Berechtigungen und Zugriffsrechte (Analysis Services - Mehrdimensionale Daten)

  • Artikel

Themenstatus: Einige Informationen in diesem Thema sind vorläufig und können in zukünftigen Versionen geändert werden. In den Vorabinformationen werden neue Funktionen oder Änderungen an vorhandenen Funktionen in Microsoft SQL Server 2014 beschrieben.

In Microsoft Analysis Services können Administratoren mithilfe von Rollen Sicherheitsstufen für Objekte in einer Analysis Services-Datenbank für verschiedene Windows-Benutzer und Windows-Gruppen definieren. Jedem Objekt kann pro Rolle eine einzelne Berechtigung zugeordnet werden. Dabei kann für jede Berechtigung mindestens ein Zugriffsrecht zugeordnet werden. Zusätzlich kann einem Windows-Benutzer bzw. einer Windows-Gruppe mehr als eine Analysis Services-Rolle zugewiesen werden. Dies ermöglicht Ihnen das Kombinieren von Berechtigungen und Zugriffsrechten für komplexe Sicherheitsmodelle in Business Intelligence-Anwendungen.

Zugriffsrechte

In der folgenden Tabelle werden die in Berechtigungen verfügbaren Zugriffsrechte beschrieben, die in Analysis Services-Datenbanken enthaltenen Objekten zugeordnet sind.

Zugriffsrecht

Beschreibung

Access

Ermöglicht das Zugreifen auf Metadaten eines Objekts. Die folgenden Zugriffsarten werden unterstützt:

  • None verweigert den Zugriff auf das Objekt.

  • Read ermöglicht Mitgliedern der Rolle, das Objekt zu lesen.

  • Mit ReadContingent können Mitglieder der Rolle einen Zellenwert nur dann lesen, wenn sie Zugriff auf alle Zellen haben, von denen der Wert abgeleitet wird. ReadContingent stellt Read-Zugriff für alle Zellen bereit, die von dieser Berechtigung angegeben und nicht von anderen Zellen abgeleitet wurden.

    Ein Benutzer kann beispielsweise die Profit-Zelle nur lesen, wenn der Zellenzugriff sowohl für die Sales- als auch für die Costs-Zellen auf Read (bzw. auf Write) festgelegt ist, wobei der Wert der Profit-Zelle vom Wert der Sales-Zelle abzüglich des Costs-Zellenwerts berechnet wird.

  • ReadWrite ermöglicht den Mitgliedern der Rolle den Lese- und Schreibzugriff für das Objekt.

Administer

Zeigt an, ob Mitglieder der Rollen das Objekt verwalten dürfen.

Die Administer-Berechtigung erteilt Mitgliedern der Rolle kompletten Zugriff auf die im Objekt enthaltenen Objekte.

AllowBrowsing

Ermöglicht Mitgliedern der Rolle das Durchsuchen der Daten eines Miningmodells.

AllowDrillthrough

Erteilt Mitgliedern der Rolle die Berechtigung, einen Drillthrough von einem Miningmodell zu den zugrunde liegenden Daten auszuführen.

AllowedSet

Die AllowedSet-Berechtigung definiert die Elemente eines Attributs, die ein Mitglied der Rolle anzeigen kann. Wenn beispielsweise die in [Customer].[CountryRegion] zulässige Menge {Canada} lautet, so haben die Mitglieder der Rolle Zugriff auf alle Bundesländer und Orte von Kanada.

In einer Über-/Unterordnungshierarchie werden die zulässigen Elemente durch die Menge definiert, plus der Menge der Vorgänger der Über-/Unterordnungshierarchie, die für diese Elemente vorhanden ist. Wenn ein Element einer Über-/Unterordnungshierarchie nicht in einer zulässigen Menge enthalten ist, wird die Rolle den untergeordneten Elemente dieser Hierarchie nicht zugeordnet. Die Datenelemente sind hiervon nicht betroffen. Der Zugriff auf die Datenelemente ist weiterhin möglich, da sie zum Schlüsselattribut der Dimension gehören.

Wenn für die AllowedSet-Berechtigung keine Menge definiert wird, besteht der Standard aus der Menge aller Attributelemente.

AllowPredict

Die Vorhersageberechtigung für ein Miningmodell erteilt Mitgliedern der Rolle die Berechtigung, auf Basis des Miningmodells Vorhersagen auszuführen.

DefaultMember

Die DefaultMember-Berechtigung definiert das Standardelement der Dimension. Das Standardelement beeinflusst die Datasets, die von Abfragen in Cubes zurückgegeben werden, die diese Dimension enthalten. Wenn die Dimension nicht auf einer Achse angezeigt wird, wird das Dataset standardmäßig mit dem Standardelement gefiltert (d. h. in Slices aufgeteilt).

DeniedSet

Die DeniedSet-Berechtigung definiert die Elemente eines Attributs, die ein Mitglied der Rolle nicht anzeigen kann.

Process

Die Process-Berechtigung für ein Objekt erteilt Mitgliedern der Rolle die Berechtigung, das Objekt zu verarbeiten. Außerdem wird die Berechtigung zum Verarbeiten aller untergeordneten Objekte im Objekt gewährt, sofern diese Berechtigung bezüglich eines untergeordneten Objekts nicht explizit verweigert wurde. Die Process-Berechtigung gewährt Mitgliedern der Rolle keinen Zugriff auf die Daten oder Metadaten des Objekts.

ReadDefinition

Zeigt an, ob Mitglieder der Rolle die Metadaten, die das Berechtigungsobjekt definieren, lesen dürfen. Diese Eigenschaftseinstellung wird von den im Objekt enthaltenen Objekten geerbt.

VisualTotals

Die VisualTotals-Berechtigung für Dimensionsdaten definiert die Aggregation von Daten in Attributen. Hierbei handelt es sich um einen MDX-Ausdruck (Multidimensional Expression), der den Wert True oder False zurückgibt. Wenn VisualTotals auf den Wert False festgelegt ist, werden die Daten auf allen Elementen der Attribute der Dimension aggregiert, unabhängig davon, ob sie von Mitgliedern der Rolle angezeigt werden können. Wenn VisualTotals auf den Wert True festgelegt ist, werden die Daten nur für die Elemente des Granularitätsattributs der Dimension aggregiert, auf die die Rolle Lesezugriff hat. Wenn beispielsweise Customer Name das Granularitätsattribut ist, und VisualTotals ist im City-Attribut auf True festgelegt, dann stellt jeder Ort die Aggregation der Daten für die Kunden dar, auf die die Rolle Lesezugriff hat.

Die Standardeinstellung ist False.

Berechtigungen

In der folgenden Tabelle werden die in einer Analysis Services-Datenbank verfügbaren Berechtigungen sowie die in den jeweiligen Berechtigungen verwalteten Zugriffsrechte beschrieben.

Berechtigung

Zugriffsberechtigungen

Datenbank

Der Datenbankzugriff definiert den Zugriff auf die Objekte und Daten in einer Analysis Services-Datenbank.

Die folgenden Zugriffsrechte sind verfügbar:

  • Administerr

  • Process

  • ReadDefinition

Datenquelle

Der Datenquellenzugriff definiert den Zugriff auf Datenquellen in einer Analysis Services-Datenbank.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access

    (None oder Read)

  • ReadDefinition

Cube

Eine Cuberolle wird auf der Cubeebene erstellt, wenn eine Datenbankrolle einem Cube zugewiesen wird, und bezieht sich nur auf diesen Cube. Standardeinstellungen in einer Cuberolle werden von der Datenbankrolle mit demselben Namen abgeleitet, jedoch können einige Standardeinstellungen in der Cuberolle überschrieben werden. Eine Cuberolle enthält zusätzliche Optionen, wie z. B. Zellensicherheit, die nicht in einer Datenbankrolle enthalten sind.

Sie können beim Erteilen von Lese- und Lese-/Schreibzugriff auf Cubeabschnitte sehr flexibel sein. Sie können angeben, welche Dimensionselemente und Cubezellen von einer Rolle angezeigt und aktualisiert werden können. Weitere Informationen finden Sie unter Dimensions- und Zellensicherheit.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access

    (None, Read oder ReadWrite)

  • LocalCube/DrillthroughAccess

    (None, Drillthrough/Drillthrough and Local Cube)

  • Process

Zelle

Der Zellendatenzugriff definiert den Zugriff auf die Zellen eines Cubes. Die folgenden drei Arten des Zugriffs auf die Zellen eines Cubes sind verfügbar:

  • Read

  • ReadContingent

  • Read/Write

Die Zellensicherheit in einem Cube wird für jede Art des Zellenzugriffs mithilfe eines MDX-Ausdrucks definiert, der für jede Cubezelle in den Wert True oder False aufgelöst wird. Jeder Wert, der in einem numerischen Ausdruck ungleich 0 ist, wird als True ausgewertet. Der Wert 0 wird hingegen als False ausgewertet. Der Zugriff wird gewährt, wenn ein Ausdruck in True aufgelöst wird. Wird ein Ausdruck in False aufgelöst, wird der Zugriff verweigert.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access

    (None, Read, ReadContingent oder Read/Write)

Dimension

Die Eigenschaften des Dimensionszugriffs definieren den Zugriff auf die Datenbankdimensionen in einer Datenbank, unabhängig von ihrer Beteiligung an Cubes. Der Dimensionszugriff ermöglicht Benutzern, die Mitglieder einer Rolle sind, eine Dimension in Clientanwendungen zu durchsuchen. Es können ebenfalls Cubedimensionsberechtigungen angegeben werden, die die Datenbank-Zugriffsberechtigungen für eine Rolle überschreiben, wenn in einem bestimmten Cube auf eine Dimension zugegriffen wird.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access

    (Read oder Read/Write)

  • Process

  • ReadDefinition

Attribut

Der Dimensionsdatenzugriff steuert, auf welche Dimensionsattribute von Mitgliedern einer Rolle zugegriffen werden kann. Das Gewähren oder Verweigern des Zugriffs auf ein Attribut definiert den Zugriff auf die Ebenen in den Dimensionshierarchien, die auf diesem Attribut basieren. Wenn einer Rolle der Zugriff auf ein Attribut verweigert wird, dann wird der Zugriff auf allen vom Attribut abgeleiteten Ebenen verweigert.

Wenn durch das Verweigern des Zugriffs auf ein Attribut eine Lücke in einer Hierarchie erstellt wird, dann wird die gesamte Hierarchie für ungültig erklärt. Des Weiteren ist der Zugriff für die Mitglieder der Rolle auf die Hierarchie nicht länger möglich. Beispielsweise stellen in der Hierarchie CountryRegion-State-City-Name die State- und Nameebenen keine zusammenhängenden Ebenen der Hierarchie dar. Durch das Verweigern des Zugriffs auf das City-Attribut entsteht daher eine Lücke, wodurch die Hierarchie ungültig wird. Durch das Verweigern des Zugriffs auf das CountryRegion-Attribut entsteht hingegen keine Lücke. Die Hierarchie State-City-Name ist somit weiterhin als zusammenhängende Ebene gültig. Entsprechend ist durch das Verweigern des Zugriffs auf das Name-Attribut die Hierarchie CountryRegion-State-City weiterhin gültig.

Wenn Sie Mitgliedern einer Rolle den Zugriff auf ein Attribut gewähren, haben Sie die Möglichkeit, den Zugriff auf ausgewählte Elemente des Attributs zu gewähren oder zu verweigern.

Die folgenden Zugriffsrechte sind verfügbar:

  • AllowedSet

  • DefaultMember1

  • DeniedSet

  • VisualTotals

Miningstruktur

Der Miningstrukturzugriff bestimmt die Berechtigungen für Miningstrukturen sowie für Miningmodelle und Miningmodelldaten.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access

    (None oder Read)

  • Process

  • ReadDefinition

Miningmodell

Der Miningstrukturzugriff bestimmt die Berechtigungen für Miningstrukturen sowie für Miningmodelle und Miningmodelldaten.

Die folgenden Zugriffsrechte sind verfügbar:

  • Access

    (None, Read, oder Read/Write)

  • Browse

  • Drill Through

  • ReadDefinition

1 Das DefaultMember-Zugriffsrecht definiert die Standardelemente der Dimension. Weitere Informationen finden Sie unter Definieren eines Standardelements.

Berechtigungen und Vererbung

Wenn in einem Objekt andere Objekte enthalten sind, wie z. B. Cubes oder Dimensionen einer Datenbank, werden die Administer-, Process- und ReadDefinition-Berechtigungen des übergeordneten Objekts von den untergeordneten Objekten geerbt.

Berechtigung

Vererbung

Administer

Mitglieder der Analysis Services-Serverrolle verfügen über die Berechtigung zum Verwalten eines Servers und haben daher ebenfalls den vollständigen Zugriff auf alle auf dem Server vorhandenen Objekte. Mitgliedern einer Analysis Services-Datenbankrolle, denen die Berechtigung zum Verwalten einer Datenbank gewährt wird, haben den vollständigen Zugriff auf alle in der Datenbank enthaltenen Objekte.

Process

Die Process-Einstellung in einem Objekt gilt standardmäßig für alle untergeordneten Objekte. Diese Eigenschaft kann ebenfalls für ein untergeordnetes Objekt festgelegt werden, um die vom übergeordneten Objekt geerbte Berechtigung zu überschreiben.

  • Wenn einem Benutzer die Berechtigung zum Verarbeiten eines Cubes, jedoch nicht zum Verarbeiten einer im Cube enthaltenen Dimension gewährt wird, kann der Benutzer den Cube nur dann erfolgreich verarbeiten, wenn die Dimension bereits verarbeitet wird.

  • Wenn ein Benutzer eine Datenbank verarbeitet, werden nur die Cubes und Dimensionen in der Datenbank verarbeitet, für die der Benutzer die Berechtigung zum Verarbeiten besitzt.

ReadDefinition

Die ReadDefinition-Eigenschaftseinstellung in einem Objekt wird standardmäßig von allen untergeordneten Objekten geerbt. Diese Eigenschaft kann ebenfalls für ein untergeordnetes Objekt festgelegt werden, um die vom übergeordneten Objekt geerbte Berechtigung zu überschreiben.

Mehrere Rollen und Berechtigungen

Ein Benutzer kann mehreren Rollen einer Analysis Services-Datenbank angehören. Berechtigungen über mehrere Rollen hinweg sind additiv. Ein Mitglied einer Rolle kann auf ein Objekt zugreifen, wenn die Rolle den Zugriff auf das Objekt gewährt, unabhängig davon, ob dem Mitglied der Zugriff auf das Objekt in einer anderen Rolle explizit verweigert wird.