选择服务帐户

使用专用域用户帐户作为登录帐户

域用户帐户是指在 Active Directory 目录服务中创建的用户帐户。 该帐户是域中 Authenticated Users 组的成员。 在域用户帐户的安全上下文中运行的服务向远程服务器提供域用户帐户的 Kerberos 票证。 在域用户帐户的安全上下文中运行的服务可以访问经过身份验证的用户或特定用户帐户有权访问的远程服务器上的资源。

使用本地用户帐户作为登录帐户

本地用户帐户是指在本地计算机上创建的 Windows 用户帐户。 在本地用户帐户的安全上下文中运行的服务向远程服务器提供本地用户帐户的访问标记。 如果在远程服务器上配置了匹配用户名和密码，则使用本地用户帐户的服务将能够访问同名帐户有权访问的远程服务器上的资源。 虽然此方案行之有效，但是维护这些单独的帐户并保持帐户密码同步将增加管理开销。

使用其他帐户作为登录帐户

除了专用域用户帐户和本地用户帐户之外，您还可以在下列帐户的上下文中运行 Analysis Services 实例：

• 本地系统
  该帐户是对本地计算机具有管理员权限的预定义本地帐户。 在本地系统帐户的安全上下文中运行的服务向远程服务器提供本地计算机的凭据。 在本地系统帐户的安全上下文中运行的服务不能建立身份验证会话，因为本地系统帐户不属于域中的 Everyone 组。 因此，使用该帐户的服务只能通过空会话来访问网络资源。

• LocalService
  这是一个预定义的本地帐户。该帐户对本地计算机的用户权限已通过身份验证。 在 LocalService 帐户的安全上下文中运行的服务向远程服务器提供匿名凭据。 因此，使用该帐户的服务只能访问允许匿名访问的网络资源。

• NetworkService
  这是一个预定义的本地帐户。该帐户对本地计算机的用户权限已通过身份验证。在 NetworkService 帐户的安全上下文中运行的服务作为经过身份验证的用户（即属于域中 Everyone 组成员的用户）向远程服务器提供本地计算机的凭据。 因此，使用该帐户的服务可以访问经过身份验证的用户有权访问的远程服务器上的资源。 若要启用使用该帐户的服务以访问远程资源，您可以专门将运行 Analysis Services 的服务器的名称添加到远程资源。

对于上面列表中的帐户或者其他任何帐户，最佳安全实践是在具有最小可能权限的帐户的安全上下文中运行 Analysis Services。 本地系统帐户适用于开发环境，但是不建议将该管理帐户用于生产环境，因为该帐户具有太多的权限。 也不建议使用 LocalService 和 NetworkService 帐户。 虽然 LocalService 和 NetworkService 帐户被设计为用作具有最小权限的服务登录帐户，但是不建议将这两个帐户用于 Analysis Services，因为 Analysis Services 登录帐户可对加密的 Analysis Services 连接字符串和密码进行解密。 这意味着与 Analysis Services 使用相同登录帐户运行的其他 Windows 服务可对这些连接字符串和密码进行解密。

指定 Analysis Services 登录帐户

决定要使用何种登录帐户上下文之后，便可在设置期间在“服务帐户”页上指定登录帐户。 设置过程为指定登录帐户授予针对本地计算机的所有必需的权限，这些权限包括：

• 跳过遍历检查

• 标记对象创建

• 安全审核生成

• 锁定内存中的页

• 替换进程级别标记

Analysis Services 登录帐户还被授予对 Analysis Services 实例中的所有文件具有 NTFS 完全控制权限。 必须专门授予登录帐户针对远程服务器的必需权限（如对数据源的权限）。

注意
虽然 Analysis Services 登录帐户对 Analysis Services 实例中的所有文件具有完全控制权限，但是该登录帐户无权登录到 Analysis Services 实例。

请参阅

概念