角色定義 - 預先定義的角色
適用於:✅SQL Server 2016 (13.x) Reporting Services 和更新版本✅ Power BI 報表伺服器
Reporting Services 會安裝一些預先定義的角色,可讓您用來授與報表伺服器作業的存取權。 每個預先定義的角色都會描述相關工作的集合。 您可以將群組和使用者帳戶指派至預先定義的角色,以便提供報表伺服器作業的立即存取權。
如何使用預先定義的角色
檢閱預先定義的角色來判斷您是否能夠依原狀使用它們。 如果您需要調整工作或定義其他角色,就應該先調整這些作業,然後再指派使用者至特定角色。 若要建立或編輯自訂角色,請使用 SQL Server Management Studio。 如需詳細資訊,請參閱建立、刪除或修改角色 (Management Studio)。
確認哪些使用者和群組需要存取報表伺服器,以及所存取的層級。 多數使用者都應指派至 [瀏覽者] 角色或 [報表產生器] 角色。 [發行者] 角色則應指派給較少數的使用者。 極少數使用者才應指派至內容管理員。
當您準備好將使用者和群組帳戶指派至特定角色時,請使用 Web 入口網站。 如需詳細資訊,請參閱 Grant user access to a report server (將報表伺服器的存取權授與使用者)。
預先定義的角色定義
預先定義的角色會定義他們支援的工作。 您可以修改這些角色,也可以使用自訂角色來取代這些角色。
「範圍」 (Scope) 會定義角色使用的界限。 項目層級的角色會提供報表伺服器項目和影響這些項目之作業的各種存取層級。 項目層級角色定義於根節點 ([主資料夾]) 以及整個報表伺服器目錄階層中的所有項目上。 系統層級角色會授權站台層級的存取權。 雖然項目和系統層級角色會互斥,但是它們會一起用來提供報表伺服器內容與作業的完整權限。
下表描述角色的預先定義範圍:
| 預先定義的角色 | 影響範圍 | 描述 |
|---|---|---|
| 內容管理員角色 | Item | 能夠管理報表伺服器中的內容。 此存取權包含資料夾、報表及資源。 |
| 發行者角色 | Item | 能夠將報表及已連結報表發佈至報表伺服器。 |
| 瀏覽者角色 | Item | 能夠檢視資料夾及報表,以及訂閱報表。 |
| 報表產生器角色 | Item | 能夠檢視報表定義。 |
| 「我的報表」角色 | Item | 能夠發佈報表和已連結報表;管理使用者「我的報表」資料夾中的資料夾、報表及資源。 |
| 系統管理員角色 | 系統 | 除了建立角色定義及在 Management Studio 中管理作業之外,還有檢視及修改系統角色指派、系統角色定義、系統屬性及共用排程。 |
| 系統使用者角色 | 系統 | 檢視系統屬性及共用排程,以及允許使用報表產生器或其他能執行報表定義的用戶端。 |
[內容管理員] 角色
[內容管理員] 角色是一個預先定義的角色,其中包含對於會管理報表與 Web 內容,但不一定會撰寫報表或管理 Web 伺服器或 SQL Server 執行個體的使用者來說很有用的工作。 內容管理員部署報表、管理報表模型和資料來源連接,以及決定如何使用報表。 根據預設,內容管理員角色定義會選取所有的項目層級工作。
內容管理員 角色通常與 系統管理員 角色一起使用。 結合這兩個角色的定義時,能為需要完整存取報表伺服器上所有項目的使用者,提供一組完整的工作。 雖然 [內容管理員] 角色能提供報表、報表模型、資料夾,以及資料夾階層中其他項目的完整存取,但它並不提供站台層級項目或作業的存取。 建立和管理共用排程、設定伺服器屬性和管理角色定義等工作是系統層級工作,包含在 系統管理員 角色中。 因此,建議您可以在站台層級建立第二個角色指派,允許存取共用排程。
[內容管理員] 工作
下表列出 [內容管理員] 角色中所包含的工作:
| Task | 描述 |
|---|---|
| 在報表上註解 | 建立、檢視、編輯及刪除報表上的註解。 |
| 取用報表 | 讀取報表定義。 |
| 建立連結報表 | 建立以非連結報表為基礎的連結報表。 |
| 管理所有訂閱 | 檢視、修改和刪除報表與連結報表的任何訂閱,無論訂閱擁有者為誰。 此工作支援建立資料驅動訂閱。 其也支援編輯和執行 Power BI 報表伺服器中 Power BI (.pbix) 檔案的排程重新整理。 |
| 管理註解 | 刪除報表上其他使用者的註解。 |
| 管理資料來源 | 建立並刪除共用資料來源項目、檢視和修改資料來源屬性及內容。 |
| 管理資料夾 | 建立、檢視與刪除資料夾,以及檢視和修改資料夾屬性。 |
| 管理個別訂閱 | 建立、檢視、修改和刪除使用者擁有之報表與連結報表的訂閱。 此工作也支援編輯和執行 Power BI 報表伺服器中 Power BI (.pbix) 檔案的排程重新整理。 |
| 管理模型 | 建立、檢視和刪除模型,以及檢視和修改模型屬性。 |
| 管理報表記錄 | 建立、檢視和刪除報表記錄,並檢視報表記錄屬性。 也包含可決定快照歷程紀錄限制的檢視和修改設定,以及快取的運作方式。 |
| 管理報表 | 新增和刪除報表、修改報表參數、檢視和修改報表內容。 也包含了檢視與修改可提供內容至報表的資料來源、檢視與修改報表定義,以及在報表層級設定安全性原則。 |
| 管理資源 | 建立、檢視與刪除資源,以及檢視和修改資源屬性。 |
| 設定個別項目的安全性 | 定義報表、連結報表、資料夾、資源以及資料來源的安全性原則。 如需詳細資訊,請參閱 安全性實體項目。 |
| 檢視資料來源 | 檢視資料夾階層中的共用資料來源項目。 |
| 檢視資料夾 | 檢視資料夾內容和導覽資料夾階層。 |
| 檢視模型 | 檢視資料夾階層中的模型、使用模型做為報表的資料來源,以及針對模型執行查詢,以擷取資料。 |
| 檢視報表 | 執行報表和檢視報表屬性。 |
| 檢視資源 | 檢視資源與資源屬性。 |
自訂 [內容管理員] 角色
此角色用於受信任的使用者,該使用者對於管理與維護報表伺服器內容有全部的責任。 您可以從這個定義移除工作,但這樣做會造成管理目標不明確。 例如,從這個角色定義移除「檢視報表」工作,會使得 內容管理員 無法檢視報表內容,因而無法確認對參數和認證設定的變更。
內容管理員 角色會用於預設安全性中。
發佈者角色
發行者 角色是一個內建角色定義,其中包含的工作可以讓使用者將內容加入至報表伺服器。 此角色是為了您的方便而預先定義的。 除非您建立的角色指派中包含發行者角色,否則不會使用這個角色。 此角色適用於會在報表設計師或模型設計師中製作報表或模型,然後將這些項目發行至報表伺服器的使用者。
警告
將項目發行至報表伺服器的權限應該只授與信任的使用者。 因為發行者角色會授與廣泛的權限,允許使用者將任何類型的檔案上傳至報表伺服器。 如果上傳的報表或 HTML 檔案包含惡意指令碼,任何選取該報表或 HTML 文件的使用者將會以其認證執行指令碼。
當報表在 HTML 中轉譯時,報表定義可能包含指令碼和其他易受 HTML 資料隱碼攻擊的元素。 如果發行的報表包含惡意指令碼,任何執行該報表的使用者可能會在開啟報表時不小心執行該指令碼。 如果該使用者具有更高的權限,該指令碼就會以這些權限來執行。
若要減少使用者無意間執行惡意指令碼的風險,請限制具有發佈內容權限的使用者數量。 此外,請確保使用者只發佈來自受信任來源的文件和報表。 如果不確定報表定義的發行是否安全,您可以在文字編輯器中開啟 .rdl 檔案,並搜尋指令碼標記。 惡意指令碼可能會隱藏在運算式和 URL (例如,導覽動作中的 URL) 中。
[發行者] 工作
下表列出 [發行者] 角色中所包含的工作:
| Task | 描述 |
|---|---|
| 建立連結報表 | 建立連結報表並將它們發行至報表伺服器資料夾。 |
| 管理註解 | 刪除報表上其他使用者的註解。 |
| 管理資料來源 | 建立並刪除共用資料來源項目、檢視和修改資料來源屬性及內容。 |
| 管理資料夾 | 建立、檢視和刪除資料夾;檢視和修改資料夾屬性。 |
| 管理模型 | 建立、檢視和刪除報表模型;檢視和修改報表模型屬性。 |
| 管理報表 | 新增和刪除報表、修改報表參數,以及檢視和修改報表屬性。 也包含提供報表內容的檢視和修改資料來源、檢視和修改報告定義。 |
| 管理資源 | 建立、修改和刪除資源;檢視和修改資源屬性。 |
自訂 [發行者] 角色
您可以修改 發行者 角色,以符合您的需求。 例如,如果您不想讓用戶能夠建立和發佈連結報表,您可以移除「建立連結報表」工作。 或者,您可以新增「檢視資料夾」工作,讓使用者在選取新項目的位置時瀏覽資料夾階層。
從報表設計師發行報表的使用者至少需要「管理報表」工作,才能將報表加入至報表伺服器。 包含「管理資料來源」和「如果用戶必須發佈使用共用資料來源或外部檔案的報表,則管理資源。」 如果使用者也需要能夠在發佈過程中建立資料夾的能力,您也必須包含「受管理的資料夾」。
瀏覽者角色
瀏覽者角色是預先定義的角色,對於只檢視報表,但是不必撰寫或管理報表的使用者,這個角色包含的工作很有用。 此角色提供基本功能,方便使用報表伺服器。 使用者若沒有這些工作,可能會難以使用報表伺服器。
瀏覽者 角色應與 系統使用者 角色一起使用。 結合這兩個角色的定義時,能為與報表伺服器上項目互動的使用者,提供一組完整的工作。 雖然瀏覽者角色能檢視報表、報表模型、資料夾,以及資料夾階層中的其他項目,但無法存取站台層級項目,例如建立訂閱時所需的共用排程。 因此,建議您可以在站台層級建立第二個角色指派,允許存取共用排程。
[瀏覽者] 工作
下表描述 [瀏覽者] 角色定義中所包含的工作:
| Task | 描述 |
|---|---|
| 在報表上註解 | 建立、檢視、編輯及刪除報表上的註解。 |
| 管理個別訂閱 | 建立、檢視、修改以及刪除使用者擁有之報表與連結報表的訂閱,以及建立排程來支援這些訂閱。 |
| 檢視資料夾 | 檢視資料夾內容以及導覽資料夾階層。 |
| 檢視模型 | 檢視資料夾階層中的模型、使用模型做為報表的資料來源,以及針對模型執行查詢,以擷取資料。 |
| 檢視報表 | 執行報表與檢視報表屬性。 |
| 檢視資源 | 檢視資源與資源屬性。 |
自訂 [瀏覽者] 角色
您可以修改 瀏覽者 角色,以符合您的需要。 例如,如果您不想支援訂閱,您可以移除「管理個別訂閱」工作。 或者,如果您不想讓使用者查看隨附文件或可能上傳至報表伺服器的其他項目,則可以移除「檢視資源」工作。
此角色至少應支援「檢視報表」工作和「檢視資料夾」工作,以支援檢視和資料夾導覽。 除非您想要排除資料夾導覽,否則不應移除「檢視資料夾」工作。 同樣地,除非您不想要讓使用者看到報表,否則不應移除「檢視報表」工作。 這些類型的修改表示需要一個為特定使用者群組選擇性套用的自訂角色定義。
[報表產生器] 角色
報表產生器角色是一個預先定義的角色,其中包含在報表產生器中載入報表,以及檢視與導覽資料夾階層的工作。 您還必須具備系統角色指派,其中包含可在 Report Builder 中建立和修改報表的「執行報表定義」。 若要在本機 報表產生器 中處理報表,此工作是必要的。
報表產生器工作
下表描述 [報表產生器] 角色定義中所包含的工作:
| Task | 描述 |
|---|---|
| 在報表上註解 | 建立、檢視、編輯及刪除報表上的註解。 |
| 取用報表 | 讀取報表定義。 |
| 管理個別訂閱 | 建立、檢視、修改以及刪除使用者擁有之報表與連結報表的訂閱,以及建立排程來支援這些訂閱。 |
| 檢視資料夾 | 檢視資料夾內容以及導覽資料夾階層。 |
| 檢視模型 | 檢視資料夾階層中的模型、使用模型做為報表的資料來源,以及針對模型執行查詢,以擷取資料。 |
| 檢視報表 | 執行報表與檢視報表屬性。 |
| 檢視資源 | 檢視資源與資源屬性。 |
自訂 [報表產生器] 角色
您可以修改 報表產生器 角色,以符合您的需求。 建議通常與瀏覽器角色相同:
- 如果您不想支援訂閱,請移除「管理個別訂閱」工作。
- 如果您不想讓使用者看到資源,請移除「檢視資源」工作。
- 保留「檢視報表」工作和「檢視資料夾」工作,以支援檢視和資料夾導覽。
此角色定義當中最重要的工作是「取用報表」,這可以讓使用者從報表伺服器載入報表定義到本機報表產生器執行個體。 如果您不想要支援此工作,可以刪除此角色定義,並使用瀏覽者角色來支援報表伺服器的一般存取。
「我的報表」角色
「我的報表」角色是預先定義的角色,其中包括對於「我的報表」功能之使用者很有用的一組工作。 此角色定義包含一些授權工作,授與管理權限給擁有「我的報表」資料夾的使用者。
雖然您可以選擇其他角色用於「我的報表」功能,不過您應選擇「我的報表」安全性專用的角色。 如需詳細資訊,請參閱 保護我的報表。
「我的報表」工作
下表列出我的報表角色中所包含的工作:
| Task | 描述 |
|---|---|
| 在報表上註解 | 建立、檢視、編輯及刪除報表上的註解。 |
| 建立連結報表 | 建立連結報表,以儲存在使用者之「我的報表」資料夾的報表為基礎。 |
| 管理註解 | 刪除報表上其他使用者的註解。 |
| 管理資料來源 | 建立並刪除共用資料來源項目、檢視和修改資料來源屬性及內容。 |
| 管理資料夾 | 建立、檢視與刪除資料夾,以及檢視和修改資料夾屬性。 |
| 管理個別訂閱 | 建立、檢視、修改以及刪除報表與連結報表的訂閱。 |
| 管理報表記錄 | 建立、檢視及刪除報表記錄、檢視報表記錄屬性。 也包含可決定快照歷程紀錄限制的檢視和修改設定,以及快取的運作方式。 |
| 管理報表 | 新增和刪除報表、修改報表參數、檢視和修改報表內容。 也包含了檢視與修改可提供內容至報表的資料來源、檢視與修改報表定義,以及在報表層級設定安全性原則。 |
| 管理資源 | 建立、檢視與刪除資源,以及檢視和修改資源屬性。 |
| 檢視資料來源 | 檢視資料夾階層中的共用資料來源項目。 |
| 檢視資料夾 | 檢視資料夾內容。 |
| 檢視報表 | 執行儲存在使用者之「我的報表」資料夾中的報表,以及檢視報表屬性。 |
| 檢視資源 | 檢視資源與資源屬性。 |
自訂「我的報表」角色
您可以修改此角色,以符合您的需要。 不過,您應保留「管理報表」工作和「管理資料夾」工作,以啟用基本內容管理。 此外,此角色應該支援所有以檢視為基礎的工作,讓使用者可以看到資料夾內容以及執行其管理的報表。
根據預設,雖然「設定個別項目的安全性」工作不是角色定義的一部份,不過您可以將此工作加入至我的報表角色,讓使用者可以自訂子資料夾和報表的安全性設定。
[系統管理員] 角色
系統管理員 角色是預先定義的角色,包含的工作對於需要全權負責報表伺服器,但不需要其中內容的報表伺服器管理員很有用。
若要建立包含此角色的角色指派,請使用入口網站中的 [網站設定] 頁面,或在 Management Studio 中的報表伺服器節點上使用右鍵命令。
系統管理員角色並不會授與本機管理員在電腦上可能擁有的相同完整權限。 系統管理員 角色包含在網站層級執行的作業,而不是在項目層級執行的作業。 若使用者同時需要存取網站範圍作業和儲存在報表伺服器上的項目,請在 [主資料夾] 資料夾上建立另一個包含「 內容管理員 」角色的角色指派。 結合這兩個角色的定義時,能為需要完整存取報表伺服器上所有項目的使用者,提供一組完整的工作。
[系統管理員] 工作
下表列出 [系統管理員] 角色中所包含的工作:
| Task | 描述 |
|---|---|
| 執行報表定義 | 開始執行報表定義,但是不將定義發行到報表伺服器。 |
| 管理工作 | 檢視和取消執行中的作業。 如需詳細資訊,請參閱管理執行中的處理程序。 |
| 管理報表伺服器屬性 | 檢視和修改套用至報表伺服器以及報表伺服器管理之項目的屬性。 此工作支援重新命名入口網站、啟用「我的報表」,以及設定報表記錄預設值。 |
| 管理報表伺服器安全性 | 檢視和修改整個系統範圍的角色指派 |
| 管理角色 | 建立、檢視和修改以及刪除角色定義。 系統管理員 角色的成員,可以使用 [站台設定] 頁面來管理角色。 |
| 管理共用排程 | 建立、檢視、修改以及刪除用來執行或重新整理報表的共用排程。 |
系統管理員 角色用於預設安全性中。
系統使用者角色
系統使用者 角色是一個預先定義的角色,其中包含能夠讓使用者檢視有關報表伺服器之基本資訊的工作。 它也支援在報表產生器中載入報表。 報表產生器是一個用戶端應用程式,可以獨立處理報表伺服器的報表。 「執行報表定義」工作旨在配合報表產生器使用。 如果您不是使用報表產生器,則可以從系統使用者角色移除此工作。
下表列出 [系統使用者] 角色定義中所包含的工作:
系統使用者工作
| Task | 描述 |
|---|---|
| 執行報表定義 | 執行報表,但不將它發行至報表伺服器。 |
| 檢視報表伺服器屬性 | 檢視套用至報表伺服器的屬性 (例如應用程式名稱)、是否已啟用「我的報表」設定,以及報表記錄預設值。 如果您從系統使用者角色移除此工作,將無法使用「網站設定」頁面。 另外,應用程式標題不會在每一個頁面的頂端顯示。 根據預設,入口網站的標題為「SQL Server Reporting Services」。 |
| 檢視共用排程 | 檢視用來執行報表或重新整理報表的共用排程。 如果您從系統使用者角色移除此工作,使用者就無法選取共用排程,以搭配訂閱和其他已排程的作業使用。 |
可以使用 系統使用者 角色來補充預設安全性。 您可以將角色包括在新的角色指派中,這會擴充報表伺服器存取權給報表使用者。 如需詳細資訊,請參閱 在原生模式報表伺服器上授與權限。
相關內容
建立、刪除或修改角色 (Management Studio)
將報表伺服器的存取權授與使用者
修改或刪除角色指派 (SSRS Web 入口網站)
在原生模式報表伺服器上授與權限
工作和權限
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應