내보내기(0) 인쇄
모두 확장
이 문서는 수동으로 번역한 것입니다. 원본 텍스트를 보려면 포인터를 문서의 문장 위로 올리십시오. 추가 정보
번역
원본

서비스 계정 구성(Analysis Services)

계정 프로비전은 Analysis Services를 비롯한 모든 SQL Server 서비스에 대한 포괄적인 서비스 계정 정보를 제공하는 항목인 Windows 서비스 계정 및 권한 구성에 자세히 설명되어 있습니다. 여기에서 유효한 계정 유형, 할당된 Windows 권한, 파일 시스템 권한, 레지스트리 권한 등에 대해 알아볼 수 있습니다.

이 항목에서는 특히 작업이 서비스 계정에 대한 추가 권한 요구 사항을 부여하는 경우 Analysis Services 서비스 계정이 사용되는 방식과 Analysis Services 서비스 계정 프로비전이 다른 SQL Server 기능의 서비스 계정 프로비전과 어떻게 다른지에 대해 자세히 알아볼 수 있습니다. 이 항목에는 다음과 같은 섹션이 포함되어 있습니다.

Kerberos를 사용하도록 도메인이 구성된 경우 Analysis Services 인스턴스 및 서비스 계정에 대한 SPN(서비스 사용자 이름)을 등록하는 것이 좋습니다. 이 태스크를 수행하여 더블홉 시나리오에서 통과 인증을 사용하도록 설정할 수 있습니다. 자세한 내용은 Kerberos 제한된 위임에 대해 Analysis Services 구성을 참조하십시오.

Analysis Services는 Analysis Services를 시작하는 데 사용되는 서비스 계정의 보안 컨텍스트에서 일부 태스크를 실행하고 태스크를 요청하는 사용자의 보안 컨텍스트에서 나머지 태스크를 실행합니다.

다음 표에서는 서비스 계정으로 실행되는 태스크를 지원하는 데 필요한 추가 권한에 대해 설명합니다.

서버 작업

기타 고려 사항

외부 관계형 데이터 원본에 대한 원격 액세스

처리는 외부 데이터 원본(일반적으로 관계형 데이터베이스)에서 데이터를 검색하는 단계를 의미합니다. 검색된 데이터는 이후에 Analysis Services 데이터베이스에 로드됩니다. 외부 데이터를 검색하기 위한 자격 증명 옵션 중 하나는 서비스 계정을 사용하는 것입니다. 이 자격 증명 옵션은 서비스 계정에 대한 데이터베이스 로그인을 만들고 원본 데이터베이스에 대한 읽기 권한을 부여하는 경우에만 작동합니다. 서비스 계정 옵션이 이 태스크에 사용되는 방식에 대한 자세한 내용은 가장 옵션 설정(SSAS - 다차원)을 참조하십시오. 이와 마찬가지로 ROLAP가 저장소 모드로 사용되는 경우 동일한 가장 옵션을 사용할 수 있습니다. 이 경우에는 계정에 원본 데이터에 대한 쓰기 권한도 있어야 ROLAP 파티션 처리(집계 저장)가 가능합니다.

DirectQuery

DirectQuery는 테이블 형식 모델에 들어가기에는 너무 크거나 기본 메모리 내 저장소 옵션보다 DirectQuery를 적합하게 만드는 다른 특징이 있는 외부 데이터 집합을 쿼리하는 데 사용되는 테이블 형식 기능입니다. DirectQuery 모드에서 사용할 수 있는 연결 옵션 중 하나는 서비스 계정을 사용하는 것입니다. 이 옵션도 서비스 계정에 대상 데이터 원본에 대한 읽기 권한 및 데이터베이스 로그인이 있는 경우에만 작동합니다. 서비스 계정 옵션이 이 태스크에 사용되는 방식에 대한 자세한 내용은 가장 옵션 설정(SSAS - 다차원)을 참조하십시오. 또는 현재 사용자의 자격 증명을 사용하여 데이터를 검색할 수 있습니다. 대부분의 경우 이 옵션은 더블홉 연결을 필요로 하므로 서비스 계정이 다운스트림 서버에 ID를 위임할 수 있도록 Kerberos 제한 위임에 대한 서비스 계정을 구성해야 합니다. 자세한 내용은 Kerberos 제한된 위임에 대해 Analysis Services 구성을 참조하십시오.

다른 SSAS 인스턴스에 대한 원격 액세스

원격 파티션 및 다른 원격 Analysis Services 인스턴스의 연결된 개체 참조는 원격 컴퓨터 또는 장치에 대한 권한이 필요한 시스템 기능입니다. 사용자가 원격 파티션을 만들고 채우거나 연결된 개체를 설정할 때 해당 작업은 현재 사용자의 보안 컨텍스트에서 실행됩니다. 이후에 이러한 작업을 자동화하는 경우 Analysis Services는 서비스 계정의 보안 컨텍스트에서 원격 인스턴스에 액세스합니다. 원격 Analysis Services 인스턴스의 연결된 개체에 액세스하려면 로그온 계정이 특정 차원에 대한 읽기 권한과 같이 원격 인스턴스의 해당 개체를 읽을 수 있는 권한을 가져야 합니다. 이와 마찬가지로 원격 파티션을 사용하려면 서비스 계정에 원격 인스턴스에 대한 관리 권한이 있어야 합니다. 이러한 권한은 허용된 작업을 특정 개체와 연결하는 역할을 사용하여 원격 Analysis Services 인스턴스에 대해 부여됩니다. 원격 파티션에 대한 자세한 내용은 원격 파티션 만들기 및 관리(Analysis Services)를 참조하십시오. 관리 권한에 대한 지침은 서버 관리자 권한 부여(Analysis Services)를 참조하십시오.

쓰기 저장(writeback)

클라이언트 응용 프로그램에서 사용되는 경우 쓰기 저장은 데이터 분석 중에 새로운 데이터 값을 만들 수 있도록 허용하는 다차원 모델의 기능입니다. 차원이나 큐브 내에서 쓰기 저장이 사용되는 경우 Analysis Services 서비스 계정은 원본 SQL Server 관계형 데이터베이스에서 쓰기 저장 테이블에 대한 쓰기 권한을 가져야 합니다. 이 테이블이 없어서 새로 만들어야 하는 경우에는 Analysis Services 서비스 계정이 지정된 SQL Server 데이터베이스 내에서 CREATE TABLE 권한도 가져야 합니다.

SQL Server 관계형 데이터베이스의 쿼리 로그 테이블에 쓰기

이후 분석을 위해 데이터베이스 테이블에서 사용 현황 데이터를 수집하기 위해 쿼리 로깅을 사용하도록 설정할 수 있습니다. Analysis Services 서비스 계정은 지정된 SQL Server 데이터베이스에서 쿼리 로그 테이블에 대한 쓰기 권한을 가져야 합니다. 이 테이블이 없어서 새로 만들어야 하는 경우에는 Analysis Services 로그온 계정이 지정된 SQL Server 데이터베이스 내에서 CREATE TABLE 권한도 가져야 합니다. 자세한 내용은 사용 빈도 기반 최적화 마법사를 사용하여 SQL Server Analysis Services 성능 향상(블로그)Analysis Services의 쿼리 로깅(블로그)을 참조하십시오.

SQL Server 설치 프로그램은 서비스로 로그온(SeServiceLogonRight) 권한을 지정된 계정에 할당합니다. 다차원 및 데이터 마이닝 모드에서 실행 중인 서버의 경우 Analysis Services 서비스 계정에서 필요한 유일한 Windows 권한입니다.

테이블 형식 모드 인스턴스에는 서비스 계정에 대한 프로세스 작업 집합 증가(SeIncreaseWorkingSetPrivilege) 권한의 추가 요구 사항이 있습니다. 이 권한은 기본적으로 모든 사용자가 사용할 수 있습니다. 그러나 권한이 없는 경우 서비스가 시작되지 않을 수 있으며 다음과 같은 오류가 기록됩니다. "클라이언트에 필수 권한이 없습니다."

계정 설정을 확인하거나 수정하려면 GPEDIT.msc | 로컬 컴퓨터 정책 | 컴퓨터 구성 | Windows 설정 | 보안 설정 | 로컬 정책 | 사용자 권한 할당을 실행하여 로컬 시스템의 계정에 부여된 권한을 확인할 수 있습니다. 서비스 계정 권한을 확인하려면 SQLServerMSASUser에서 할당을 찾아보십시오.

참고 참고

이전 버전의 설치 프로그램은 Analysis Services 서비스 계정을 Performance Log Users 그룹에 잘못 추가했습니다. 이 결함이 해결되었지만 기존 설치에는 이 불필요한 그룹 멤버 자격이 있을 수도 있습니다. Analysis Services 서비스 계정에 Performance Log Users 그룹의 멤버 자격이 필요하지 않기 때문에 이 그룹에서 서비스 계정을 제거할 수 있습니다.

참고 참고

각 프로그램 폴더와 관련된 권한 목록은 Windows 서비스 계정 및 권한 구성을 참조하십시오.

IIS 구성 및 Analysis Services와 관련된 파일 권한 정보는 IIS(인터넷 정보 서비스) 7.0에서 Analysis Services에 대한 HTTP 액세스 구성을 참조하십시오.

지정된 데이터 폴더에서 데이터베이스를 로드하고 언로드하는 데 필요한 파일 시스템 권한을 비롯하여 서버 작업에 필요한 모든 권한은 설치 중에 SQL Server 설치 프로그램에서 할당되거나, 계정이나 데이터베이스 폴더 위치를 업데이트할 때 SQL Server 도구(SQL Server 구성 관리자 또는 SQL Server Management Studio 등)에서 할당됩니다. 권한 할당의 유효성을 유지 관리해야 하기 때문에 항상 SQL Server 도구를 사용하여 서버 구성을 수정해야 합니다.

SQL Server 설치 프로그램에서 Analysis Services에 파일 시스템 권한을 할당하는 방식은 다른 서비스와 비교할 때 사소한 몇 가지 차이점이 있습니다. Analysis Services에서 파일 시스템 권한을 얻는 방식을 알고 있으면 계정 업데이트, 설치, 업그레이드 또는 마이그레이션 중에 발생하는 시스템 구성 문제를 해결할 때 도움이 될 수 있습니다.

Analysis Services 인스턴스는 SQL Server 설치 프로그램에서 만든 로컬 보안 그룹(기본 인스턴스의 경우 SQLServerMSASUser$MSSQLSERVER, 명명된 인스턴스의 경우 SQLServerMSASUser$<servername>$<instancename>)에서 권한을 얻습니다. 설치 프로그램은 서버 작업을 수행하는 데 필요한 권한으로 이 보안 그룹을 프로비전합니다. \MSAS12.MSSQLSERVER\OLAP\BIN 디렉터리에서 보안 권한을 확인하면 보안 그룹(서비스 계정 또는 서비스별 SID가 아님)이 해당 디렉터리에 대한 권한 보유지임을 알 수 있습니다.

보안 그룹에는 Analysis Services 인스턴스 시작 계정의 서비스별 SID(보안 식별자)만 멤버로 포함되어 있습니다. 설치 프로그램은 계정과 연결된 SID를 로컬 보안 그룹에 배치합니다. SID 멤버 자격을 사용하여 보안 그룹을 사용하는 것은 Analysis Services에서 권한 소유권을 확인하는 방식의 작지만 눈에 띄는 차이점입니다.

참고 참고

모든 Windows 계정에는 SID가 연결되어 있지만 서비스에도 SID가 있을 수 있습니다. SID는 계정이나 서비스의 고유한 영구적 부분으로 만들어지므로 보다 널리 표시되는 이름이 권한 소유권에 영향을 주지 않고 임의로 변경될 수 있습니다. SID는 변경할 수 없기 때문에 ACL에서 사용하기에 매우 적합합니다. 서비스 설치 중에 만들어진 ACL은 계정 이름의 변경에 관계없이 무한정 사용할 수 있습니다. 추가된 보안 조치로, SID를 통해 권한을 지정하는 ACL은 다른 서비스가 동일한 계정에서 실행되더라도 프로그램 실행 파일 및 데이터 폴더가 서비스의 단일 인스턴스에서만 액세스되도록 합니다.

서비스별 SID는 특정 서비스 인스턴스의 설치 중에 만들어지며 계정 이름이 변경될 때 변경되지 않습니다. 예를 들어 Analysis Services 인스턴스를 두 개 설치한 경우, 기본 인스턴스와 명명된 인스턴스가 동일한 Windows 사용자 계정에서 실행되면 각 서비스 인스턴스가 고유한 서비스별 SID를 갖게 되며 이 SID는 사용자 계정의 SID와도 다릅니다.

서비스 제어 명령줄 도구(sc.exe)를 사용하여 각 SID를 볼 수 있습니다. 다음 예에서는 'contoso\ssas-svc'라는 Windows 사용자 계정의 SID, 기본 인스턴스 및 'Tabular'라는 명명된 인스턴스를 반환하는 SC 구문을 보여 줍니다.

  • SC showsid contoso\ssas-svc

  • SC showsid MSSqlServerOlapService

  • SC showsid MSOlap$Tabular

컴퓨터에서 유효한 계정과 서비스 인스턴스에 대해 이러한 명령을 실행하면 두 서비스가 모두 'contoso\ssas-svc' 계정에서 실행되더라도 각 서비스에 대한 고유한 SID를 확인할 수 있습니다. 이후에 서비스 중 하나를 실행하는 서비스 계정을 변경하는 경우 서비스별 SID가 동일하게 유지됩니다.

참고 참고

SID를 제거하거나 수정하지 마십시오. 잘못 삭제된 서비스별 SID를 복원하려면 http://support.microsoft.com/kb/2620201을 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft