Sicherheitsrollen (Analysis Services – Mehrdimensionale Daten)

  • Artikel

In Microsoft SQL Server Analysis Services werden zur Verwaltung der Sicherheit von Analysis Services-Objekten und -Daten Rollen verwendet. Im Allgemeinen wird eine Rolle der SIDs (Sicherheits-IDs) von Microsoft Windows-Benutzern bzw. Windows-Gruppen zugeordnet, für die bestimmte Zugriffsrechte und -berechtigungen auf von einer Instanz von Analysis Services verwalteten Objekte definiert sind. In Analysis Services werden die folgenden zwei Arten von Rollen bereitgestellt:

  • Die Serverrolle, bei der es sich um eine feste Rolle handelt, mit der der Administratorzugriff auf eine Instanz von Analysis Services bereitgestellt wird.

  • Datenbankrollen, bei denen es sich um von Administratoren definierte Rollen handelt, mit denen der Zugriff auf Objekte und Daten für Benutzer ohne Administratorrechte gesteuert wird.

Sicherheit in Microsoft SQL Server. Die Sicherheit in Analysis Services wird mithilfe von Rollen und Berechtigungen verwaltet. Rollen sind Gruppen von Benutzern. Benutzer, auch als Elemente bezeichnet, können zu Rollen hinzugefügt oder aus diesen entfernt werden. Berechtigungen für Objekte werden mithilfe von Rollen festgelegt, und alle Mitglieder in einer Rolle können die Objekte verwenden, für die die Rolle die Berechtigungen besitzt. Alle Elemente in einer Rolle verfügen über die gleichen Berechtigungen für die Objekte. Berechtigungen gelten speziell für Objekte. Jedes Objekt verfügt über eine Berechtigungsauflistung, die die Berechtigungen für dieses Objekt enthält. Einem Objekt können unterschiedliche Berechtigungssätze zugeordnet werden. Jeder Berechtigung in der Berechtigungsauflistung des Objekts ist eine einzige Rolle zugeordnet.

Rollen und Rollenelementobjekte

Eine Rolle ist ein enthaltendes Objekt für eine Auflistung von Benutzern (Elementen). Eine Rollendefinition begründet die Mitgliedschaft der Benutzer in Analysis Services. Da Berechtigungen mithilfe von Rollen zugewiesen werden, muss ein Benutzer ein Element einer Rolle sein, bevor er Zugriff auf Objekte erhält.

Ein Role-Objekt besteht aus den Parametern Name, ID und Elemente. Elemente sind eine Auflistung von Zeichenfolgen. Jedes Element enthält den Benutzernamen im Format "domäne\benutzername". "Name" ist eine Zeichenfolge, die den Namen der Rolle enthält. "ID" ist eine Zeichenfolge, die den eindeutigen Bezeichner der Rolle enthält.

Serverrolle

Die Analysis Services-Serverrolle definiert den administrativen Zugriff von Windows-Benutzern und -Gruppen auf eine Instanz von Analysis Services. Mitglieder dieser Rolle haben Zugriff auf alle Analysis Services-Datenbanken und -Objekte in einer Instanz von Analysis Services. Mit dieser Rolle können die folgenden Aufgaben ausgeführt werden:

  • Durchführen von Administratorfunktionen auf Serverebene mit SQL Server Management Studio oder SQL Server-Datentools (SSDT), einschließlich dem Erstellen von Datenbanken und Festlegen von Eigenschaften auf Serverebene.

  • Programmgesteuertes Ausführen administrativer Funktionen mit Analysis Management Objects (AMO).

  • Verwalten von Analysis Services-Datenbankrollen.

  • Starten von Ablaufverfolgungen (außer für die Verarbeitung von Ereignissen verwendeten Ablaufverfolgungen, die mit einer Datenbankrolle mit Verarbeitungszugriff ausgeführt werden können).

Jede Instanz von Analysis Services verfügt über eine Serverrolle, mit der die Benutzer definiert werden, die diese Instanz verwalten können. Der Name und die ID dieser Rolle lauten Administratoren. Im Gegensatz zu Datenbankrollen kann die Serverrolle weder gelöscht werden, noch ist es möglich, der Serverrolle Berechtigungen hinzuzufügen bzw. aus ihr zu entfernen. Mit anderen Worten: Abhängig davon, ob der jeweilige Benutzer in der Serverrolle für diese Instanz von Analysis Services eingeschlossen ist oder nicht, ist ein Benutzer ein Administrator bzw. kein Administrator einer Instanz von Analysis Services. Verwandte Themen: Gewähren des Administratorzugriffs, Konfigurieren von Servereigenschaften.

Datenbankrollen

Eine Analysis Services-Datenbankrolle definiert den Benutzerzugriff auf die in einer Analysis Services-Datenbank enthaltenen Objekte und Daten. Eine Datenbankrolle wird in einer Analysis Services-Datenbank als separates Objekt erstellt und gilt nur für die Datenbank, in der diese Rolle erstellt wurde. Der Administrator, der ebenfalls die Berechtigungen innerhalb der Rolle definiert, schließt die Windows-Benutzer und -Gruppen in die Rolle ein.

Neben den Zugriffsberechtigungen auf die Daten und Objekte innerhalb der Datenbank ermöglichen die Berechtigungen einer Rolle den Mitgliedern den Zugriff auf die Datenbank sowie deren Verwaltung. Jeder Berechtigung wird mindestens ein Zugriffsrecht zugeordnet, mit dem wiederum die Berechtigung für eine präzisere Steuerung des Zugriffs auf ein bestimmtes Objekt der Datenbank gewährt wird. Verwandte Themen: Berechtigungen und Zugriffsrechte (Analysis Services - Mehrdimensionale Daten), Erteilen von Benutzerberechtigungen für eine mehrdimensionale Analysis Services-Datenbank

Berechtigungsobjekte

Berechtigungen sind mit einem Objekt (Cube, Dimension, sonstige) für eine bestimmte Rolle verbunden. Berechtigungen geben an, welche Vorgänge das Element dieser Rolle mit diesem Objekt ausführen kann.

Die Permission-Klasse ist eine abstrakte Klasse. Deshalb müssen Sie die abgeleiteten Klassen verwenden, um Berechtigungen für die entsprechenden Objekte zu definieren. Für jedes Objekt wird eine von der Berechtigung abgeleitete Klasse definiert.

Objekt

Klasse

Database

DatabasePermission

DataSource

DataSourcePermission

Dimension

DimensionPermission

Cube

CubePermission

MiningStructure

MiningStructurePermission

MiningModel

MiningModelPermission

Folgende Aktionen werden durch Berechtigungen aktiviert:

Aktion

Werte

Erklärung

Process

{true, false}

Standard=false

Wenn true festgelegt wird., können Elemente das Objekt sowie alle in dem Objekt enthaltenen Objekte verarbeiten.

Prozessberechtigungen gelten nicht für Miningmodelle. MiningModel-Berechtigungen werden immer von MiningStructure geerbt.

ReadDefinition

{None, Basic, Allowed}

Standard=None

Gibt an, ob Elemente die mit dem Objekt verbundenen Datendefinitionen (ASSL) lesen können.

Wenn Allowed festgelegt wird, können Elemente die mit dem Objekt verbundenen ASSL lesen.

Basic und Allowed werden von Objekten geerbt, die im Objekt enthalten sind. Allowed überschreibt Basic und None.

Allowed ist für DISCOVER_XML_METADATA in einem Objekt verantwortlich. Basic ist erforderlich, um verknüpfte Objekte und lokale Cubes zu erstellen.

Lesen

{None, Allowed}

Standard=None (außer für DimensionPermission, hier gilt Standard=Allowed)

Gibt an, ob Elemente über Lesezugriff auf Schemarowsets und Dateninhalt verfügen.

Allowed erteilt Lesezugriff auf eine Datenbank, sodass eine Datenbank ermitteln werden kann.

Allowed für einen Cube ermöglicht Lesezugriff auf Schemarowsets und Zugriff auf Cubeinhalte (wenn nicht eingeschränkt durch CellPermission und CubeDimensionPermission).

Allowed für eine Dimension gewährt diese Leseberechtigung für alle Attributen in der Dimension (wenn nicht eingeschränkt durch CubeDimensionPermission). Die Leseberechtigung wird nur für die statische Vererbung an die CubeDimensionPermission verwendet. Mit None in einer Dimension wird die Dimension ausgeblendet, und der Zugriff auf das Standardelement wird nur für aggregierbare Attribute ermöglicht. Wenn die Dimension ein Attribut enthält, das nicht aggregierbar ist, wird ein Fehler ausgelöst.

Wenn Allowed für MiningModelPermission festgelegt wird, werden Berechtigungen für das Anzeigen von Objekten in Schemarowsets und die Ausführung von vorhergesagten Joins erteilt.

Hinweis   Allowed ist zum Lesen oder Schreiben für Objekte in der Datenbank erforderlich.

Schreiben

{None, Allowed}

Standard=None

Gibt an, ob Elemente über Schreibzugriff auf Daten des übergeordneten Objekts verfügen.

Der Zugriff gilt für Dimension, Cube und MiningModel-Unterklassen. Er gilt nicht für Datenbank-MiningStructure-Unterklassen, die einen Überprüfungsfehler generieren.

Wenn Allowed für Dimension festgelegt wird, werden Schreibberechtigungen für alle Attribute in der Dimension gewährt.

Wenn Allowed für Cube festgelegt wird, werden Schreibberechtigungen für die Zellen des Cubes gewährt, für deren Partitionen der Typ=writeback definiert wurde.

Wenn Allowed für MiningModel festgelegt wird, werden Berechtigungen für die Änderung des Modellinhalts gewährt.

Wenn Allowed für MiningStructure festgelegt wird, besitzt dies in Analysis Services keine bestimmte Bedeutung.

HinweisHinweis

Für Schreiben kann nicht Allowed festgelegt werden, wenn nicht auch für Lesen Allowed festgelegt wird.

Verwalten

HinweisHinweis

Nur in Datenbankberechtigungen

{true, false}

Standard=false

Gibt an, ob Elemente eine Datenbank verwalten können.

true gewährt Elementen Zugriff auf alle Objekte in einer Datenbank.

Ein Element kann über Verwaltungsberechtigungen für eine bestimmte Datenbank verfügen, jedoch nicht für andere.

Siehe auch

Konzepte

Berechtigungen und Zugriffsrechte (Analysis Services - Mehrdimensionale Daten)

Sicherheit und Schutz (Analysis Services)

Erteilen von Benutzerberechtigungen für eine mehrdimensionale Analysis Services-Datenbank

Andere Ressourcen

Gewähren des Administratorzugriffs