Artikel
03/30/2012

Sicherheitsrollen (Analysis Services - Mehrdimensionale Daten)

In Microsoft SQL Server Analysis Services werden zur Verwaltung der Sicherheit von Analysis Services-Objekten und -Daten Rollen verwendet.Im Allgemeinen wird eine Rolle der SIDs (Sicherheits-IDs) von Microsoft Windows-Benutzern bzw. Windows-Gruppen zugeordnet, für die bestimmte Zugriffsrechte und -berechtigungen auf von einer Instanz von Analysis Services verwalteten Objekte definiert sind. In Analysis Services werden die folgenden zwei Arten von Rollen bereitgestellt:

Die Serverrolle, bei der es sich um eine feste Rolle handelt, mit der der Administratorzugriff auf eine Instanz von Analysis Services bereitgestellt wird.
Datenbankrollen, bei denen es sich um von Administratoren definierte Rollen handelt, mit denen der Zugriff auf Objekte und Daten für Benutzer ohne Administratorrechte gesteuert wird.

Sicherheit in Microsoft SQL Server. Die Sicherheit in Analysis Services wird mithilfe von Rollen und Berechtigungen verwaltet. Rollen sind Gruppen von Benutzern. Benutzer, auch als Elemente bezeichnet, können zu Rollen hinzugefügt oder aus diesen entfernt werden. Berechtigungen für Objekte werden mithilfe von Rollen festgelegt, und alle Mitglieder in einer Rolle können die Objekte verwenden, für die die Rolle die Berechtigungen besitzt. Alle Elemente in einer Rolle verfügen über die gleichen Berechtigungen für die Objekte. Berechtigungen gelten speziell für Objekte. Jedes Objekt verfügt über eine Berechtigungsauflistung, die die Berechtigungen für dieses Objekt enthält. Einem Objekt können unterschiedliche Berechtigungssätze zugeordnet werden. Jeder Berechtigung in der Berechtigungsauflistung des Objekts ist eine einzige Rolle zugeordnet.

Rollen und Rollenelementobjekte

Eine Rolle ist ein enthaltendes Objekt für eine Auflistung von Benutzern (Elementen). Eine Rollendefinition begründet die Mitgliedschaft der Benutzer in Analysis Services. Da Berechtigungen mithilfe von Rollen zugewiesen werden, muss ein Benutzer ein Element einer Rolle sein, bevor er Zugriff auf Objekte erhält.

Ein Role-Objekt besteht aus den Parametern Name, ID und Elemente. Elemente sind eine Auflistung von Zeichenfolgen. Jedes Element enthält den Benutzernamen im Format "domäne\benutzername". "Name" ist eine Zeichenfolge, die den Namen der Rolle enthält. "ID" ist eine Zeichenfolge, die den eindeutigen Bezeichner der Rolle enthält.

Serverrolle

Die Analysis Services-Serverrolle definiert den administrativen Zugriff von Windows-Benutzern und -Gruppen auf eine Instanz von Analysis Services. Mitglieder dieser Rolle haben Zugriff auf alle Analysis Services-Datenbanken und -Objekte in einer Instanz von Analysis Services. Mit dieser Rolle können die folgenden Aufgaben ausgeführt werden:

Ausführen administrativer Funktionen auf Serverebene mithilfe von SQL Server Management Studio oder Business Intelligence Development Studio, einschließlich Erstellen von Datenbanken und Festlegen von Eigenschaften auf Serverebene.
Programmgesteuertes Ausführen administrativer Funktionen mit Analysis Management Objects (AMO).
Verwalten von Analysis Services-Datenbankrollen.
Starten von Ablaufverfolgungen (außer für die Verarbeitung von Ereignissen verwendeten Ablaufverfolgungen, die mit einer Datenbankrolle mit Verarbeitungszugriff ausgeführt werden können).

Jede Instanz von Analysis Services verfügt über eine Serverrolle, mit der die Benutzer definiert werden, die diese Instanz verwalten können. Der Name und die ID dieser Rolle lauten Administratoren. Im Gegensatz zu Datenbankrollen kann die Serverrolle weder gelöscht werden, noch ist es möglich, der Serverrolle Berechtigungen hinzuzufügen bzw. aus ihr zu entfernen. Mit anderen Worten: Abhängig davon, ob der jeweilige Benutzer in der Serverrolle für diese Instanz von Analysis Services eingeschlossen ist oder nicht, ist ein Benutzer ein Administrator bzw. kein Administrator einer Instanz von Analysis Services. Verwandte Themen:Gewähren des Administratorzugriffs, Festlegen von Serverkonfigurationseigenschaften.

Datenbankrollen

Eine Analysis Services-Datenbankrolle definiert den Benutzerzugriff auf die in einer Analysis Services-Datenbank enthaltenen Objekte und Daten. Eine Datenbankrolle wird in einer Analysis Services-Datenbank als separates Objekt erstellt und gilt nur für die Datenbank, in der diese Rolle erstellt wurde. Der Administrator, der ebenfalls die Berechtigungen innerhalb der Rolle definiert, schließt die Windows-Benutzer und -Gruppen in die Rolle ein.

Neben den Zugriffsberechtigungen auf die Daten und Objekte innerhalb der Datenbank ermöglichen die Berechtigungen einer Rolle den Mitgliedern den Zugriff auf die Datenbank sowie deren Verwaltung. Jeder Berechtigung wird mindestens ein Zugriffsrecht zugeordnet, mit dem wiederum die Berechtigung für eine präzisere Steuerung des Zugriffs auf ein bestimmtes Objekt der Datenbank gewährt wird. Verwandte Themen:Berechtigungen und Zugriffsrechte (Analysis Services - Mehrdimensionale Daten), Gewähren des Benutzerzugriffs

Berechtigungsobjekte

Berechtigungen sind mit einem Objekt (Cube, Dimension, sonstige) für eine bestimmte Rolle verbunden. Berechtigungen geben an, welche Vorgänge das Element dieser Rolle mit diesem Objekt ausführen kann.

Die Permission-Klasse ist eine abstrakte Klasse. Deshalb müssen Sie die abgeleiteten Klassen verwenden, um Berechtigungen für die entsprechenden Objekte zu definieren. Für jedes Objekt wird eine von der Berechtigung abgeleitete Klasse definiert.

Objekt	Class
Database	DatabasePermission
DataSource	DataSourcePermission
Dimension	DimensionPermission
Cube	CubePermission
MiningStructure	MiningStructurePermission
MiningModel	MiningModelPermission

Folgende Aktionen werden durch Berechtigungen aktiviert:

Aktion	Werte	Erklärung
Process	{true, false} Standard=false	Wenn true festgelegt wird., können Elemente das Objekt sowie alle in dem Objekt enthaltenen Objekte verarbeiten. Prozessberechtigungen gelten nicht für Miningmodelle. MiningModel-Berechtigungen werden immer von MiningStructure geerbt.
ReadDefinition	{None, Basic, Allowed} Standard=None	Gibt an, ob Elemente die mit dem Objekt verbundenen Datendefinitionen (ASSL) lesen können. Wenn Allowed festgelegt wird, können Elemente die mit dem Objekt verbundenen ASSL lesen. Basic und Allowed werden von in dem Objekt enthaltenen Objekten geerbt. Allowed überschreibt Basic und None. Allowed ist für DISCOVER_XML_METADATA auf einem Objekt erforderlich Basic ist erforderlich, um verknüpfte Objekte und lokale Cubes zu erstellen.
Lesen	{None, Allowed} Standard=None (außer für DimensionPermission, hier gilt Standard=Allowed)	Gibt an, ob Elemente über Lesezugriff auf Schemarowsets und Dateninhalt verfügen. Allowed erteilt Lesezugriff auf eine Datenbank, sodass eine Datenbank ermitteln werden kann. Allowed für einen Cube ermöglicht Lesezugriff auf Schemarowsets und Zugriff auf Cubeinhalte (wenn nicht eingeschränkt durch CellPermission und CubeDimensionPermission). Allowed für eine Dimension gewährt diese Leseberechtigung für alle Attributen in der Dimension (wenn nicht eingeschränkt durch CubeDimensionPermission). Leseberechtigungen werden nur für statisches Erben der CubeDimensionPermission verwendet. Wenn None für eine Dimension festgelegt wird, wird die Dimension verborgen und Standardelemente erhalten nur Zugriff auf aggregierbare Attribute. Wenn die Dimension ein nicht aggregierbares Attribut enthält, wird ein Fehler ausgegeben. Wenn Allowed für MiningModelPermission festgelegt wird, werden Berechtigungen für das Anzeigen von Objekten in Schemarowsets und die Ausführung von vorhergesagten Verknüpfungen erteilt. HinweisAllowed ist erforderlich, um ein Objekt in der Datenbank zu lesen oder darin zu schreiben.
Schreiben	{None, Allowed} Standard=None	Gibt an, ob Elemente über Schreibzugriff auf Daten des übergeordneten Objekts verfügen. Der Zugriff gilt für Dimension, Cube und MiningModel-Unterklassen. Er gilt nicht für Datenbank-MiningStructure-Unterklassen, die einen Überprüfungsfehler generieren. Wenn Allowed für Dimension festgelegt wird, werden Schreibberechtigungen für alle Attribute in der Dimension gewährt. Wenn Allowed für Cube festgelegt wird, werden Schreibberechtigungen für die Zellen des Cubes gewährt, für deren Partitionen der Typ=writeback definiert wurde. Wenn Allowed für MiningModel festgelegt wird, werden Berechtigungen für die Änderung des Modellinhalts gewährt. Wenn Allowed für MiningStructure festgelegt wird, besitzt dies in Analysis Services keine bestimmte Bedeutung. Hinweis Für Schreiben kann nicht Allowed festgelegt werden, wenn nicht auch für Lesen Allowed festgelegt wird.
Verwalten Hinweis Nur in Datenbankberechtigungen	{true, false} Standard=false	Gibt an, ob Elemente eine Datenbank verwalten können. true gewährt Elementen Zugriff auf alle Objekte in einer Datenbank. Ein Element kann über Verwaltungsberechtigungen für eine bestimmte Datenbank verfügen, jedoch nicht für andere.

Process

{true, false}

Standard=false

Wenn true festgelegt wird., können Elemente das Objekt sowie alle in dem Objekt enthaltenen Objekte verarbeiten.

Prozessberechtigungen gelten nicht für Miningmodelle. MiningModel-Berechtigungen werden immer von MiningStructure geerbt.

ReadDefinition

{None, Basic, Allowed}

Standard=None

Gibt an, ob Elemente die mit dem Objekt verbundenen Datendefinitionen (ASSL) lesen können.

Wenn Allowed festgelegt wird, können Elemente die mit dem Objekt verbundenen ASSL lesen.

Basic und Allowed werden von in dem Objekt enthaltenen Objekten geerbt. Allowed überschreibt Basic und None.

Allowed ist für DISCOVER_XML_METADATA auf einem Objekt erforderlich Basic ist erforderlich, um verknüpfte Objekte und lokale Cubes zu erstellen.

Lesen

{None, Allowed}

Standard=None (außer für DimensionPermission, hier gilt Standard=Allowed)

Gibt an, ob Elemente über Lesezugriff auf Schemarowsets und Dateninhalt verfügen.

Allowed erteilt Lesezugriff auf eine Datenbank, sodass eine Datenbank ermitteln werden kann.

Allowed für einen Cube ermöglicht Lesezugriff auf Schemarowsets und Zugriff auf Cubeinhalte (wenn nicht eingeschränkt durch CellPermission und CubeDimensionPermission).

Allowed für eine Dimension gewährt diese Leseberechtigung für alle Attributen in der Dimension (wenn nicht eingeschränkt durch CubeDimensionPermission). Leseberechtigungen werden nur für statisches Erben der CubeDimensionPermission verwendet. Wenn None für eine Dimension festgelegt wird, wird die Dimension verborgen und Standardelemente erhalten nur Zugriff auf aggregierbare Attribute. Wenn die Dimension ein nicht aggregierbares Attribut enthält, wird ein Fehler ausgegeben.

Wenn Allowed für MiningModelPermission festgelegt wird, werden Berechtigungen für das Anzeigen von Objekten in Schemarowsets und die Ausführung von vorhergesagten Verknüpfungen erteilt.

HinweisAllowed ist erforderlich, um ein Objekt in der Datenbank zu lesen oder darin zu schreiben.

Schreiben

{None, Allowed}

Standard=None

Gibt an, ob Elemente über Schreibzugriff auf Daten des übergeordneten Objekts verfügen.

Der Zugriff gilt für Dimension, Cube und MiningModel-Unterklassen. Er gilt nicht für Datenbank-MiningStructure-Unterklassen, die einen Überprüfungsfehler generieren.

Wenn Allowed für Dimension festgelegt wird, werden Schreibberechtigungen für alle Attribute in der Dimension gewährt.

Wenn Allowed für Cube festgelegt wird, werden Schreibberechtigungen für die Zellen des Cubes gewährt, für deren Partitionen der Typ=writeback definiert wurde.

Wenn Allowed für MiningModel festgelegt wird, werden Berechtigungen für die Änderung des Modellinhalts gewährt.

Wenn Allowed für MiningStructure festgelegt wird, besitzt dies in Analysis Services keine bestimmte Bedeutung.