서비스 계정 선택
여러 계정의 보안 컨텍스트에서 MicrosoftSQL ServerAnalysis Services 인스턴스를 실행할 수 있습니다. 그러나 도메인 또는 로컬 사용자 계정을 Analysis Services의 로그온 계정으로 사용하는 것이 좋습니다. 도메인 사용자 계정 또는 로컬 사용자 계정의 사용 여부는 다음 목록에 설명된 것처럼 Analysis Services의 네트워크 리소스 연결 필요성에 따라 다릅니다.
Analysis Services가 해당 로그온 계정의 보안 컨텍스트에서 네트워크 리소스에 연결해야 할 경우에는 전용 도메인 사용자 계정의 보안 컨텍스트에서 Analysis Services 인스턴스를 실행합니다.
Analysis Services가 해당 로그온 계정의 보안 컨텍스트에서 네트워크 리소스에 연결하지 않아도 될 경우에는 로컬 사용자 계정 또는 도메인 사용자 계정의 보안 컨텍스트에서 Analysis Services 인스턴스를 실행합니다.
로그온 계정을 선택한 후에는 해당 로그온 계정을 다른 어떠한 용도로도 사용하지 않는 것이 좋습니다. 로그온 계정의 사용을 제한하면 연결 문자열의 암호화 및 암호를 보호하는 데 도움이 됩니다.
전용 도메인 사용자 계정을 로그온 계정으로 사용
도메인 사용자 계정은 Active Directory 디렉터리 서비스 내에서 생성되는 사용자 계정입니다. 이 계정은 해당 도메인에서 Authenticated Users 그룹의 멤버입니다. 도메인 사용자 계정의 보안 컨텍스트에서 실행되고 있는 서비스는 원격 서버에 도메인 사용자 계정의 Kerberos 티켓을 제공합니다. 도메인 사용자 계정의 보안 컨텍스트에서 실행되고 있는 서비스는 인증된 사용자 또는 특정 사용자 계정이 액세스 권한을 가지고 있는 원격 서버의 리소스에 액세스할 수 있습니다.
로컬 사용자 계정을 로그온 계정으로 사용
로컬 사용자 계정은 로컬 컴퓨터에 생성되는 Windows 사용자 계정입니다. 로컬 사용자 계정의 보안 컨텍스트에서 실행되고 있는 서비스는 원격 서버에 로컬 사용자 계정의 액세스 토큰을 제공합니다. 로컬 사용자 계정과 일치하는 사용자 이름과 암호가 원격 서버에 구성되어 있는 경우 로컬 사용자 계정을 사용하는 서비스는 동일한 이름의 계정이 사용 권한을 가지고 있는 원격 서버의 리소스에 액세스할 수 있습니다. 이 시나리오가 제대로 구현되더라도 이러한 별도의 계정을 유지 관리하고 각 계정의 암호를 동기화된 상태로 유지하는 것은 관리 부담을 가중시킵니다.
다른 계정을 로그온 계정으로 사용
전용 도메인 사용자 계정과 로컬 사용자 계정 외에도 다음과 같은 계정의 컨텍스트에서 Analysis Services 인스턴스를 실행할 수 있습니다.
로컬 시스템
로컬 컴퓨터에 대한 관리자 권한이 있는 미리 정의된 로컬 계정입니다. 로컬 시스템 계정의 보안 컨텍스트에서 실행되고 있는 서비스는 원격 서버에 로컬 컴퓨터의 자격 증명을 제공합니다. 로컬 시스템 계정은 해당 도메인의 Everyone 그룹에 속하지 않기 때문에 로컬 시스템 계정의 보안 컨텍스트에서 실행되고 있는 서비스는 인증된 세션을 설정할 수 없습니다. 따라서 이 계정을 사용하는 서비스는 Null 세션을 통해서만 네트워크 리소스에 액세스할 수 있습니다.LocalService
로컬 컴퓨터에 대한 인증된 사용자 권한이 있는 미리 정의된 로컬 계정입니다. LocalService 계정의 보안 컨텍스트에서 실행되고 있는 서비스는 원격 서버에 익명 자격 증명을 제공합니다. 따라서 이 계정을 사용하는 서비스는 익명 액세스를 허용하는 네트워크 리소스에만 액세스할 수 있습니다.NetworkService
로컬 컴퓨터에 대한 인증된 사용자 권한이 있는 미리 정의된 로컬 계정입니다. NetworkService 계정의 보안 컨텍스트에서 실행되고 있는 서비스는 해당 도메인에서 Everyone 그룹의 멤버인 인증된 사용자로 원격 서버에 로컬 컴퓨터의 자격 증명을 제공합니다. 따라서 이 계정을 사용하는 서비스는 인증된 사용자가 액세스 권한을 가지고 있는 원격 서버의 리소스에 액세스할 수 있습니다. 특히 Analysis Services를 실행하고 있는 서버의 이름을 원격 리소스에 추가하여 이 계정을 사용하는 서비스가 원격 리소스에 액세스하도록 설정할 수 있습니다.
위 목록에 있는 계정 또는 다른 계정을 사용하는 경우 가장 좋은 보안 방법은 가능한 한 권한이 가장 적은 계정의 보안 컨텍스트에서 Analysis Services를 실행하는 것입니다. 로컬 시스템 계정은 개발 환경에 적합하지만 너무 많은 권한이 있기 때문에 프로덕션 환경에는 이와 같은 관리자 계정을 사용하지 않는 것이 좋습니다. LocalService 및 NetworkService 계정도 사용하지 않는 것이 좋습니다. LocalService 및 NetworkService 계정은 최소의 권한이 있는 서비스 로그온 계정으로 사용하도록 디자인되었습니다. 그러나 Analysis Services 로그온 계정이 암호화된 Analysis Services 연결 문자열과 암호를 해독할 수 있기 때문에 Analysis Services에는 LocalService 및 NetworkService 계정을 사용하지 않는 것이 좋습니다. Analysis Services와 동일한 로그온 계정에서 실행되고 있는 다른 Windows 서비스가 해당 연결 문자열과 암호를 해독할 수 있기 때문입니다.
Analysis Services 로그온 계정 지정
사용할 로그온 계정 컨텍스트가 결정되면 설치 중에 서비스 계정 페이지에서 로그온 계정을 지정합니다. 설치 프로세스는 다음을 포함하여 로컬 컴퓨터에서 필요한 모든 권한을 지정된 로그온 계정에 부여합니다.
트래버스 검사 무시
토큰 개체 만들기
보안 감사 생성
메모리의 페이지 잠금
프로세스 수준 토큰 바꾸기
Analysis Services 로그온 계정에는 Analysis Services 인스턴스의 모든 파일에 대한 모든 NTFS 권한도 부여됩니다. 특히 데이터 원본에 대한 권한 같이 원격 서버에서 필요한 권한이 로그온 계정에 부여되어야 합니다.
[!참고]
Analysis Services 로그온 계정에는 Analysis Services 인스턴스의 모든 파일에 대한 모든 사용 권한은 있지만 Analysis Services 인스턴스에 로그온할 수 있는 권한은 없습니다.