Berechtigungen und Zugriffsrechte (SSAS)

  • Artikel

Aktualisiert: 12. Dezember 2006

In Microsoft können Administratoren mithilfe von Rollen Sicherheitsstufen für Objekte in einer Analysis Services-Datenbank für verschiedene Windows-Benutzer und Windows-Gruppen definieren. Jedem Objekt kann pro Rolle eine einzelne Berechtigung zugeordnet werden. Dabei kann für jede Berechtigung mindestens ein Zugriffsrecht zugeordnet werden. Zusätzlich kann einem Windows-Benutzer bzw. einer Windows-Gruppe mehr als eine Analysis Services-Rolle zugewiesen werden. Dies ermöglicht Ihnen das Kombinieren von Berechtigungen und Zugriffsrechten für komplexe Sicherheitsmodelle in Business Intelligence-Anwendungen.

Zugriffsrechte

In der folgenden Tabelle werden die in Berechtigungen verfügbaren Zugriffsrechte beschrieben, die in Analysis Services-Datenbanken enthaltenen Objekten zugeordnet sind.

Zugriffsrecht Beschreibung

Access

Ermöglicht das Zugreifen auf Metadaten eines Objekts. Die folgenden Zugriffsarten werden unterstützt:

  • None verweigert den Zugriff auf das Objekt.
  • Read ermöglicht Mitgliedern der Rolle, das Objekt zu lesen.
  • ReadContingent ermöglicht Mitgliedern der Rolle das Lesen eines Zellenwertes. Dies gilt nur dann, wenn der Benutzer auf alle Zellen zugreifen kann, von denen der Wert abgeleitet ist. ReadContingent stellt den Read-Zugriff für alle von dieser Berechtigung angegebenen Zellen bereit, die nicht von anderen Zellen abgeleitet sind.
    Ein Benutzer kann beispielsweise die Profit-Zelle nur lesen, wenn der Zellenzugriff sowohl für die Sales- als auch für die Costs-Zellen auf Read (bzw. auf Write) festgelegt ist, wobei der Wert der Profit-Zelle vom Wert der Sales-Zelle abzüglich des Costs-Zellenwertes berechnet wird.
  • ReadWrite ermöglicht den Mitgliedern der Rolle den Lese- und Schreibzugriff für das Objekt.

Administer

Zeigt an, ob Mitglieder der Rollen das Objekt verwalten dürfen.

Die Administer-Berechtigung erteilt Mitgliedern der Rolle kompletten Zugriff auf die im Objekt enthaltenen Objekte.

AllowBrowsing

Ermöglicht Mitgliedern der Rolle das Durchsuchen der Daten eines Miningmodells.

AllowDrillthrough

Erteilt Mitgliedern der Rolle die Berechtigung, einen Drillthrough von einem Miningmodell zu den zugrunde liegenden Daten auszuführen.

AllowedSet

Die AllowedSet-Berechtigung definiert die Elemente eines Attributs, die ein Mitglied der Rolle anzeigen kann. Wenn beispielsweise die in [Customer].[CountryRegion] zulässige Menge {Canada} lautet, so haben die Mitglieder der Rolle Zugriff auf alle Bundesländer und Orte von Kanada.

In einer Parent-Child-Hierarchie werden die zulässigen Elemente durch die Menge definiert, plus der Menge der Vorgänger der Parent-Child-Hierarchie, die für diese Elemente vorhanden ist. Wenn ein Element einer Parent-Child-Hierarchie nicht in einer zulässigen Menge enthalten ist, wird die Rolle den untergeordneten Elemente dieser Hierarchie nicht zugeordnet. Die Datenelemente sind hiervon nicht betroffen. Der Zugriff auf die Datenelemente ist weiterhin möglich, da sie zum Schlüsselattribut der Dimension gehören.

Wenn für die AllowedSet-Berechtigung keine Menge definiert wird, besteht der Standard aus der Menge aller Attributelemente.

AllowPredict

Die Vorhersageberechtigung für ein Miningmodell erteilt Mitgliedern der Rolle die Berechtigung, auf Basis des Miningmodells Vorhersagen auszuführen.

ApplyDenied

Bestimmt, ob Elemente dieses Attributs, die mit anderen explizit verweigerten Elementen vorhanden sind, nicht angezeigt werden können.

DefaultMember

Die DefaultMember-Berechtigung definiert das Standardelement der Dimension. Das Standardelement beeinflusst die Datasets, die von Abfragen in Cubes zurückgegeben werden, die diese Dimension enthalten. Wenn die Dimension nicht auf einer Achse angezeigt wird, wird das Dataset standardmäßig mit dem Standardelement gefiltert (d. h. in Slices aufgeteilt).

DeniedSet

Die DeniedSet-Berechtigung definiert die Elemente eines Attributs, die ein Mitglied der Rolle nicht anzeigen kann.

IsAllowed

Bestimmt, ob einem beliebigen Element des Attributs der Zugriff gewährt wird, unabhängig von den Einstellungen einer auf dem Attribut basierten Ebene.

Wenn die IsAllowed-Eigenschaft für das Granularitätsattribut einer Dimension auf den Wert False festgelegt ist, ergeben sich für alle Elemente NULL-Werte beim Festlegen von VisualTotals in einem Dimensionsattribut. Wenn bei unären Operatoren VisualTotals auf den Wert False festgelegt ist, stellt jedes Element die Zusammenfassung der jeweils ihm untergeordneten Elemente dar. Wenn VisualTotals auf den Wert True festgelegt ist, stellt jedes Element die Zusammenfassung aller zulässigen untergeordneten Elemente dar.

Der Standardwert dieser Eigenschaftseinstellung ist True.

Process

Die Process-Berechtigung für ein Objekt erteilt Mitgliedern der Rolle die Berechtigung, das Objekt zu verarbeiten. Mit dieser Berechtigung wird auch die Berechtigung zum Verarbeiten aller untergeordneten Objekte innerhalb des Objekts erteilt, es sei denn, diese Berechtigung wird für ein untergeordnetes Objekt explizit verweigert. Die Process-Berechtigung erteilt Mitgliedern der Rolle nicht den Zugriff auf die Daten oder Metadaten des Objekts.

ReadDefinition

Zeigt an, ob Mitglieder der Rolle die Metadaten, die das Berechtigungsobjekt definieren, lesen dürfen. Diese Eigenschaftseinstellung wird von den im Objekt enthaltenen Objekten geerbt.

VisualTotals

Die VisualTotals-Berechtigung für Dimensionsdaten definiert die Aggregation von Daten in Attributen. Hierbei handelt es sich um einen MDX-Ausdruck (Multidimensional Expression), der den Wert True oder False zurückgibt. Wenn VisualTotals auf den Wert False festgelegt ist, werden die Daten auf allen Elementen der Attribute der Dimension aggregiert, unabhängig davon, ob sie von Mitgliedern der Rolle angezeigt werden können. Wenn VisualTotals auf den Wert True festgelegt ist, werden die Daten nur für die Elemente des Granularitätsattributs der Dimension aggregiert, auf die die Rolle Lesezugriff hat. Wenn beispielsweise Customer Name das Granularitätsattribut ist, und VisualTotals ist im City-Attribut auf True festgelegt, dann stellt jeder Ort die Aggregation der Daten für die Kunden dar, auf die die Rolle Lesezugriff hat.

Die Standardeinstellung ist False.

Berechtigungen

In der folgenden Tabelle werden die in einer Analysis Services-Datenbank verfügbaren Berechtigungen sowie die in den jeweiligen Berechtigungen verwalteten Zugriffsrechte beschrieben.

Berechtigung Zugriffsberechtigungen

Datenbank

Der Datenbankzugriff definiert den Zugriff auf die Objekte und Daten in einer Analysis Services-Datenbank.

Die folgenden Zugriffsrechte sind verfügbar:

  • Administer
  • Process
  • Read Definition

Datenquelle

Der Datenquellenzugriff definiert den Zugriff auf Datenquellen in einer Analysis Services-Datenbank.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access
    (None oder Read)
  • Read Definition

Cube

Eine Cuberolle wird auf der Cubeebene erstellt, wenn eine Datenbankrolle einem Cube zugewiesen wird, und bezieht sich nur auf diesen Cube. Standardeinstellungen in einer Cuberolle werden von der Datenbankrolle mit demselben Namen abgeleitet, jedoch können einige Standardeinstellungen in der Cuberolle außer Kraft gesetzt werden. Eine Cuberolle enthält zusätzliche Optionen, wie z. B. Zellensicherheit, die nicht in einer Datenbankrolle enthalten sind. Sie können beim Erteilen von Lese- und Lese-/Schreibzugriff auf Cubeabschnitte sehr flexibel sein. Sie können angeben, welche Dimensionselemente und Cubezellen von einer Rolle angezeigt und aktualisiert werden können.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access
    (None, Read oder Read/Write)
  • LocalCube/DrillthroughAccess
    (None, Drillthrough/Drillthrough and Local Cube)
  • Process

Zelle

Der Zellendatenzugriff definiert den Zugriff auf die Zellen eines Cubes. Die folgenden drei Arten des Zugriffs auf die Zellen eines Cubes sind verfügbar:

  • Read
  • Read Contingent
  • Read/Write

Die Zellensicherheit in einem Cube wird für jede Art des Zellenzugriffs mithilfe eines MDX-Ausdrucks definiert, der für jede Cubezelle in den Wert True oder False aufgelöst wird. Jeder Wert, der in einem numerischen Ausdruck ungleich 0 ist, wird als True ausgewertet. Der Wert 0 wird hingegen als False ausgewertet. Der Zugriff wird gewährt, wenn ein Ausdruck in True aufgelöst wird. Wird ein Ausdruck in False aufgelöst, wird der Zugriff verweigert.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access
    (None, Read, Read Contingent oderRead/Write)

Dimension

Die Eigenschaften des Dimensionszugriffs definieren den Zugriff auf die Datenbankdimensionen in einer Datenbank, unabhängig von ihrer Beteiligung an Cubes. Der Dimensionszugriff ermöglicht Benutzern, die Mitglieder einer Rolle sind, eine Dimension in Clientanwendungen zu durchsuchen. Es können ebenfalls Cubedimensionsberechtigungen angegeben werden, die die Datenbank-Zugriffsberechtigungen für eine Rolle außer Kraft setzen, wenn in einem bestimmten Cube auf eine Dimension zugegriffen wird.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access
    (Read oder Read/Write)
  • Process
  • Read Definition

Attribut

Der Dimensionsdatenzugriff steuert, auf welche Dimensionsattribute von Mitgliedern einer Rolle zugegriffen werden kann. Das Gewähren oder Verweigern des Zugriffs auf ein Attribut definiert den Zugriff auf die Ebenen in den Dimensionshierarchien, die auf diesem Attribut basieren. Wenn einer Rolle der Zugriff auf ein Attribut verweigert wird, dann wird der Zugriff auf allen vom Attribut abgeleiteten Ebenen verweigert.

Wenn durch das Verweigern des Zugriffs auf ein Attribut eine Lücke in einer Hierarchie erstellt wird, dann wird die gesamte Hierarchie für ungültig erklärt. Des Weiteren ist der Zugriff für die Mitglieder der Rolle auf die Hierarchie nicht länger möglich. Beispielsweise stellen in der Hierarchie CountryRegion-State-City-Name die State- und Nameebenen keine zusammenhängenden Ebenen der Hierarchie dar. Durch das Verweigern des Zugriffs auf das City-Attribut entsteht daher eine Lücke, wodurch die Hierarchie ungültig wird. Durch das Verweigern des Zugriffs auf das CountryRegion-Attribut entsteht hingegen keine Lücke. Die Hierarchie State-City-Name ist somit weiterhin als zusammenhängende Ebene gültig. Entsprechend ist durch das Verweigern des Zugriffs auf das Name-Attribut die Hierarchie CountryRegion-State-City weiterhin gültig.

Wenn Sie Mitgliedern einer Rolle den Zugriff auf ein Attribut gewähren, haben Sie die Möglichkeit, den Zugriff auf ausgewählte Elemente des Attributs zu gewähren oder zu verweigern.

Die folgenden Zugriffsrechte sind verfügbar:

  • Allowed Set
  • Default Member1
  • Denied Set
  • VisualTotals

Miningstruktur

Der Miningstrukturzugriff bestimmt die Berechtigungen für Miningstrukturen sowie für Miningmodelle und Miningmodelldaten.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access
    (None oder Read)
  • Process
  • Read Definition

Miningmodell

Der Miningstrukturzugriff bestimmt die Berechtigungen für Miningstrukturen sowie für Miningmodelle und Miningmodelldaten.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access
    (None, Read oder Read/Write)
  • Browse
  • Drill Through
  • Read Definition

1 Das DefaultMember-Zugriffsrecht definiert die Standardelemente der Dimension. Weitere Informationen finden Sie unter Definieren eines Standardelements.

Berechtigungen und Vererbung

Wenn in einem Objekt andere Objekte enthalten sind, wie z. B. Cubes oder Dimensionen einer Datenbank, werden die Administer-, Process- und ReadDefinition-Berechtigungen des übergeordneten Objekts von den untergeordneten Objekten geerbt.

Berechtigung Vererbung

Administer

Mitglieder der Analysis Services-Serverrolle verfügen über die Berechtigung zum Verwalten eines Servers und haben daher ebenfalls den vollständigen Zugriff auf alle auf dem Server vorhandenen Objekte. Mitgliedern einer Analysis Services-Datenbankrolle, denen die Berechtigung zum Verwalten einer Datenbank gewährt wird, haben den vollständigen Zugriff auf alle in der Datenbank enthaltenen Objekte.

Process

Die Process-Einstellung in einem Objekt gilt standardmäßig für alle untergeordneten Objekte. Diese Eigenschaft kann ebenfalls für ein untergeordnetes Objekt festgelegt werden, um die vom übergeordneten Objekt geerbte Berechtigung außer Kraft zu setzen.

  • Wenn einem Benutzer die Berechtigung zum Verarbeiten eines Cubes, jedoch nicht zum Verarbeiten einer im Cube enthaltenen Dimension gewährt wird, kann der Benutzer den Cube nur dann erfolgreich verarbeiten, wenn die Dimension bereits verarbeitet wird.
  • Wenn ein Benutzer eine Datenbank verarbeitet, werden nur die Cubes und Dimensionen in der Datenbank verarbeitet, für die der Benutzer die Berechtigung zum Verarbeiten besitzt.

Read Definition

Die Read Definition-Eigenschaftseinstellung in einem Objekt wird standardmäßig von allen untergeordneten Objekten geerbt. Diese Eigenschaft kann ebenfalls für ein untergeordnetes Objekt festgelegt werden, um die vom übergeordneten Objekt geerbte Berechtigung außer Kraft zu setzen.

Mehrere Rollen und Berechtigungen

Ein Benutzer kann mehreren Rollen einer Analysis Services-Datenbank angehören. Berechtigungen über mehrere Rollen hinweg sind additiv. Ein Mitglied einer Rolle kann auf ein Objekt zugreifen, wenn die Rolle den Zugriff auf das Objekt gewährt, unabhängig davon, ob dem Mitglied der Zugriff auf das Objekt in einer anderen Rolle explizit verweigert wird.

Siehe auch

Konzepte

Sichern von Analysis Services

Hilfe und Informationen

Informationsquellen für SQL Server 2005

Änderungsverlauf

Version Verlauf

12. Dezember 2006
Geänderter Inhalt:
  • Die Standardsicherheitsarchitektur wurde verdeutlicht.