서비스 계정 구성(Analysis Services)

적용 대상: SQL Server Analysis Services Azure Analysis Services 패브릭/Power BI Premium

제품 전체 계정 프로비저닝은 SQL Server Analysis Services 포함하여 모든 SQL Server 서비스에 대한 포괄적인 서비스 계정 정보를 제공하는 항목인 Windows 서비스 계정 및 권한 구성에 설명되어 있습니다. 올바른 계정 유형, 설치 프로그램에서 할당한 Windows 권한, 파일 시스템 권한, 레지스트리 권한 등에 대한 자세한 내용은 이 항목을 참조하세요.

이 항목에서는 테이블 형식 및 클러스터형 설치에 필요한 추가 권한을 포함하여 SQL Server Analysis Services 대한 추가 정보를 제공합니다. 또한 서버 작업을 지원하는 데 필요한 사용 권한도 다룹니다. 예를 들어 서비스 계정에서 실행되도록 처리 및 쿼리 작업을 구성할 수 있습니다. 이 시나리오에서는 추가 권한이 필요합니다.

• Analysis Services에 할당된 Windows 권한

• Analysis Services에 할당된 파일 시스템 권한

• 특정 서버 작업에 대한 추가 권한 부여

여기에 문서화되지 않은 또 다른 구성 단계는 SQL Server Analysis Services instance 및 서비스 계정에 대한 SPN(서비스 사용자 이름)을 등록하는 것입니다. 이 단계에서는 이중 홉 시나리오로 클라이언트 애플리케이션에서 백 엔드 데이터 원본으로 통과 인증을 사용합니다. 이 단계는 Kerberos 제한 위임에 대해 구성된 서비스에만 적용됩니다. 자세한 내용은 Configure Analysis Services for Kerberos constrained delegation 을 참조하세요.

로그온 계정 권장 사항

MSSQLServerOLAPService Windows 서비스의 시작 계정은 Windows 도메인 사용자 계정, 가상 계정, MSA(관리 서비스 계정) 또는 서비스별 SID, NetworkService 또는 LocalSystem과 같은 기본 제공 계정일 수 있습니다. 도메인 사용자 계정을 서비스 로그온 계정으로 사용하면 사용자 계정 형식에 대한 세부 정보가 제공됩니다.

장애 조치(failover) 클러스터에서 Analysis Services의 모든 인스턴스는 Windows 도메인 사용자 계정을 사용하도록 구성되어야 합니다. 모든 인스턴스에 동일한 계정을 할당합니다. 자세한 내용은 Analysis Services를 클러스터링하는 방법 을 참조하세요.

독립 실행형 인스턴스는 기본 가상 계정 NT Service\MSSQLServerOLAPService (기본 인스턴스의 경우) 또는 NT Service\MSOLAP$instance-name (명명된 인스턴스의 경우)을 사용해야 합니다. 이 권장 사항은 운영 체제가 Windows Server 2008 R2 이상이고 SQL Server 2012 이상의 Analysis Services가 실행된다고 가정할 때 모든 서버 모드의 Analysis Services 인스턴스에 적용됩니다.

Analysis Services에 권한 부여

이 섹션에서는 Analysis Services가 로컬 내부 작업에 필요한 권한을 설명합니다. 이러한 작업에는 실행 파일 시작, 구성 파일 읽기 및 데이터 디렉터리에서 데이터베이스 로드가 포함됩니다. 외부 데이터 액세스에 대한 사용 권한 설정 및 다른 서비스 및 애플리케이션과의 상호 운용성에 대한 지침은 이 항목에서 특정 서버 작업에 대한 추가 권한 부여 에서 확인할 수 있습니다.

내부 작업의 경우 Analysis Services의 권한 보유자는 로그온 계정이 아니라 서비스별 SID를 포함하는 설치 프로그램에서 만든 로컬 Windows 보안 그룹입니다. 보안 그룹에 권한을 할당하는 방법은 이전 버전의 Analysis Services와 일치합니다. 또한 로그온 계정은 시간에 따라 변경될 수 있지만 서비스별 SID와 로컬 보안 그룹은 서버 설치 수명 기간 동안 지속됩니다. Analysis Services의 경우 보안 그룹은 로그온 계정보다 사용 권한을 보유하는 데 더 적합합니다. 파일 시스템 권한 또는 Windows 권한에 상관없이 서비스 인스턴스에 수동으로 권한을 부여할 경우 항상 서버 인스턴스에 대해 만들어진 로컬 보안 그룹에 권한을 부여해야 합니다.

보안 그룹의 이름은 패턴을 따릅니다. 접두사는 항상 SQLServerMSASUser$이고 그 뒤에 컴퓨터 이름이 오고 마지막에 인스턴스 이름이 옵니다. 기본 인스턴스는 MSSQLSERVER입니다. 명명된 instance 설정 중에 지정된 이름입니다.

로컬 보안 설정에서 이 보안 그룹을 확인할 수 있습니다.

• compmgmt.msc 실행 | 로컬 사용자 및 그룹 | 그룹 | SQLServerMSASUser$<server-name>$MSSQLSERVER(기본 instance).

• 해당 멤버를 보려면 보안 그룹을 두 번 클릭합니다.

그룹의 유일한 구성원은 서비스별 SID입니다. 오른쪽에 로그온 계정이 있습니다. 로그온 계정 이름은 cosmetic이고, 서비스별 SID에 컨텍스트를 제공합니다. 로그온 계정을 변경하는 경우 보안 그룹과 서비스별 SID는 변경되지 않습니다. 로그온 계정 레이블만 다릅니다.

Analysis Services 서비스 계정에 할당된 Windows 권한

Analysis Services는 서비스를 시작하고 시스템 리소스를 요청하는 데 운영 체제의 사용 권한이 필요합니다. 서버 모드 및 인스턴스가 클러스터링되었는지 여부에 따라 요구 사항이 다릅니다.

Analysis Services의 모든 인스턴스에는 서비스로 로그온 (SeServiceLogonRight) 권한이 필요합니다. SQL Server 설치 프로그램에서 설치 중 지정된 서비스 계정에 이 권한을 자동으로 할당합니다. 다차원 및 데이터 마이닝 모드에서 실행되는 서버의 경우 이 권한이 Analysis Services 서비스 계정에서 독립 실행형 서버 설치에 필요한 유일한 Windows 권한이며, 이 권한이 설치 프로그램에서 Analysis Services에 대해 구성하는 유일한 권한입니다. 클러스터형 및 테이블 형식 인스턴스의 경우 추가 Windows 권한을 수동으로 추가해야 합니다.

장애 조치(Failover) 클러스터 인스턴스는 테이블 형식 또는 다차원 모드에서 예약 우선 순위 높임 (SeIncreaseBasePriorityPrivilege) 권한을 가져야 합니다.

테이블 형식 인스턴스는 인스턴스가 설치된 이후에 수동으로 부여해야 하는 다음과 같은 세 가지 추가 권한을 사용합니다.

서비스 계정에서 Windows 권한을 보거나 추가하려면

1. GPEDIT.msc | 로컬 컴퓨터 정책 | 컴퓨터 구성 | Windows 설정 | 보안 설정 | 로컬 정책 | 사용자 권한 지정을 실행합니다.

2. SQLServerMSASUser$가 포함된 기존 정책을 검토합니다. 이 계정은 Analysis Services가 설치된 컴퓨터에 있는 로컬 보안 그룹입니다. Windows 권한과 파일 폴더 사용 권한이 모두 이 보안 그룹에 부여됩니다. 서비스로 로그온 정책을 두 번 클릭하여 시스템에서 보안 그룹이 어떻게 지정되어 있는지 확인합니다. 보안 그룹의 전체 이름은 Analysis Services를 명명된 인스턴스로 설치했는지 여부에 따라 다릅니다. 계정 권한을 추가할 경우 실제 서비스 계정을 사용하지 않고 이 보안 그룹을 사용합니다.

3. GPEDIT에서 계정 권한을 추가하려면 프로세스 작업 집합 향상 을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

4. 사용자 또는 그룹 추가를 클릭합니다.

5. Analysis Services 인스턴스의 사용자 그룹을 입력합니다. 서비스 계정은 로컬 보안 그룹의 구성원이며, 로컬 컴퓨터 이름을 계정의 도메인으로 추가해야 합니다.

   다음 목록은 컴퓨터의 이름이 로컬 도메인인 "SQL01-WIN12" 컴퓨터에 있는 기본 인스턴스와 "Tabular"로 명명된 인스턴스에 대한 두 가지 예를 보여 줍니다.

   • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER

   • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR

6. 프로세스의 메모리 할당량 조정에 대해 반복하고 필요에 따라 메모리의 페이지 잠금 또는 예약 우선 순위 높임에 대해서도 반복합니다.

Analysis Services 서비스 계정에 할당된 파일 시스템 권한

지정된 데이터 폴더에서 데이터베이스를 로드하고 언로드하는 데 필요한 권한을 포함하여 서버 작업에 필요한 모든 파일 시스템 권한은 설치 중에 SQL Server 설치 프로그램에서 할당합니다.

데이터 파일, 프로그램 실행 파일, 구성 파일, 로그 파일 및 임시 파일에 대한 사용 권한 소유자는 SQL Server 설치 프로그램에서 만든 로컬 보안 그룹입니다.

설치하는 인스턴스마다 하나의 보안 그룹이 있습니다. 보안 그룹은 기본 instance instance SQLServerMSASUser$MSSQLSERVER 또는 명명된 instance 대한 SQLServerMSASUser$servername$<<instancename>>의 이름을 따서 명명됩니다. 설치 프로그램은 서버 작업 수행에 필요한 파일 권한으로 이 보안 그룹을 프로비전합니다. \MSAS13.MSSQLSERVER\OLAP\BIN 디렉터리에서 보안 권한을 확인하면 보안 그룹(서비스 계정 또는 서비스별 SID가 아님)이 해당 디렉터리에 대한 권한 보유지임을 알 수 있습니다.

보안 그룹에는 하나의 멤버만 포함됩니다. 즉, SQL Server Analysis Services instance 시작 계정의 SID(서비스별 보안 식별자)입니다. 설치 프로그램에서 서비스별 SID를 로컬 보안 그룹에 추가합니다. SID 멤버 자격이 있는 로컬 보안 그룹을 사용할 경우 데이터베이스 엔진과 비교하여 SQL Server 설치 프로그램이 Analysis Services를 프로비전하는 방식에서 작지만 분명한 차이점이 있습니다.

파일 권한이 손상되었다고 생각되는 경우 다음 단계에 따라 서비스가 계속해서 올바르게 프로비전되는지 확인하세요.

1. 서비스 제어 명령줄 도구(sc.exe)를 사용하여 기본 서비스 인스턴스의 SID를 가져옵니다.

   SC showsid MSSqlServerOlapService

   명명된 인스턴스의 경우(여기서는 인스턴스 이름이 Tabular임) 다음 구문을 사용합니다.

   SC showsid MSOlap$Tabular

2. 컴퓨터 관리자 | 로컬 사용자 및 그룹 그룹을 | 사용하여 SQLServerMSASUser$servername$<<instancename>> 보안 그룹의 멤버 자격을 검사합니다.

   구성원 SID가 1단계의 서비스별 SID와 일치해야 합니다.

3. Windows Explorer | Program 파일 | Microsoft SQL Server 사용 | MSASxx.MSSQLServer | Olap | bin - 2단계에서 보안 그룹에 보안 속성이 부여되었는지 확인합니다.

서비스별 SID에 대한 추가 정보

모든 Windows 계정에는 연결된 SID가 있지만, 서비스에도 SID가 있으므로 서비스별 SID라고도 합니다. 서비스별 SID는 서비스 인스턴스가 설치될 때 서비스의 고유하고 영구적인 부분으로 생성됩니다. 서비스별 SID는 서비스 이름에서 생성되는 로컬 컴퓨터 수준 SID입니다. 기본 인스턴스에서 사용자 이름은 NT SERVICE\MSSQLServerOLAPService입니다.

서비스별 SID의 이점은 파일 권한에 영향을 미치지 않고 매우 광범위하게 표시할 수 있는 로그온 계정을 임의로 변경할 수 있다는 것입니다. 예를 들어 Analysis Services 인스턴스를 두 개 설치한 경우, 기본 인스턴스와 명명된 인스턴스가 동일한 Windows 사용자 계정에서 실행되면 로그온 계정이 공유되는 동안 각 서비스 인스턴스는 고유한 서비스별 SID를 갖습니다. 이 SID는 로그온 계정의 SID와는 완전히 다릅니다. 서비스별 SID는 파일 권한 및 Windows 권한에 사용됩니다. 반면에 로그온 계정 SID는 인증 및 권한 부여 시나리오에 사용되며 용도에 따라 다른 SID가 사용됩니다.

SID는 변경이 불가능하므로 서비스 설치 중 생성된 파일 시스템 ACL을 서비스 계정의 변경 빈도와 상관없이 무제한으로 사용할 수 있습니다. 추가된 보안 조치로, SID를 통해 권한을 지정하는 ACL은 다른 서비스가 동일한 계정에서 실행되더라도 프로그램 실행 파일 및 데이터 폴더가 서비스의 단일 인스턴스에서만 액세스되도록 합니다.

특정 서버 작업에 대한 추가 Analysis Services 권한 부여

SQL Server Analysis Services SQL Server Analysis Services 시작하는 데 사용되는 서비스 계정(또는 로그온 계정)의 보안 컨텍스트에서 일부 작업을 실행하고 작업을 요청하는 사용자의 보안 컨텍스트에서 다른 작업을 실행합니다.

다음 표에서는 서비스 계정으로 실행되는 태스크를 지원하는 데 필요한 추가 권한에 대해 설명합니다.

관련 콘텐츠

Windows 서비스 계정 및 권한 구성
SQL Server 서비스 계정 및 서비스별 SID(블로그)
SQL Server는 서비스 SID를 사용하여 서비스 격리(KB 문서)를 제공합니다.
액세스 토큰(MSDN)
보안 식별자(MSDN)
액세스 토큰(Wikipedia)
액세스 제어 목록(Wikipedia)