Choix du compte de service

Utilisation d'un compte d'utilisateur de domaine dédié comme compte d'ouverture de session

Un compte d'utilisateur de domaine est un compte d'utilisateur créé dans le service d'annuaire Active Directory. Ce compte est membre du groupe des utilisateurs authentifiés du domaine. Un service exécuté dans le contexte de sécurité d'un compte d'utilisateur de domaine présente le ticket Kerberos du compte d'utilisateur de domaine aux serveurs distants. Un service exécuté dans le contexte de sécurité d'un compte d'utilisateur de domaine peut accéder aux ressources du serveur distant sur lequel les utilisateurs authentifiés ou le compte d'utilisateur dispose d'autorisations d'accès.

Utilisation d'un compte d'utilisateur local comme compte d'ouverture de session

Un compte d'utilisateur local est un compte d'utilisateur Windows créé sur l'ordinateur local. Un service exécuté dans le contexte de sécurité d'un compte d'utilisateur local présente le jeton d'accès du compte d'utilisateur local aux serveurs distants. Si un nom d'utilisateur et un mot de passe correspondants sont définis sur le serveur distant, un service qui utilise un compte d'utilisateur local peut accéder aux ressources du serveur distant sur lequel le compte portant le même nom dispose d'autorisations. Bien que ce scénario fonctionne, l'existence de ces deux comptes séparés et la synchronisation de leur mot de passe augmentent les tâches de gestion.

Utilisation d'autres comptes comme compte d'ouverture de session

Outre un compte d'utilisateur de domaine dédié et un compte d'utilisateur local, vous pouvez exécuter une instance Analysis Services dans le contexte des comptes suivants :

• Système local
  Il s'agit d'un compte local prédéfini qui dispose de droits d'administration sur l'ordinateur local. Un service exécuté dans le contexte de sécurité du compte Système local présente les informations d'identification de l'ordinateur local aux serveurs distants. Un service exécuté dans le contexte de sécurité du compte Système local ne peut pas établir une session authentifiée, car le compte Système local n'appartient pas au groupe Tout le monde du domaine. Par conséquent, un service qui utilise ce compte peut accéder uniquement aux ressources réseau en utilisant une session NULL.

• LocalService
  Il s'agit d'un compte local prédéfini qui dispose de droits d'utilisateur authentifié sur l'ordinateur local. Un service exécuté dans le contexte de sécurité du compte LocalService présente des informations d'identification anonymes aux serveurs distants. Par conséquent, un service qui utilise ce compte peut accéder uniquement aux ressources réseau qui autorisent les accès anonymes.

• NetworkService
  Il s'agit d'un compte local prédéfini qui dispose de droits d'utilisateur authentifié sur l'ordinateur local. Un service exécuté dans le contexte de sécurité du compte NetworkService présente les informations d'identification de l'ordinateur local aux serveurs distants comme utilisateur authentifié, c'est-à-dire un utilisateur membre du groupe Tout le monde du domaine. Par conséquent, un service qui utilise ce compte peut accéder aux ressources du serveur distant sur lequel les utilisateurs authentifiés disposent d'autorisations d'accès. Pour permettre à un service qui utilise ce compte d'accéder à une ressource distante, vous pouvez ajouter le nom du serveur qui exécute Analysis Services à la ressource distante.

Lorsque les comptes de la liste précédente, ou tout autre compte, sont utilisés, la meilleure pratique de sécurité consiste à exécuter Analysis Services dans le contexte de sécurité d'un compte qui dispose d'un nombre de droits réduit au minimum. Le compte Système local est adapté à l'environnement de développement, mais ce compte d'administration n'est pas recommandé pour l'environnement de production, car il dispose d'un trop grand nombre de droits. Les comptes LocalService et NetworkService ne sont pas non plus recommandés. Bien que ces comptes puissent être utilisés comme comptes d'ouverture de session de service ayant des droits minimaux, ils ne sont pas recommandés pour Analysis Services, car les chaînes et les mots de passe de connexion chiffrés Analysis Services peuvent être déchiffrés par le compte d'ouverture de session Analysis Services. Ceci implique qu'un autre service Windows exécuté sous le même compte d'ouverture de session que Analysis Services peut déchiffrer ces chaînes et ces mots de passe de connexion.

Définition du compte d'ouverture de session Analysis Services

Après avoir déterminé le contexte de compte d'ouverture de session à utiliser, vous définissez le compte d'ouverture de session lors de la configuration dans la page Compte de service. Le processus de configuration accorde au compte d'ouverture de session spécifié tous les droits nécessaires sur l'ordinateur local, notamment :

• Outrepasser le contrôle de parcours

• Création d'objets-jetons

• Génération d'un audit de sécurité

• Verrouillage des pages en mémoire

• Remplacement d'un jeton de niveau processus

Le compte d'ouverture de session Analysis Services reçoit également les autorisations de contrôle total NTFS sur tous les fichiers de l'instance Analysis Services. Les droits nécessaires sur les serveurs distants, sur les sources de données, par exemple, doivent être accordés spécifiquement au compte d'ouverture de session.

Voir aussi

Concepts