角色定义 - 预定义角色
适用范围:
SQL Server 2016 (13.x) Reporting Services 及更高版本 Power BI 报表服务器
Reporting Services 中安装了预定义角色,可以使用它们授予对报表服务器操作的访问权限。 每个预定义角色都描述了一个相关任务的集合。 可以向预定义角色分配组帐户和用户帐户,以提供对报表服务器操作的立即访问。
如何使用预定义角色
检查预定义角色,以确定是否可以按原样使用它们。 如果需要调整任务或定义其他角色,应该在开始向用户分配特定角色之前进行调整。 若要创建或编辑自定义角色,请使用 SQL Server Management Studio。 有关详细信息,请参阅创建、删除或修改角色 (Management Studio)。
明确需要访问报表服务器的用户和组以及访问级别。 应该为大多数用户分配 “浏览者” 角色或 “报表生成者” 角色。 应该为少量用户分配 “发布者” 角色。 应该只为少数用户分配“内容管理员”角色。
准备好向用户帐户和组帐户分配特定角色后,请使用 Web 门户。 有关详细信息,请参阅授予用户对报表服务器的访问权限。
预定义角色定义
预定义角色定义了它们支持的任务。 您可以修改这些角色,也可以用自定义角色替换它们。
“作用域” 定义了使用角色的边界。 项级角色提供对报表服务器项和影响这些项的操作的不同等级访问。 对根节点(主文件夹)和整个报表服务器文件夹层次结构中的所有项可以定义项级角色。 系统级角色授予站点级别的访问权限。 项级角色和系统级角色是互斥的,但是可共同用来提供对报表服务器内容和操作的丰富权限。
下表介绍了这些角色的预定义范围:
| 预定义角色 | 范围 | 说明 |
|---|---|---|
| “内容管理员”角色 | 项 | 能够管理报表服务器中的内容。 该访问权限包括文件夹、报表和资源。 |
| “发布者”角色 | 项 | 还可以将报表和链接的报表发布到报表服务器。 |
| “浏览者”角色 | 项 | 能够查看文件夹、报表,并订阅报表。 |
| “报表生成者”角色 | 项 | 能够查看报表定义。 |
| “我的报表”角色 | 项 | 能够发布报表和链接的报表;管理用户的“我的报表”文件夹中的文件夹、报表和资源。 |
| “系统管理员”角色 | 系统 | 除创建角色定义外,还可以查看和修改系统角色分配、系统角色定义、系统属性和共享计划,以及在 Management Studio 中管理作业。 |
| “系统用户”角色 | 系统 | 查看系统属性、共享计划,允许使用报表生成器或执行报表定义的其他客户端。 |
“内容管理员”角色
“内容管理员”角色是一种预定义角色,它包含用户用来管理报表和 Web 内容的任务,但不一定包含用来制作报表或管理 Web 服务器或 SQL Server 实例的任务。 内容管理员可部署报表、管理报表模型和数据源连接,并制定有关如何使用报表的决策。 默认情况下,“内容管理员”角色定义将选中所有项级任务。
“内容管理员” 角色通常与“系统管理员” 角色一起使用。 这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。 虽然“内容管理员” 角色提供对报表、报表模型、文件夹及文件夹层次结构中其他项的完全访问权限,但它不提供对站点级项或操作的访问权限。 创建和管理共享计划、设置服务器属性和管理角色定义之类的任务是系统级任务,这些任务包含在“系统管理员” 角色中。 因此,建议您在站点级创建另一个角色分配以提供对共享计划的访问权限。
内容管理员任务
下表列出了“内容管理员”角色中包含的任务:
| 任务 | 说明 |
|---|---|
| 向报表添加注释 | 创建、查看、编辑和删除报表上的注释。 |
| 使用报表 | 读取报表定义。 |
| 创建链接报表 | 创建基于非链接报表的链接报表。 |
| 管理所有订阅 | 查看、修改和删除报表和链接报表的所有订阅,而不论拥有此订阅的为何人。 此任务支持创建数据驱动的订阅。 它还支持编辑和执行 Power BI 报表服务器中 Power BI (.pbix) 文件的计划的刷新。 |
| 管理注释 | 删除报表上其他用户的注释。 |
| 管理数据源 | 创建和删除共享数据源项,以及查看和修改数据源的属性及内容。 |
| 管理文件夹 | 创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
| 管理单独的订阅 | 创建、查看、修改和删除用户拥有的对报表和链接报表的订阅。 此任务还支持编辑和执行 Power BI 报表服务器中 Power BI (.pbix) 文件的计划的刷新。 |
| 管理模型 | 创建、查看和删除模型,以及查看和修改模型属性。 |
| 管理报表历史记录 | 创建、查看和删除报表历史记录,以及查看报表历史记录属性。 还包括查看和修改决定快照历史限制和缓存工作方式的设置。 |
| 管理报表 | 添加和删除报表,修改报表参数,查看和修改报表属性。 还包括查看和修改为报表提供内容的数据源,查看和修改报表定义,以及设置报表级安全策略。 |
| 管理资源 | 创建、修改和删除资源,以及查看和修改资源属性。 |
| 设置各项的安全性 | 定义报表、链接报表、文件夹、资源和数据源的安全策略。 有关详细信息,请参阅 安全对象。 |
| 查看数据源 | 查看文件夹层次结构中的共享数据源项。 |
| 查看文件夹 | 查看文件夹内容以及在文件夹层次结构中导航。 |
| 查看模型 | 在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
| 查看报表 | 运行报表和查看报表属性。 |
| 查看资源 | 查看资源和资源属性。 |
自定义“内容管理员”角色
此角色适用于全面负责管理和维护报表服务器内容的可信用户。 可以删除此定义中的任务,但这样做可能会导致要管理的内容不明确。 例如,如果删除此角色定义中的“查看报表”任务,“内容管理员”将无法查看报表内容,因而无法验证对参数和凭据设置所做的更改。
“内容管理员”角色在默认安全性中使用。
发布服务器角色
“发布者”角色是一种内置的角色定义,包含用户向报表服务器添加内容时所需的任务。 预定义此角色的目的是为了便于使用。 创建包括此角色的角色分配之后,才能使用此角色。 此角色适用于在报表设计器或模型设计器中制作报表或模型,然后将这些项发布到报表服务器。
注意
应当仅向受信任的用户授予将项发布到报表服务器的权限。 “发布者”角色可授予广泛的权限,允许用户将任何类型的文件上载到报表服务器。 如果上传的报表或 HTML 文件包含恶意脚本,任何选择该报表或 HTML 文档的用户都将根据自己的凭据运行该脚本。
报表定义可以包括在运行时以 HTML 格式呈现报表时容易受到 HTML 注入攻击的脚本和其他元素。 如果已发布的报表包含恶意脚本,则运行该报表的任何用户都会在打开该报表时意外导致该脚本运行。 如果用户具有提升权限,则脚本将使用这些权限运行。
若要降低用户意外运行恶意脚本的风险,请限制有权发布内容的用户数目。 此外,请确保用户仅发布来自可靠来源的文档和报表。 如果不确定报表定义的发布是否安全,则应该在文本编辑器中打开 .rdl 文件并搜索脚本标签。 恶意脚本可以隐藏在表达式和 URL(例如,导航操作中的 URL)中。
发布者任务
下表列出了“发布者”角色包含的任务:
| 任务 | 描述 |
|---|---|
| 创建链接报表 | 创建链接报表,并将其发布到报表服务器文件夹中。 |
| 管理注释 | 删除报表上其他用户的注释。 |
| 管理数据源 | 创建和删除共享数据源项,以及查看和修改数据源的属性及内容。 |
| 管理文件夹 | 创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
| 管理模型 | 创建、查看和删除报表模型,以及查看和修改报表模型属性。 |
| 管理报表 | 添加和删除报表,修改报表参数,以及查看和修改报表属性。 还包括查看和修改为报表提供内容的数据源,以及查看和修改报表定义。 |
| 管理资源 | 创建、修改和删除资源,以及查看和修改资源属性。 |
自定义“发布者”角色
您可以修改“发布者”角色,以满足您的需要。 例如,如果不希望用户能够创建和发布链接报表,则可以删除“创建链接报表”任务。 或者,可以添加“查看文件夹”任务,以便在为新项选择位置时,用户可以浏览文件夹层次结构。
从报表设计器发布报表的用户至少需要“管理报表”任务才能将报表添加到报表服务器。 如果用户必须发布使用共享数据源或外部文件的报表,则还应该包含“管理数据源”和“管理资源”任务。 如果还需要用户能够在发布过程中创建文件夹,则还必须包含“管理文件夹”任务。
“浏览者”角色
“浏览者”角色是一种预定义角色,对于需要查看报表但不需要创建或管理报表的用户,该角色包含了此类用户所需的任务。 此角色提供了通常使用报表服务器实现的基本功能。 如果没有这些任务,用户使用报表服务器时可能会比较困难。
“浏览者” 角色应该与“系统用户” 角色一起使用。 这两种角色定义共同为与报表服务器上的项进行交互的用户提供完整的任务集。 虽然“浏览者”角色提供对报表、报表模型、文件夹及文件夹层次结构中其他项的查看访问权限,但它不提供对站点级项(例如共享计划)的访问权限,在创建订阅时这些项将很有用。 因此,建议您在站点级创建另一个角色分配以提供对共享计划的访问权限。
浏览者任务
下表对“浏览者”角色中所包含的任务进行了说明:
| 任务 | 说明 |
|---|---|
| 向报表添加注释 | 创建、查看、编辑和删除报表上的注释。 |
| 管理单独的订阅 | 创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅,以及创建支持这些订阅的计划。 |
| 查看文件夹 | 查看文件夹内容以及在文件夹层次结构中导航。 |
| 查看模型 | 在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
| 查看报表 | 运行报表和查看报表属性。 |
| 查看资源 | 查看资源和资源属性。 |
自定义“浏览者”角色
您可以修改“浏览者”角色以满足您的需要。 例如,如果不想支持订阅,可以移除“管理单独的订阅”任务。 或者,如果不希望用户查看可能上传到报表服务器的附带文档或其他项,可以删除“查看资源”任务。
此角色至少应包含“查看报表”任务和“查看文件夹”任务,以支持查看和文件夹导航。 除非要取消文件夹导航,否则不应删除“查看文件夹”任务。 同样,除非要禁止用户查看报表,否则不应删除“查看报表”任务。 进行此类修改时,建议使用自定义角色定义,然后有选择性地将其应用于特定的用户组。
“报表生成者”角色
“报表生成者”角色是一种预定义角色,它包括在报表生成器中加载报表以及查看和导航文件夹层次结构所需的任务。 若要在报表生成器中创建和修改报表,还必须具有包括“执行报表定义”任务的系统角色分配。 这是在报表生成器中本地处理报表所必需的。
报表生成器任务
下表对“报表生成者”角色中所包含的任务进行了说明:
| 任务 | 说明 |
|---|---|
| 向报表添加注释 | 创建、查看、编辑和删除报表上的注释。 |
| 使用报表 | 读取报表定义。 |
| 管理单独的订阅 | 创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅,以及创建支持这些订阅的计划。 |
| 查看文件夹 | 查看文件夹内容以及在文件夹层次结构中导航。 |
| 查看模型 | 在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
| 查看报表 | 运行报表和查看报表属性。 |
| 查看资源 | 查看资源和资源属性。 |
自定义“报表生成者”角色
您可以修改“报表生成者”角色以满足您的需要。 建议通常与“浏览者”角色相同:
- 如果不想支持订阅,可以移除“管理单独的订阅”任务。
- 如果不想用户查看资源,可以移除“查看资源”任务。
- 保留“查看报表”任务和“查看文件夹”任务,以支持查看和文件夹导航。
此角色定义中最重要的任务是“使用报表”,该任务允许用户将报表定义从报表服务器加载到本地报表生成器实例中。 如果不希望支持此任务,可以删除此角色定义,并使用“浏览者”角色来支持对报表服务器的常规访问。
“我的报表”角色
“我的报表” 角色是一个预定义角色,其中包括的一组任务对用户使用“我的报表”功能十分有用。 利用此角色定义包括的任务,可以向用户授予对其所拥有的“我的报表”文件夹的管理权限。
虽然可以选择其他角色来使用“我的报表”功能,但应该专门通过一个角色来使用该功能,以保证“我的报表”的安全性。 有关详细信息,请参阅 保护我的报表。
“我的报表”任务
下表列出了“我的报表”角色中包括的任务:
| 任务 | 说明 |
|---|---|
| 向报表添加注释 | 创建、查看、编辑和删除报表上的注释。 |
| 创建链接报表 | 创建基于用户的“我的报表”文件夹中所存储报表的链接报表。 |
| 管理注释 | 删除报表上其他用户的注释。 |
| 管理数据源 | 创建和删除共享数据源项,以及查看和修改数据源的属性及内容。 |
| 管理文件夹 | 创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
| 管理单独的订阅 | 创建、查看、修改和删除报表及链接报表的订阅。 |
| 管理报表历史记录 | 创建、查看和删除报表历史记录,以及查看报表历史记录属性。 还包括查看和修改决定快照历史限制和缓存工作方式的设置。 |
| 管理报表 | 添加和删除报表,修改报表参数,查看和修改报表属性。 还包括查看和修改为报表提供内容的数据源,查看和修改报表定义,以及设置报表级安全策略。 |
| 管理资源 | 创建、修改和删除资源,以及查看和修改资源属性。 |
| 查看数据源 | 查看文件夹层次结构中的共享数据源项。 |
| 查看文件夹 | 查看文件夹内容。 |
| 查看报表 | 运行用户的“我的报表”文件夹中存储的报表并查看报表属性。 |
| 查看资源 | 查看资源和资源属性。 |
自定义“我的报表”角色
您可以修改此角色,以满足您的需求。 不过,你应该保留“管理报表”任务和“管理文件夹”任务,以实现基本的内容管理。 此外,此角色还应该支持所有基于视图的任务,这样,用户就可以查看文件夹内容并运行所管理的报表。
虽然“设置各项的安全性”任务在默认情况下不属于该角色定义,但你可以将此任务添加到“我的报表”角色中,这样,用户就可以自定义子文件夹和报表的安全设置了。
“系统管理员”角色
“系统管理员”角色是一种预定义角色。对于对报表服务器全面负责、但不必对其中的内容全面负责的报表服务器管理员来说,该角色中所包含的任务非常有用。
若要创建包含此角色的角色分配,请使用 Web 门户中的“站点设置”页,或在 Management Studio 中右键单击报表服务器节点并选择相应命令。
“系统管理员”角色不提供本地管理员可能拥有的对计算机的全部权限。 确切地说,“系统管理员”角色包含了在站点级而非项级所执行的操作。 如果用户既需要访问整个站点的操作,又需要访问存储在报表服务器上的项,则需要在主文件夹上再创建一个包含“内容管理员”角色的角色分配。 这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。
系统管理员任务
下表列出了“系统管理员”角色中包含的任务:
| 任务 | 描述 |
|---|---|
| 执行报表定义 | 开始执行报表定义,而不将定义发布到报表服务器。 |
| 管理作业 | 查看和取消正在运行的作业。 有关详细信息,请参阅管理运行中的进程。 |
| 管理报表服务器属性 | 查看和修改应用于报表服务器及其所管理的项的属性。 该任务支持重命名 Web 门户、启用“我的报表”以及设置报表历史默认值。 |
| 管理报表服务器安全性 | 查看和修改系统范围内的角色分配 |
| 管理角色 | 创建、查看、修改和删除角色定义。 “系统管理员”角色的成员可以使用“站点设置”页来管理角色。 |
| 管理共享计划 | 创建、查看、修改和删除用于运行或刷新报表的共享计划。 |
“系统管理员”角色在默认安全性中使用。
“系统用户”角色
“系统用户”角色是一种预定义角色,该角色包含的任务允许用户查看有关报表服务器的基本信息。 该角色还支持在报表生成器中加载报表。 报表生成器是可以独立于报表服务器进行报表处理的客户端应用程序。 “执行报表定义”任务适用于报表生成器。 如果不使用报表生成器,也可以从“系统用户”角色中删除此任务。
下表列出了“系统用户”角色定义中包含的任务:
系统用户任务
| 任务 | 描述 |
|---|---|
| 执行报表定义 | 运行报表但不将其发布到报表服务器。 |
| 查看报表服务器属性 | 查看应用于报表服务器的属性,如应用程序名称,是否启用“我的报表”设置以及报表历史记录默认值。 如果从“系统用户”角色中删除此任务,将无法访问“站点设置”页。 而且,在每页的顶部也不显示应用程序标题。 默认情况下,Web 门户的标题是“SQL Server Reporting Services”。 |
| 查看共享计划 | 查看用于运行报表或刷新报表的共享计划。 如果从“系统用户”角色中删除此任务,用户将不能选择用于订阅和其他计划操作的共享计划。 |
“系统用户”角色可用作对默认安全性的补充。 在用来向报表用户扩展报表服务器访问权限的新角色分配中,您可以加入此角色。 有关详细信息,请参阅 授予对本机模式报表服务器的权限。
相关内容
创建、删除或修改角色 (Management Studio)
授予用户对报表服务器的访问权限
修改或删除角色分配(SSRS Web 门户)
授予对本机模式报表服务器的权限
任务和权限
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈