |
ReadWriteAccessRole |
[BusinessProcess].[Standard] |
members() |
只写 |
BizCorp |
公司 |
ReadWriteAccessRole |
[BusinessProcess].[Standard] |
[AUTOADJ] |
只读 |
BizCorp |
公司 |
ReadWriteAccessRole |
[BusinessProcess].[Standard] |
[INPUT] |
只读 |
BizCorp |
公司 |
ReadWriteAccessRole |
[BusinessProcess].[Standard] |
[MANADJ] |
只读 |
BizCorp |
公司 |
ReadWriteAccessRole |
[BusinessProcess].[Standard] |
[FXADJ] |
只读 |
BizCorp |
公司 |
文件编码可以是 ISO-8859、UTF8、UNICODE 或 ASCII。请将 ISO-8859 用于 8 位字符编码。
导出和导入用户权限和角色权限
可以使用 PPSCmd.exe 实用程序导入大量用户权限和角色权限。需要更新现有的自定义用户权限和角色权限时,ppscmd.exe 提供了 /replace 开关,利用它可以将此任务作为批处理任务执行(而不是手动地逐个更改值)。/replace 开关可用于 PerformancePoint Server Service Pack 3 (SP3)。此开关可以删除应用程序中的所有角色,并添加在 CSV 文件中提供的角色。/replace 开关不会删除分配有用户的角色。
请注意,在利用 replace 方法导出或导入角色权限和用户权限时,Microsoft 不建议将 /app 或 /site 开关与 PPSCmd.exe 实用程序一起使用,而是建议按以下过程加载角色权限和用户权限:
导出 CSV 文件中的所有角色权限和用户权限,然后备份这些文件。
使用 /replace 开关加载一个空的用户权限 CSV 文件。这将清除数据库中的用户权限表格。例如:
Ppscmd importsecurity /type userpermission /server https://localhost:46787 /replace userpermission.csv
修改您最初在步骤 1 中导出的 CSV 文件中的角色权限,以便此文件包含您所要的权限。使用 /replace 开关加载空的 CSV 文件,使其包含来自原始文件的所需角色权限。例如:
Ppscmd importsecurity /type rolepermission /server https://localhost:46787 /replace rolepermission.csv
修改您最初在步骤 1 中导出的 CSV 文件中的用户权限,以便此文件包含您所要的权限。使用 /replace 或 /override 开关加载用户权限。
您与 importsecurity 命令一起使用的 CSV 文件必须包含系统中存在的所有角色权限和用户权限。如果此 CSV 文件未包含当前的角色权限和用户权限,则在您运行 importsecurity 命令时,将会移除这些权限。
下载此书籍
本文包含在以下可下载书籍内,以方便您阅读和打印:
如需查看可下载书籍的完整列表,请参阅 Downloadable content for PerformancePoint Planning Server。