Exporter (0) Imprimer
Développer tout
Cet article a fait l'objet d'une traduction manuelle. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

Configurer les comptes de service (Analysis Services)

La configuration de compte au niveau du produit est documentée dans Configurer les comptes de service Windows et les autorisations, une rubrique qui fournit des informations exhaustives sur le compte de service pour tous les services SQL Server, y compris Analysis Services. Reportez-vous à cette rubrique pour en savoir plus sur les types de comptes valides, les privilèges Windows assignés lors de l'installation, les autorisations du système de fichiers, les autorisations de Registre et bien plus encore.

Cette rubrique fournit des informations supplémentaires pour Analysis Services, notamment les autorisations supplémentaires nécessaires pour les installations en cluster et tabulaire. Elle décrit également des autorisations nécessaires pour prendre en charge les opérations serveur. Par exemple, vous pouvez configurer les opérations de traitement et de requête pour qu'elles s'exécutent sous le compte de service, dans ce cas vous devez accorder des autorisations supplémentaires pour qu'elles fonctionnent.

Une étape de configuration supplémentaire, qui n'est pas décrite ici, consiste à inscrire le nom de principal du service (SPN) pour l'instance Analysis Services et le compte de service. Cette étape permet l'authentification directe des applications clientes sur les sources de données principales dans les scénarios double saut. Cette étape s'applique uniquement aux services configurés pour la délégation contrainte Kerberos. Pour obtenir des instructions, consultez Configurer Analysis Services pour la délégation contrainte Kerberos.

Dans un cluster de basculement, toutes les instances d'Analysis Services doivent être configurées pour utiliser un compte d'utilisateur de domaine Windows. Affectez le même compte à toutes les instances. Pour plus d'informations, consultez Mise en cluster d'Analysis Services.

Les instances autonomes doivent utiliser le compte virtuel par défaut, NT Service\MSSQLServerOLAPService pour l'instance par défaut, ou NT Service\MSOLAP$nom_instance pour une instance nommée. Cette recommandation s'applique aux instances d'Analysis Services dans tous les modes de serveur, en supposant une utilisation de Windows Server 2008 R2 et versions ultérieures comme système d'exploitation et de SQL Server 2012 et versions ultérieures pour Analysis Services.

Cette section décrit les autorisations dont Analysis Services a besoin pour effectuer des opérations internes et locales, telles que le démarrage de l'exécutable, la lecture du fichier de configuration et le chargement des bases de données à partir du répertoire de données. Si vous recherchez plutôt des conseils concernant la définition des autorisations d'accès aux données externes et l'interopérabilité avec d'autres services et applications, consultez Octroi d'autorisations supplémentaires pour des opérations de serveur spécifiques plus loin dans cette rubrique.

Pour les opérations internes, le détenteur des autorisations dans Analysis Services n'est pas le compte d'ouverture de session, mais un groupe de sécurité local Windows créé par le programme d'installation qui contient le SID par service. L'attribution des autorisations au groupe de sécurité est cohérente avec les versions antérieures d'Analysis Services. En outre, les comptes d'ouverture de session peuvent changer au fil du temps, mais le SID par service et le groupe de sécurité local sont constants pendant toute la durée de vie de l'installation du serveur. Pour Analysis Services, cela fait du groupe de sécurité, plutôt que du compte d'ouverture de session, un meilleur choix pour détenir les autorisations. Chaque fois que vous accordez manuellement des droits sur l'instance de service, qu'il s'agisse d'autorisations de système de fichiers ou de privilèges Windows, veillez à accorder des autorisations au groupe de sécurité local créé pour l'instance de serveur.

Le nom du groupe de sécurité respecte un modèle. Le préfixe est toujours SQLServerMSASUser$ suivi du nom d'ordinateur et il se termine par le nom de l'instance. L'instance par défaut est MSSQLSERVER. Une instance nommée est le nom donné durant l'installation.

Ce groupe de sécurité est visible dans les paramètres de sécurité locaux :

  • Exécutez compmgmt.msc | Utilisateurs et groupes locaux | Groupes | SQLServerMSASUser$ <nom_serveur>$MSSQLSERVER (pour une instance par défaut).

  • Double-cliquez sur le groupe de sécurité pour afficher ses membres.

Le seul membre du groupe est le SID par service. Juste à côté se trouve le compte d'ouverture de session. Le nom du compte d'ouverture de session est cosmétique. Il sert uniquement à fournir le contexte au SID par service. Si vous modifiez ultérieurement le compte d'ouverture de session et que vous revenez ensuite à cette page, vous remarquerez que le groupe de sécurité et le SID par service ne changent pas, mais que l'étiquette du compte d'ouverture de session est différente.

Analysis Services a besoin d'autorisations à partir du système d'exploitation pour le démarrage du service et pour demander les ressources système. La configuration dépend du mode du serveur et si l'instance est en cluster. Si vous ne connaissez pas bien les privilèges Windows, consultez Privilèges et Constantes de privilèges (Windows) pour plus d'informations.

Toutes les instances d'Analysis Services nécessitent le privilège Ouvrir une session en tant que (SeServiceLogonRight). Le programme d'installation de SQL Server attribue ce privilège au compte de service indiqué pendant l'installation. Pour les serveurs exécutés en mode multidimensionnel et en mode d'exploration de données, il s'agit du seul privilège Windows requis par le compte de service Analysis Services pour les installations de serveurs autonomes et du seul privilège configuré par le programme d'installation pour Analysis Services. Pour les instances en cluster et tabulaires, d'autres privilèges Windows doivent être ajoutés manuellement.

Les instances de cluster de basculement, en mode tabulaire ou multidimensionnel, nécessitent également le privilège Augmenter la priorité de planification (SeIncreaseBasePriorityPrivilege).

Les instances tabulaires utilisent les trois privilèges supplémentaires suivants, qui doivent être accordés manuellement une fois l'instance installée.

Augmenter une plage de travail de processus (SeIncreaseWorkingSetPrivilege)

Ce privilège est disponible à tous les utilisateurs par défaut via le groupe de sécurité Utilisateurs. Si vous verrouillez un serveur en supprimant les privilèges pour ce groupe, Analysis Services peut ne pas démarrer, et l'erreur suivante est enregistrée dans le journal : « Le client ne dispose pas d'un privilège qui est obligatoire. » Lorsque cette erreur se produit, rétablissez le privilège pour Analysis Services en l'accordant au groupe de sécurité Analysis Services approprié.

Changer les quotas de mémoire d'un processus (SeIncreaseQuotaSizePrivilege)

Ce privilège est utilisé pour demander davantage de mémoire si un processus ne dispose pas de suffisamment de ressources pour terminer son exécution, en fonction des seuils de mémoire établis pour l'instance.

Verrouiller les pages en mémoire (SeLockMemoryPrivilege)

Ce privilège est nécessaire uniquement quand la pagination est totalement désactivée. Par défaut, une instance serveur tabulaire utilise le fichier de pagination Windows, mais vous pouvez l'empêcher de l'utiliser en définissant VertiPaqPagingPolicy à 0.

VertiPaqPagingPolicy égal à 1 (par défaut), indique à l'instance serveur tabulaire d'utiliser le fichier de pagination Windows. Les allocations ne sont pas verrouillées, ce qui permet à Windows d'utiliser le fichier de pagination si nécessaire. Dans la mesure où la pagination est utilisée, il n'est pas nécessaire de verrouiller les pages en mémoire. C'est pourquoi, pour la configuration par défaut (où VertiPaqPagingPolicy = 1), vous n'avez pas besoin d'accorder le privilège Verrouiller les pages en mémoire à une instance tabulaire.

VertiPaqPagingPolicy égal à 0. Si vous désactivez la pagination pour Analysis Services, les allocations sont verrouillées, ce qui implique que le privilège Verrouiller les pages en mémoire est accordé à l'instance tabulaire. Étant donné ce paramètre et le privilège Verrouiller les pages en mémoire, Windows ne peut pas utiliser le fichier de pagination pour les allocations de mémoire demandées à Analysis Services quand le système a besoin de beaucoup de mémoire. Analysis Services compte sur l'autorisation Verrouiller les pages en mémoire pour mettre en œuvre VertiPaqPagingPolicy = 0. La désactivation de la pagination Windows n'est pas recommandée. Cela augmente le nombre d'erreurs de mémoire insuffisante pour les opérations qui seraient réussies si la pagination était autorisée. Consultez Propriétés de mémoire pour plus d'informations sur VertiPaqPagingPolicy.

Pour afficher ou ajouter des privilèges Windows au compte de service

  1. Exécutez GPEDIT.msc | Stratégie de l'ordinateur local | Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies locales | Attribution des droits utilisateur.

  2. Passez en revue les stratégies existantes qui comprennent SQLServerMSASUser$. Il s'agit d'un groupe de sécurité local qui se trouve sur les ordinateurs sur lesquels Analysis Services est installé. Les privilèges Windows et les autorisations de dossiers et de fichiers sont accordés à ce groupe de sécurité. Doublez-cliquez sur Ouvrir une session en tant que service pour connaître la façon dont le groupe de sécurité est indiqué sur votre système. Le nom complet du groupe de sécurité dépend de l'installation d'Analysis Services en tant qu'instance nommée. Utilisez ce groupe de sécurité, plutôt que le compte de service actuel, lors de l'ajout de privilèges de compte.

  3. Pour ajouter des privilèges de compte dans GPEDIT, cliquez avec le bouton droit sur Augmenter une plage de travail de processus et cliquez sur Propriétés.

  4. Cliquez sur Ajouter un groupe ou un utilisateur.

  5. Entrez le groupe d'utilisateurs de l'instance d'Analysis Services. N'oubliez pas que le compte de service est membre d'un groupe de sécurité local, ce qui nécessite que vous ajoutiez le nom de l'ordinateur local comme domaine du compte.

    La liste suivante montre deux exemples pour une instance par défaut et une instance nommée « Tabular » sur un ordinateur « SQL01-WIN12 », où le nom de l'ordinateur est le domaine local.

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR

  6. Répétez pour Changer les quotas de mémoire d'un processus, et si besoin pour Verrouiller les pages en mémoire ou Augmenter la priorité de planification.

Remarque Remarque

Les versions antérieures du programme d'installation ajoutaient par inadvertance le compte de service Analysis Services au groupe Utilisateurs du journal des performances. Bien que ce problème ait été résolu, il est possible que des installations existantes présentent cette appartenance de groupe superflue. Comme le compte de service Analysis Services ne nécessite aucune appartenance au groupe Utilisateurs du journal des performances, vous pouvez le supprimer du groupe.

Remarque Remarque

Consultez Configurer les comptes de service Windows et les autorisations pour obtenir une liste des autorisations associées à chaque dossier de programme.

Consultez Configurer l'accès HTTP à Analysis Services sur Internet Information Services (IIS) 8,0 pour obtenir des informations sur les autorisations de fichiers liées à la configuration IIS et à Analysis Services.

Toutes les autorisations du système de fichiers requises pour les opérations serveur, notamment les autorisations nécessaires au chargement et au déchargement des bases de données pour un dossier de données spécifique, sont assignées par le programme d'installation de SQL Server pendant l'installation.

Le conteneur des autorisations sur les fichiers de données, les exécutables des fichiers programme, les fichiers de configuration, les fichiers journaux et les fichiers temporaires est un groupe de sécurité local créé par le programme d'installation de SQL Server.

Il existe un groupe de sécurité créé pour chaque instance que vous installez. Le groupe de sécurité est nommé en fonction de l'instance : soit SQLServerMSASUser$MSSQLSERVER pour l'instance par défaut, soit SQLServerMSASUser$<servername>$<instancename> pour une instance nommée. Le programme d'installation configure ce groupe de sécurité avec les autorisations de fichier requises pour effectuer les opérations du serveur. Si vous vérifiez les autorisations de sécurité dans le répertoire \MSAS12.MSSQLSERVER\OLAP\BIN, vous verrez que le groupe de sécurité (et non le compte de service ou son SID par service) est le détenteur des autorisations sur ce répertoire.

Le groupe de sécurité contient un seul membre : l'identificateur de sécurité (SID) spécifique au service du compte de démarrage de l'instance Analysis Services. Le programme d'installation ajoute le SID par service au groupe de sécurité local. L'utilisation d'un groupe de sécurité local, avec son appartenance au SID, est la différence entre la configuration d'Analysis Services par le programme d'installation de SQL Server et le moteur de base de données.

Si vous pensez que les autorisations de fichiers sont corrompues, suivez les étapes ci-après pour vérifier que le service est correctement configuré :

  1. Utilisez l'outil en ligne de commande Contrôle du service (sc.exe) pour obtenir le SID d'une instance de service par défaut.

    SC showsid MSSqlServerOlapService

    Pour une instance nommée (quand le nom de l'instance est Tabular), utilisez la syntaxe :

    SC showsid MSOlap$Tabular

  2. Utilisez Gestion de l'ordinateur | Utilisateurs et groupes locaux | Groupes pour inspecter l'appartenance du groupe de sécurité SQLServerMSASUser$<servername>$<instancename>.

    Le SID membre doit correspondre au SID par service de l'étape 1.

  3. Utilisez Explorateur Windows | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin pour vérifier que les propriétés Sécurité sont accordées au groupe de sécurité de l'étape 2.

Remarque Remarque

Ne supprimez ni ne modifiez jamais un SID. Pour restaurer un SID par service qui a été supprimé par mégarde, consultez la page http://support.microsoft.com/kb/2620201.

En savoir plus sur les SID par service

Chaque compte Windows a un SID associé, mais les services peuvent également avoir des SID, appelés alors SID par service. Un SID par service est créé quand l'instance de service est installée, en tant qu'élément permanent et unique du service. Le SID par service est un SID local (au niveau de l'ordinateur) généré à partir du nom de service. Sur une instance par défaut, son nom convivial est NT SERVICE\MSSQLServerOLAPService.

L'avantage d'un SID par service est qu'il permet de changer arbitrairement le compte d'ouverture de session plus largement visible sans affecter les autorisations de fichiers. Supposons, par exemple, que vous ayez installé deux instances d'Analysis Services, une instance par défaut et une instance nommée, les deux s'exécutant sous le même compte d'utilisateur Windows. Bien que le compte d'ouverture de session soit partagé, chaque instance de service a un SID par service unique. Ce SID est distinct du SID du compte d'ouverture de session. Le SID par service est utilisé pour les autorisations de fichiers et les privilèges Windows. En revanche, le SID du compte d'ouverture de session est utilisé pour les scénarios d'authentification et d'autorisation : il s'agit de SID différents utilisés à des fins différentes.

Dans la mesure où le SID est immuable, les listes de contrôle d'accès (ACL) créées lors de l'installation du service peuvent être utilisées indéfiniment, quelles que soient les modifications apportées au compte de service. Par mesure de sécurité supplémentaire, les listes de contrôle d'accès (ACL) qui spécifient des autorisations via un SID garantissent que les exécutables de programme et les dossiers de données ne sont accessibles que par une seule instance d'un service, même si d'autres services s'exécutent sous le même compte.

Analysis Services exécute certaines tâches dans le contexte de sécurité du compte de service (ou du compte d'ouverture de session) utilisé pour démarrer Analysis Services et exécute d'autres tâches dans le contexte de sécurité de l'utilisateur qui demande la tâche.

Le tableau suivant décrit les autorisations supplémentaires nécessaires pour prendre en charge les tâches s'exécutant en tant que compte de service.

Opération du serveur

Élément de travail

Justification

Accès à distance aux sources de données relationnelles externes

Créer un nom d'accès à la base de données pour le compte de service

Le traitement fait référence à la récupération de données depuis une source de données externe (généralement une base de données relationnelle), qui est ensuite chargée dans une base de données Analysis Services. L'une des options d'informations d'identification pour la récupération de données externes consiste à utiliser le compte de service. Cette option d'informations d'identification fonctionne uniquement si vous créez une connexion à une base de données pour le compte de service et octroyez des autorisations de lecture sur la base de données source. Pour plus d'informations sur la procédure d'utilisation de l'option de compte de service pour cette tâche, consultez Définir les options d'emprunt d'identité (SSAS - Multidimensionnel). De la même manière, si ROLAP est utilisé comme mode de stockage, les mêmes options d'emprunt d'identité sont disponibles. Dans ce cas, le compte doit également disposer d'un accès en écriture aux données sources pour pouvoir traiter les partitions ROLAP (c'est-à-dire pour stocker les agrégations).

DirectQuery

Créer un nom d'accès à la base de données pour le compte de service

DirectQuery est une fonctionnalité tabulaire utilisée pour interroger des datasets externes qui sont soit trop volumineux pour s'ajuster à l'intérieur du modèle tabulaire ou qui présentent d'autres caractéristiques qui font de DirectQuery un meilleur choix que l'option de stockage en mémoire par défaut. L'une des options de connexion disponibles en mode DirectQuery consiste à utiliser le compte de service. Là encore, cette option fonctionne uniquement lorsque le compte de service dispose d'une connexion à une base de données, ainsi que d'autorisations de lecture sur la source de données cible. Pour plus d'informations sur la procédure d'utilisation de l'option de compte de service pour cette tâche, consultez Définir les options d'emprunt d'identité (SSAS - Multidimensionnel). Les informations d'identification de l'utilisateur actuel peuvent également être utilisées pour récupérer des données. Dans la majorité des cas, cette option implique une connexion double saut. Par conséquent, veillez à configurer le compte de service pour la délégation contrainte Kerberos afin que ce compte de service puisse déléguer des identités à un serveur en aval. Pour plus d'informations, consultez Configurer Analysis Services pour la délégation contrainte Kerberos.

Accès à distance à d'autres instances SSAS

Ajouter le compte de service aux rôles de base de données Analysis Services définis sur le serveur distant

Les partitions distantes et les objets liés de référencement sur d'autres instances Analysis Services distantes constituent dans les deux cas des fonctions de système nécessitant des autorisations sur un périphérique ou un ordinateur distant. Lorsqu'une personne crée et alimente des partitions distantes ou configure un objet lié, cette opération s'exécute dans le contexte de sécurité de l'utilisateur actuel. Si, par la suite, vous automatisez ces opérations, Analysis Services accédera aux instances distantes dans le contexte de sécurité de son compte de service. Pour pouvoir accéder aux objets liés d'une instance distante Analysis Services, le compte d'ouverture de session doit être autorisé à lire les objets appropriés sur l'instance distante (accès en lecture sur certaines dimensions, par exemple). De même, l'utilisation de partitions distantes implique obligatoirement que le compte de service dispose de droits d'administration sur l'instance distante. De telles autorisations sont octroyées sur l'instance Analysis Services distante, au moyen de rôles qui associent les opérations autorisées à un objet spécifique. Consultez Accorder des autorisations de base de données (Analysis Services) pour des instructions sur l'octroi des autorisations Contrôle total pour permettre les opérations de traitement et de requête. Pour plus d'informations sur les partitions distantes, consultez Créer et gérer une partition distante (Analysis Services).

Écriture différée

Ajouter le compte de service aux rôles de base de données Analysis Services définis sur le serveur distant

Lorsqu'elle est activée dans les applications clientes, l'écriture différée est une fonctionnalité des modèles multidimensionnels qui permet la création de nouvelles valeurs de données au cours de l'analyse des données. Si l'écriture différée est activée dans une dimension ou un cube, le compte de service Analysis Services doit disposer d'autorisations d'écriture dans la table d'écriture différée de la base de données relationnelle SQL Server source. Si cette table n'existe pas et doit être créée, le compte de service Analysis Services doit également disposer des autorisations lui permettant de créer la table dans la base de données SQL Server définie.

Écrivez dans une table du journal des requêtes d'une base de données relationnelle SQL Server

Créez une connexion de base de données pour le compte de service et attribuez des autorisations en écriture sur la table du journal de requête

Activez la journalisation des requêtes afin de recueillir des données d'utilisation dans une table de base de données, en vue d'une analyse ultérieure. Le compte de service Analysis Services doit disposer d'autorisations d'écriture dans la table du journal des requêtes dans la base de données SQL Server définie. Si la table n'existe pas et doit être créée, le compte d'ouverture de session Analysis Services doit également disposer des autorisations lui permettant de créer la table dans la base de données SQL Server définie. Pour plus d'informations, consultez Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) et Query Logging in Analysis Services (Blog) (en anglais).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2015 Microsoft