Erteilen von Berechtigungen für einen Berichtsserver im systemeigenen Modus

SQL Server Reporting Services bestimmt mithilfe der rollenbasierten Autorisierung und eines Authentifizierungssubsystems, wer Vorgänge ausführen und auf Elemente auf einem Berichtsserver zugreifen kann. Die rollenbasierte Autorisierung teilt die Aktionen, die ein Benutzer oder eine Gruppe ausführen kann, in Rollen ein. Die Authentifizierung basiert auf der integrierten Windows-Authentifizierung oder auf einem von Ihnen bereitgestellten benutzerdefinierten Authentifizierungsmodul. Bei beiden Authentifizierungstypen können vordefinierte oder benutzerdefinierte Rollen verwendet werden.

Verwenden von Rollen zum Gewähren des Zugriffs auf einen Berichtsserver

Alle Benutzer interagieren mit einem Berichtsserver innerhalb des Kontexts einer Rolle, durch die eine bestimmte Zugriffsebene definiert ist. Reporting Services umfasst vordefinierte Rollen, die Sie Benutzern und Gruppen zuweisen können, um diesen den unmittelbaren Zugriff auf einen Berichtsserver zu ermöglichen. Vordefinierte Rollen sind z. B. Inhalts-Manager, Verleger und Browser. Jede Rolle definiert eine Auflistung verwandter Aufgaben. Zum Beispiel ist ein Verleger berechtigt, Berichte hinzuzufügen und Ordner zum Speichern dieser Berichte zu erstellen.

Rollenzuweisungen werden i. d. R. von einem übergeordneten Knoten geerbt, allerdings können Sie die Vererbung von Berechtigungen unterbrechen, indem Sie für ein bestimmtes Element eine neue Rollenzuweisung erstellen. Ein Benutzer, der für einen Bericht Mitglied der Inhalts-Manager-Rolle ist, kann für einen anderen Bericht Mitglied der Browser-Rolle sein.

Beachten Sie die folgenden Richtlinien, um den Zugriff auf Berichtsserverelemente und -vorgänge zu gewähren:

  1. Überprüfen Sie die vordefinierten Rollen, um zu ermitteln, ob Sie sie unverändert verwenden können. Wenn Sie die Aufgaben anpassen oder zusätzliche Rollen definieren müssen, sollte dies erfolgen, bevor Sie den einzelnen Rollen Benutzer zuweisen. Weitere Informationen zu den einzelnen Rollen finden Sie unter Verwenden vordefinierter Rollen.

  2. Identifizieren Sie, für welche Benutzer und Gruppen der Zugriff auf den Berichtsserver erforderlich ist und auf welcher Ebene. Die meisten Benutzer sollten der Browser-Rolle oder der Berichts-Generator-Rolle zugewiesen werden. Eine kleinere Anzahl von Benutzern sollte der Verleger-Rolle zugewiesen werden. Inhalts-Manager sollten nur sehr wenige Benutzer zugewiesen werden.

  3. Weisen Sie mithilfe des Berichts-Managers im Stammordner (dem Ordner auf der obersten Ebene der Ordnerhierarchie des Berichtsservers) Rollen für jeden Benutzer oder jede Gruppe zu, der bzw. die Zugriff benötigt.

  4. Erstellen Sie auf Websiteebene im Berichts-Manager auf der Seite Siteeinstellungen für jeden Benutzer und jede Gruppe mithilfe der vordefinierten Rollen Systembenutzer und Systemadministrator eine Rollenzuweisung auf Systemebene.

  5. Erstellen Sie nach Bedarf zusätzliche Rollenzuweisungen für bestimmte Ordner, Berichte und andere Elemente. Erstellen Sie keine große Anzahl von Rollenzuweisungen. Wenn Sie zu viele Rollenzuweisungen erstellen, ist es schwierig, den Überblick über die verschiedenen Berechtigungsebenen der einzelnen Benutzer zu behalten.

Weitere Informationen zu bewährten Methoden und Techniken für die Erstellung von Rollenzuweisungen finden Sie unter Lernprogramm: Festlegen von Berechtigungen in Reporting Services.

HinweisHinweis

Wenn Sie einen Berichtsserver für die Ausführung im integrierten SharePoint-Modus konfiguriert haben, müssen Sie die Berechtigungen auf der SharePoint-Website festlegen, um den Zugriff auf Berichtsserverelemente zu gewähren. Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Berichtsserverelemente auf einer SharePoint-Website.

Wer Berechtigungen festgelegt

Zunächst können nur Benutzer, die Mitglied der lokalen Administratorengruppe sind, auf einen Berichtsserver zugreifen. Reporting Services wird mit zwei Standardrollenzuweisungen installiert, die den Mitgliedern der lokalen Administratorengruppe Zugriff auf Element- und Systemebene gewähren. Mithilfe dieser integrierten Rollenzuweisungen können lokale Administratoren anderen Benutzern Zugriff auf den Berichtsserver gewähren und Berichtsserverelemente verwalten. Die integrierten Rollenzuweisungen können nicht gelöscht werden. Ein lokaler Administrator verfügt immer über die Berechtigung zur vollständigen Verwaltung einer Berichtsserverinstanz.

Da Vollberechtigungen für einen Berichtsserver Berechtigungen auf Element- und Systemebene umfassen, wird ein lokaler Administrator folgenden Rollen zugewiesen:

Bevor eine Berichtsserverinstanz auf einem lokalen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, verwaltet werden kann, sind zusätzliche Konfigurationsschritte erforderlich. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren eines Berichtsservers für die lokale Verwaltung unter Windows Vista und Windows Server 2008.

Wie Berechtigungen gespeichert werden

Rollenzuweisungen und -definitionen werden in der Berichtsserver-Datenbank gespeichert. Wenn Sie mit verschiedenen Clienttools oder programmgesteuerten Schnittstellen arbeiten, hängt jeder Zugriff von den Berechtigungen ab, die für die Berichtsserverinstanz insgesamt definiert sind. Wenn Sie mehrere Berichtsserver in einer Bereitstellung für horizontales Skalieren konfigurieren, werden die von Ihnen in einer Instanz definierten Rollenzuweisungen in einer freigegebenen Datenbank gespeichert und von allen anderen Instanzen in derselben Bereitstellung für horizontales Skalieren verwendet. Da Rollenzuweisungen zusammen mit den durch sie gesicherten Elementen gespeichert werden, können Sie die Datenbank zu einer anderen Berichtsserverinstanz verschieben, ohne dass die definierten Berechtigungen verloren gehen.

Aufgaben und Tools zum Verwalten von Berechtigungen

Verwenden Sie die folgenden Tools, um Rollendefinitionen und -zuweisungen zu verwalten.

Tool

Aufgaben

Management Studio - zum Anzeigen, Ändern, Erstellen und Löschen von Rollendefinitionen

Vorgehensweise: Erstellen, Löschen oder Ändern einer Rolle (Management Studio)

Berichts-Manager - zum Zuweisen von Benutzern und Gruppen zu Rollen

Vorgehensweise: Gewähren von Benutzerzugriff auf einen Berichtsserver (Berichts-Manager)

Vorgehensweise: Ändern oder Löschen einer Rollenzuweisung (Berichts-Manager)