Windows-Dienstidentität (Reporting Services-Konfiguration)

  • Artikel

Aktualisiert: 12. Dezember 2006

Auf der Seite Windows-Dienstidentität können Sie angeben, unter welchem Konto der Berichtsserver-Windows-Dienst ausgeführt wird. Dieses Konto wird ursprünglich beim Setup konfiguriert. Sie können es ändern, wenn Sie das Konto oder das Kennwort ändern möchten.

Wenn Sie beim Start des Reporting Services-Konfigurationstools neben Windows-Dienstidentität ein rotes X sehen, sind die anfänglichen Dienstkontoeinstellungen möglicherweise in einem ungültigen Zustand, nachdem die Edition aktualisiert wurde (zum Beispiel von Standard Edition auf Enterprise Edition). Um die Einstellungen zu reparieren, starten sie das Reporting Services-Konfigurationstool, klicken Sie auf Windows-Dienstidentität, wählen Sie das Konto erneut aus, und klicken Sie auf Anwenden.

Es wird nachdrücklich empfohlen, das Reporting Services-Konfigurationstool zum Aktualisieren der Dienstidentität zu verwenden, da andere interne Einstellungen, die von der Dienstidentität abhängen, auf diese Weise automatisch aktualisiert werden.

Auswählen eines Kontos

Bei der Auswahl eines Kontos ist es hilfreich zu wissen, wie der Dienst verwendet wird. Der Berichtsserver-Windows-Dienst wird verwendet, um einen Berichtsserver zu initialisieren, sodass er vertrauliche Daten verschlüsseln und speichern, geplante Berichts- und Abonnementsverarbeitungsvorgänge im Hintergrund ausführen und die Berichtsserver-Datenbank verwalten kann.

Zu den Kontotypen, die Sie für den Windows-Dienst auswählen können, zählen ein Domänenbenutzerkonto, ein lokales Benutzerkonto oder ein integriertes Konto (z. B. Netzwerkdienst, Lokaler Dienst oder Lokales System). Bei den meisten Tasks, die der Windows-Dienst ausführen muss, wirkt sich der Typ des ausgewählten Kontos nicht auf die Fähigkeit zur Ausführung dieser Tasks aus; der Berichtsserver-Windows-Dienst ist voll funktionsfähig, unabhängig vom ausgewählten Konto.

Die Verwendung von Domänenkonten und dem Konto Netzwerkdienst wird empfohlen; beide Konten bieten dieselben Vorzüge im Hinblick auf den Zugriff auf Netzwerkdomänecontroller, öffentliche Dateifreigaben und E-Mail-Server im Unternehmen. Beide bieten dem Berichtsserver-Windows-Dienst Berechtigungen für die Netzwerkanmeldung.

Auch die Verwendung von lokalen Windows-Konten oder von integrierten lokalen Konten ist möglich; ihre Verwendung ist jedoch mit Anforderungen im Hinblick auf das Festlegen weiterer Konfigurationseinstellungen und das Erstellen und Übermitteln von Abonnements verbunden:

  • Durch die Ausführung des Dienstes unter einem lokalen Konto werden die Optionen eingeschränkt, die später beim Konfigurieren einer Verbindung mit einer Remoteberichtsserver-Datenbank verfügbar sind. Genauer gesagt: Wenn Sie eine Remoteberichtsserver-Datenbank verwenden, müssen Sie die Verbindung so konfigurieren, dass ein Domänenbenutzerkonto oder ein SQL Server-Datenbankbenutzer verwendet wird, das bzw. der über die Berechtigung zur Anmeldung an der Remoteinstanz von SQL Server verfügt.
  • Mit der Ausführung des Dienstes unter einem lokalen Konto sind neue Anforderungen im Hinblick auf die Erstellung von Abonnements verbunden. Der Berichtsserver speichert Informationen zum Benutzer, der das Abonnement erstellt. Wenn der Benutzer das Abonnement erstellt, während er mit einem Domänenkonto angemeldet ist, versucht der Berichtsserver-Windows-Dienst, eine Verbindung mit einem Domänencontroller herzustellen, um den Benutzer zu authentifizieren, wenn das Abonnement verarbeitet wird. Wenn der Berichtsserver-Windows-Dienst unter einem lokalen Konto ausgeführt wird, löst die Authentifizierungsanforderung einen Fehler aus, wenn der Berichtsserver versucht, die Anforderung an einen Remotedomänencontroller zu senden. Sie können diese Beschränkung umgehen, indem Sie eine formularbasierte Authentifizierungserweiterung verwenden oder alle Benutzer anweisen, die Verbindung mit einem Berichtsserver über ein lokales Benutzerkonto herzustellen.
  • Mit der Ausführung des Dienstes unter einem lokalen Konto sind neue Anforderungen im Hinblick auf die Übermittlung von Abonnements verbunden. Die Abonnementdefinitionen einiger Übermittlungserweiterungen enthalten Benutzerkontoinformationen. Wenn Sie Berichte an E-Mail-Adressen senden, die auf Domänenbenutzerkonten basieren, und den Berichtsserver-Windows-Dienst unter einem lokalen Konto ausführen, kann dieser zum Auflösen der Ziel-E-Mail-Konten nicht auf einen Remotedomänencontroller zugreifen.

Beachten Sie beim Aktualisieren der Windows-Dienstidentität folgende Richtlinien:

Konto Erklärung

Domänenkonten

Windows-Domänenkonten stellen den Standard für SQL Server-Dienste dar.

Wählen Sie ein Domänenkonto aus, wenn der Berichtsserver-Windows-Dienst den Zugriff auf Remotecomputer benötigt oder wenn Sie die Berechtigungen für den Dienst präzise konfigurieren möchten. Stellen Sie sicher, dass ein Konto ausgewählt wird, das nur die Minimalberechtigungen aufweist.

Verwenden Sie kein Domänenkonto, wenn Sie das Kennwort oder Konto aufgrund der in Ihrer Organisation verwendeten Sicherheitsrichtlinien zum Ablauf von Kennwörtern nicht ändern möchten.

Netzwerkdienst

Hierbei handelt es sich um ein integriertes Konto mit Minimalprivilegien, das über Berechtigungen für die Netzwerkanmeldung verfügt. Es ist das Standardkonto für die Ausführung des Berichtsserver-Webdienstes unter Microsoft Windows Server 2003 und Windows XP Service Pack 2 (in anderen Windows-Betriebssystemen ist Netzwerkdienst nicht verfügbar). Sie können es jedoch auch für die Ausführung des Windows-Dienstes verwenden.

Wählen Sie Netzwerkdienst aus, wenn Sie Ausfallzeiten vermeiden möchten, die als Folge von Richtlinien zum Ablauf von Kennwörtern auftreten können. Verwenden Sie Netzwerkdienst möglichst nicht, wenn Sie den Berichtsserver nicht unter Konten ausführen möchten, die möglicherweise auch von anderen Anwendungen verwendet werden.

Lokaler Dienst

Dies ist ein integriertes Konto, das mit einem authentifizierten Benutzerkonto verglichen werden kann. Bei Diensten, die unter dem Konto Lokaler Dienst ausgeführt werden, erfolgt der Zugriff auf Netzwerkressourcen als NULL-Sitzung ohne Anmeldeinformationen.

Dieses Konto ist für Intranetbereitstellungsszenarien nicht geeignet. Wenn die Benutzerauthentifizierung durch einen Netzwerk-Domänencontroller vorgenommen wird oder wenn Sie das Dienstkonto für eine Verbindung mit einer Remoteberichtsserver-Datenbank verwenden möchten, müssen Sie ein anderes Konto auswählen.

Lokaler Dienst ist das Standarddienstkonto für einen Berichtsserver, den Sie über Microsoft SQL Server 2005 Express Edition with Advanced Services installiert haben. Diese Ausgabe weist integrierte Einschränkungen auf, die den Zugriff auf Berichtsserver und Abonnementfunktionen verhindern. Die Unfähigkeit des Windows-Dienstes, auf Netzwerkressourcen zuzugreifen, ist daher kein Problem. Weitere Informationen zu Berichtsserverfeatures in Express Edition finden Sie unter Reporting Services in SQL Server 2005 Express Edition with Advanced Services.

Lokales System

Verwenden Sie dieses Konto nicht für Berichtsserverinstallationen. Lokales System ist ein Konto mit vielen Privilegien, das nicht erforderlich ist, um einen Berichtsserver auszuführen. Wählen Sie stattdessen ein Domänenkonto, Netzwerkdienst oder Lokaler Dienst, aus.

Wenn Sie das Konto wechseln (wenn Sie beispielsweise ein Windows-Konto durch ein anderes oder ein integriertes Konto durch ein Windows-Domänenkonto ersetzen), werden Sie aufgefordert, eine Sicherungskopie des symmetrischen Schlüssels zu erstellen. Die Sicherungskopie wird automatisch wiederhergestellt, sobald Sie das neue Konto auswählen.

ms189964.note(de-de,SQL.90).gifHinweis:
Jedes Mal, wenn Sie das Dienstkonto verändern, fordert Sie das Reporting Services-Tool auf, den Verschlüsselungsschlüssel zu sichern und wiederherzustellen. Diese Schritte sind notwendig, weil sie sicherstellen, dass der Berichtsserver weiterhin auf die verschlüsselten Daten zugreifen kann. Weitere Informationen zu diesen Aktionen finden Sie unter Verschlüsselungsschlüssel (Reporting Services-Konfiguration).

Optionen

  • Dienstname
    Gibt den Kontonamen des Berichtsserver-Windows-Dienstes an (ReportServer).
  • Dienstkonto
    Gibt das Konto an, über das der Windows-Dienst ausgeführt wird. Sie können nur ein vorhandenes Konto auswählen. Während der Reporting Services-Konfiguration kann kein neues Konto erstellt werden.
  • Integriertes Konto
    Wählen Sie diese Option aus, um ein integriertes Systemkonto auszuwählen.
  • Windows-Konto
    Wählen Sie diese Option aus, um ein Domänenkonto oder ein lokales Benutzerkonto auszuwählen.
  • Benutzername
    Geben Sie ein Domänenkonto im folgenden Format an: <domain>\<user>. Geben Sie ein lokales Windows-Benutzerkonto im folgenden Format an: <Computername>\<Benutzer>.
  • Kennwort
    Geben Sie das Kennwort an.

Änderungsverlauf

Version Verlauf

12. Dezember 2006
Geänderter Inhalt:
  • Allen Inhalten wurden weitere Erklärungen und Beschreibungen hinzugefügt.

17. Juli 2006
Neuer Inhalt:
  • Tabelle der Richtlinien.

Siehe auch

Konzepte

Reporting Services-Konfiguration (F1-Hilfe)

Andere Ressourcen

Konfigurieren von Dienstkonten und Kennwörtern in Reporting Services
Vorgehensweise: Konfigurieren von Dienstkonten (Reporting Services-Konfiguration)
Berichtsserver
Starten und Beenden des Berichtsserver-Windows-Dienstes

Hilfe und Informationen

Informationsquellen für SQL Server 2005