Exporter (0) Imprimer
Développer tout
Cet article a fait l'objet d'une traduction manuelle. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

Configurer les comptes de service (Analysis Services)

La mise en service de compte est documentée dans Configurer les comptes de service Windows et les autorisations, une rubrique qui fournit des informations exhaustives sur le compte de service pour tous les services SQL Server, y compris Analysis Services. Reportez-vous à cette rubrique pour en savoir plus sur les types de comptes valides, les privilèges Windows affectés, les autorisations du système de fichiers, les autorisations de Registre et bien plus encore.

Dans cette rubrique, vous pouvez obtenir des informations supplémentaires sur le mode d'utilisation du compte de service Analysis Services, et notamment sur les charges de travail qui imposent des conditions supplémentaires pour les autorisations sur le compte de service, ainsi que sur la manière dont la mise en service du compte de service Analysis Services diffère de celle d'autres fonctionnalités SQL Server. Cette rubrique contient les sections suivantes :

Si votre domaine est configuré pour utiliser Kerberos, pensez à inscrire un nom de principal du service (SPN) pour le compte de service et l'instance Analysis Services. L'exécution de cette tâche vous permet d'activer l'authentification directe dans les scénarios double saut. Pour plus d'informations, consultez Configurer Analysis Services pour la délégation contrainte Kerberos.

Analysis Services exécute certaines tâches dans le contexte de sécurité du compte de service utilisé pour démarrer Analysis Services et exécute d'autres tâches dans le contexte de sécurité de l'utilisateur qui demande la tâche.

Le tableau suivant décrit les autorisations supplémentaires nécessaires pour prendre en charge les tâches s'exécutant en tant que compte de service.

Opération du serveur

Configuration supplémentaire

Accès à distance aux sources de données relationnelles externes

Le traitement fait référence à la récupération de données depuis une source de données externe (généralement une base de données relationnelle), qui est ensuite chargée dans une base de données Analysis Services. L'une des options d'informations d'identification pour la récupération de données externes consiste à utiliser le compte de service. Cette option d'informations d'identification fonctionne uniquement si vous créez une connexion à une base de données pour le compte de service et octroyez des autorisations de lecture sur la base de données source. Pour plus d'informations sur la procédure d'utilisation de l'option de compte de service pour cette tâche, consultez Définir les options d'emprunt d'identité (SSAS - Multidimensionnel). De la même manière, si ROLAP est utilisé comme mode de stockage, les mêmes options d'emprunt d'identité sont disponibles. Dans ce cas, le compte doit également disposer d'un accès en écriture aux données sources pour pouvoir traiter les partitions ROLAP (c'est-à-dire pour stocker les agrégations).

DirectQuery

DirectQuery est une fonctionnalité tabulaire utilisée pour interroger des datasets externes qui sont soit trop volumineux pour s'ajuster à l'intérieur du modèle tabulaire ou qui présentent d'autres caractéristiques qui font de DirectQuery un meilleur choix que l'option de stockage en mémoire par défaut. L'une des options de connexion disponibles en mode DirectQuery consiste à utiliser le compte de service. Là encore, cette option fonctionne uniquement lorsque le compte de service dispose d'une connexion à une base de données, ainsi que d'autorisations de lecture sur la source de données cible. Pour plus d'informations sur la procédure d'utilisation de l'option de compte de service pour cette tâche, consultez Définir les options d'emprunt d'identité (SSAS - Multidimensionnel). Les informations d'identification de l'utilisateur actuel peuvent également être utilisées pour récupérer des données. Dans la majorité des cas, cette option implique une connexion double saut. Par conséquent, veillez à configurer le compte de service pour la délégation contrainte Kerberos afin que ce compte de service puisse déléguer des identités à un serveur en aval. Pour plus d'informations, consultez Configurer Analysis Services pour la délégation contrainte Kerberos.

Accès à distance à d'autres instances SSAS

Les partitions distantes et les objets liés de référencement sur d'autres instances Analysis Services distantes constituent dans les deux cas des fonctions de système nécessitant des autorisations sur un périphérique ou un ordinateur distant. Lorsqu'une personne crée et alimente des partitions distantes ou configure un objet lié, cette opération s'exécute dans le contexte de sécurité de l'utilisateur actuel. Si, par la suite, vous automatisez ces opérations, Analysis Services accédera aux instances distantes dans le contexte de sécurité de son compte de service. Pour pouvoir accéder aux objets liés d'une instance distante Analysis Services, le compte d'ouverture de session doit être autorisé à lire les objets appropriés sur l'instance distante (accès en lecture sur certaines dimensions, par exemple). De même, l'utilisation de partitions distantes implique obligatoirement que le compte de service dispose de droits d'administration sur l'instance distante. De telles autorisations sont octroyées sur l'instance Analysis Services distante, au moyen de rôles qui associent les opérations autorisées à un objet spécifique. Pour plus d'informations sur les partitions distantes, consultez Créer et gérer une partition distante (Analysis Services). Pour obtenir des instructions sur les droits d'administration, consultez Octroyer des autorisations d'administration de serveur (Analysis Services).

Écriture différée

Lorsqu'elle est activée dans les applications clientes, l'écriture différée est une fonctionnalité des modèles multidimensionnels qui permet la création de nouvelles valeurs de données au cours de l'analyse des données. Si l'écriture différée est activée dans une dimension ou un cube, le compte de service Analysis Services doit disposer d'autorisations d'écriture dans la table d'écriture différée de la base de données relationnelle SQL Server source. Si cette table n'existe pas et doit être créée, le compte de service Analysis Services doit également disposer des autorisations lui permettant de créer la table dans la base de données SQL Server définie.

Écrivez dans une table du journal des requêtes d'une base de données relationnelle SQL Server

Activez la journalisation des requêtes afin de recueillir des données d'utilisation dans une table de base de données, en vue d'une analyse ultérieure. Le compte de service Analysis Services doit disposer d'autorisations d'écriture dans la table du journal des requêtes dans la base de données SQL Server définie. Si la table n'existe pas et doit être créée, le compte d'ouverture de session Analysis Services doit également disposer des autorisations lui permettant de créer la table dans la base de données SQL Server définie. Pour plus d'informations, consultez Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) et Query Logging in Analysis Services (Blog) (en anglais).

Le programme d'installation de SQL Server affecte le privilège Ouvrir une session en tant que service (SeServiceLogonRight) au compte désigné. Pour les serveurs s'exécutant en mode multidimensionnel et en mode d'exploration de données, il s'agit du seul privilège Windows requis par le compte de service Analysis Services.

Les instances en mode tabulaire ont une exigence supplémentaire au niveau du privilège Augmenter une plage de travail de processus (SeIncreaseWorkingSetPrivilege) sur le compte de service. Par défaut, ce privilège est à la disposition de tous les utilisateurs. Toutefois, s'il manque, le service peut ne pas démarrer et générer l'erreur suivante : « Le client ne dispose pas d'un privilège nécessaire. »

Pour vérifier ou modifier les paramètres de compte, exécutez GPEDIT.msc | Stratégie de l'ordinateur local | Configuration ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies locales | Attribution des droits utilisateur pour vérifier les autorisations octroyées aux comptes sur le système local. Pour vérifier les privilèges du compte de service, recherchez les attributions sur SQLServerMSASUser.

Remarque Remarque

Les versions antérieures du programme d'installation ajoutaient par inadvertance le compte de service Analysis Services au groupe Utilisateurs du journal des performances. Bien que ce problème ait été résolu, il est possible que des installations existantes présentent cette appartenance de groupe superflue. Comme le compte de service Analysis Services ne nécessite aucune appartenance au groupe Utilisateurs du journal des performances, vous pouvez le supprimer du groupe.

Remarque Remarque

Consultez Configurer les comptes de service Windows et les autorisations pour obtenir une liste des autorisations associées à chaque dossier de programme.

Consultez Configurer l'accès HTTP à Analysis Services sur Internet Information Services (IIS) 7.0 pour obtenir des informations sur les autorisations de fichiers liées à la configuration IIS et à Analysis Services.

Toutes les autorisations requises pour les opérations de serveur, y compris les autorisations du système de fichiers nécessaires pour charger et décharger des bases de données depuis un dossier de données défini, sont attribuées par le programme d'installation de SQL Server lors de l'installation, ou par un outil SQL Server (tel que le Gestionnaire de configuration SQL Server ou SQL Server Management Studio) lorsque vous mettez à jour les emplacements des dossiers de la base de données ou du compte. Préserver la validité des affectations d'autorisation constitue l'une des raisons les plus importantes qui justifient l'utilisation systématique d'outils SQL Server pour modifier la configuration du serveur.

Il existe quelques différences mineures dans la manière dont le programme d'installation de SQL Server attribue les autorisations du système de fichiers à Analysis Services, par comparaison à d'autres services. Savoir comment Analysis Services obtient les autorisations du système de fichiers peut s'avérer utile lors du dépannage de problèmes de configuration du système qui se produisent au cours de mises à jour, de l'installation, de la mise à niveau ou de la migration de comptes.

L'instance Analysis Services obtient des autorisations d'un groupe de sécurité local créé par le programme d'installation de SQL Server, soit SQLServerMSASUser$MSSQLSERVER pour l'instance par défaut, soit SQLServerMSASUser$<nom_serveur>$<nom_instance> pour une instance nommée. Le programme d'installation configure ce groupe de sécurité avec les autorisations requises pour effectuer les opérations du serveur. Si vous vérifiez les autorisations de sécurité dans le répertoire \MSAS12.MSSQLSERVER\OLAP\BIN, vous verrez que le groupe de sécurité (et non le compte de service ou son SID par service) est le détenteur des autorisations sur ce répertoire.

Le groupe de sécurité contient un membre uniquement : l'identificateur de sécurité (SID) par service du compte de démarrage de l'instance Analysis Services. Le programme d'installation place le SID associé au compte dans le groupe de sécurité local. L'utilisation d'un groupe de sécurité, avec appartenance au SID, représente une différence certes infime, mais néanmoins notable, dans la manière dont Analysis Services détermine l'appartenance d'autorisations.

Remarque Remarque

Chaque compte Windows dispose d'un SID associé, mais les services peuvent également avoir un SID. Le SID est créé en tant qu'élément permanent et unique du compte ou du service, ce qui permet de changer arbitrairement le nom plus largement visible, sans affecter l'appartenance d'autorisations. Étant donné que le SID est immuable, il convient parfaitement à une utilisation dans les listes de contrôle d'accès (ACL). Les listes de contrôle d'accès (ACL) créées lors de l'installation d'un service peuvent être utilisées indéfiniment, quels que soient les changements apportés au nom du compte. Par mesure de sécurité supplémentaire, les listes de contrôle d'accès (ACL) qui spécifient des autorisations via un SID garantissent que les exécutables de programme et les dossiers de données ne sont accessibles que par une seule instance d'un service, même si d'autres services s'exécutent sous le même compte.

Un SID par service est créé lors de la configuration d'une instance de service spécifique et ne change pas lorsque le nom du compte est modifié. Supposons, par exemple, que vous ayez installé deux instances d'Analysis Services, une instance par défaut et une instance nommée, les deux s'exécutant sous le même compte d'utilisateur Windows. Chaque instance de service aura un SID par service unique, lequel est également distinct du SID du compte d'utilisateur.

Vous pouvez utiliser l'outil en ligne de commande Contrôle du service (sc.exe) pour voir chaque SID. Les exemples suivants montrent la syntaxe Contrôle du service (SC) qui retourne le SID d'un compte d'utilisateur Windows nommé 'contoso\ssas-svc', une instance par défaut et une instance nommée appelée 'Tabular' :

  • SC showsid contoso\ssas-svc

  • SC showsid MSSqlServerOlapService

  • SC showsid MSOlap$Tabular

Si vous avez exécuté ces commandes pour des instances de service et des comptes valides sur votre ordinateur, vous constaterez des SID uniques pour chacun d'entre eux, même si ces deux services s'exécutent sous le compte 'contoso\ssas-svc'. Si, par la suite, vous changez le compte de service qui exécute chaque service, vous noterez que le SID par service reste identique.

Remarque Remarque

Ne supprimez ni ne modifiez jamais un SID. Pour restaurer un SID par service qui a été supprimé par mégarde, consultez la page http://support.microsoft.com/kb/2620201.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft