Sicherheitsrollen (Analysis Services – Mehrdimensionale Daten)
Gilt für: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
Rollen werden in Microsoft SQL Server SQL Server Analysis Services verwendet, um die Sicherheit für SQL Server Analysis Services Objekte und Daten zu verwalten. Grundsätzlich ordnet eine Rolle die Sicherheitsbezeichner (SIDs) von Microsoft Windows-Benutzern und -Gruppen zu, die über bestimmte Zugriffsrechte und Berechtigungen für Objekte verfügen, die von einer instance SQL Server Analysis Services verwaltet werden. In SQL Server Analysis Services werden zwei Rollentypen bereitgestellt:
Die Serverrolle, eine feste Rolle, die Administratorzugriff auf eine instance von SQL Server Analysis Services ermöglicht.
Datenbankrollen, bei denen es sich um von Administratoren definierte Rollen handelt, mit denen der Zugriff auf Objekte und Daten für Benutzer ohne Administratorrechte gesteuert wird.
Die Sicherheit in Microsoft SQL Server SQL Server Analysis Services Sicherheit wird mithilfe von Rollen und Berechtigungen verwaltet. Rollen sind Gruppen von Benutzern. Benutzer, auch als Elemente bezeichnet, können zu Rollen hinzugefügt oder aus diesen entfernt werden. Berechtigungen für Objekte werden mithilfe von Rollen festgelegt, und alle Mitglieder in einer Rolle können die Objekte verwenden, für die die Rolle die Berechtigungen besitzt. Alle Elemente in einer Rolle verfügen über die gleichen Berechtigungen für die Objekte. Berechtigungen gelten speziell für Objekte. Jedes Objekt verfügt über eine Berechtigungsauflistung, die die Berechtigungen für dieses Objekt enthält. Einem Objekt können unterschiedliche Berechtigungssätze zugeordnet werden. Jeder Berechtigung in der Berechtigungsauflistung des Objekts ist eine einzige Rolle zugeordnet.
Rollen und Rollenelementobjekte
Eine Rolle ist ein enthaltendes Objekt für eine Auflistung von Benutzern (Elementen). Eine Rollendefinition legt die Mitgliedschaft der Benutzer in SQL Server Analysis Services fest. Da Berechtigungen mithilfe von Rollen zugewiesen werden, muss ein Benutzer ein Element einer Rolle sein, bevor er Zugriff auf Objekte erhält.
Ein Role-Objekt besteht aus den Parametern Name, ID und Elemente. Elemente sind eine Auflistung von Zeichenfolgen. Jedes Element enthält den Benutzernamen im Format "domäne\benutzername". "Name" ist eine Zeichenfolge, die den Namen der Rolle enthält. "ID" ist eine Zeichenfolge, die den eindeutigen Bezeichner der Rolle enthält.
Serverrolle
Die SQL Server Analysis Services-Serverrolle definiert den administrativen Zugriff von Windows-Benutzern und -Gruppen auf eine instance von SQL Server Analysis Services. Mitglieder dieser Rolle haben Zugriff auf alle SQL Server Analysis Services Datenbanken und Objekte auf einer instance von SQL Server Analysis Services und können die folgenden Aufgaben ausführen:
Ausführen von Verwaltungsfunktionen auf Serverebene mithilfe von SQL Server Management Studio oder SQL Server Data Tools, einschließlich des Erstellens von Datenbanken und Festlegen von Eigenschaften auf Serverebene.
Programmgesteuertes Ausführen administrativer Funktionen mit Analysis Management Objects (AMO).
Verwalten sie SQL Server Analysis Services Datenbankrollen.
Starten von Ablaufverfolgungen (außer für die Verarbeitung von Ereignissen verwendeten Ablaufverfolgungen, die mit einer Datenbankrolle mit Verarbeitungszugriff ausgeführt werden können).
Jede instance von SQL Server Analysis Services verfügt über eine Serverrolle, die definiert, welche Benutzer diese instance verwalten können. Der Name und die ID dieser Rolle lauten Administratoren. Im Gegensatz zu Datenbankrollen kann die Serverrolle weder gelöscht werden, noch ist es möglich, der Serverrolle Berechtigungen hinzuzufügen bzw. aus ihr zu entfernen. Mit anderen Worten, ein Benutzer ist entweder oder kein Administrator für eine instance von SQL Server Analysis Services, je nachdem, ob er in der Serverrolle für diesen instance von SQL Server Analysis Services enthalten ist.
Datenbankrollen
Eine SQL Server Analysis Services Datenbankrolle definiert den Benutzerzugriff auf Objekte und Daten in einer SQL Server Analysis Services Datenbank. Eine Datenbankrolle wird als separates Objekt in einer SQL Server Analysis Services Datenbank erstellt und gilt nur für die Datenbank, in der diese Rolle erstellt wird. Der Administrator, der ebenfalls die Berechtigungen innerhalb der Rolle definiert, schließt die Windows-Benutzer und -Gruppen in die Rolle ein.
Neben den Zugriffsberechtigungen auf die Daten und Objekte innerhalb der Datenbank ermöglichen die Berechtigungen einer Rolle den Mitgliedern den Zugriff auf die Datenbank sowie deren Verwaltung. Jeder Berechtigung wird mindestens ein Zugriffsrecht zugeordnet, mit dem wiederum die Berechtigung für eine präzisere Steuerung des Zugriffs auf ein bestimmtes Objekt der Datenbank gewährt wird.
Berechtigungsobjekte
Berechtigungen sind mit einem Objekt (Cube, Dimension, sonstige) für eine bestimmte Rolle verbunden. Berechtigungen geben an, welche Vorgänge das Element dieser Rolle mit diesem Objekt ausführen kann.
Die Permission-Klasse ist eine abstrakte Klasse. Deshalb müssen Sie die abgeleiteten Klassen verwenden, um Berechtigungen für die entsprechenden Objekte zu definieren. Für jedes Objekt wird eine von der Berechtigung abgeleitete Klasse definiert.
Object | Klasse |
---|---|
Database | DatabasePermission |
DataSource | DataSourcePermission |
Dimension | DimensionPermission |
Cube | CubePermission |
MiningStructure | MiningStructurePermission |
MiningModel | MiningModelPermission |
Folgende Aktionen werden durch Berechtigungen aktiviert:
Aktion | Werte | Erklärung |
---|---|---|
Prozess | {true, false} Default=false |
Wenn truefestgelegt wird, können Elemente das Objekt sowie alle in dem Objekt enthaltenen Objekte verarbeiten. Prozessberechtigungen gelten nicht für Miningmodelle. MiningModel-Berechtigungen werden immer von MiningStructure geerbt. |
ReadDefinition | {None, Basic, Allowed} Default=None |
Gibt an, ob Elemente die mit dem Objekt verbundenen Datendefinitionen (ASSL) lesen können. Wenn Allowedfestgelegt wird, können Elemente die mit dem Objekt verbundenen ASSL lesen. Basic und Allowed werden von in dem Objekt enthaltenen Objekten geerbt. Allowed überschreibt Basic und None. Allowed ist für DISCOVER_XML_METADATA auf einem Objekt erforderlich Basic ist erforderlich, um verknüpfte Objekte und lokale Cubes zu erstellen. |
Lesen | {None, Allowed} Standard=None (außer für DimensionPermission, hier gilt Standard=Allowed) |
Gibt an, ob Elemente über Lesezugriff auf Schemarowsets und Dateninhalt verfügen. Allowed erteilt Lesezugriff auf eine Datenbank, sodass eine Datenbank ermitteln werden kann. In einem Cube zulässig bietet Lesezugriff in Schemarowsets und Zugriff auf Cubeinhalte (sofern nicht durch CellPermission und CubeDimensionPermissioneingeschränkt). Zulässig für eine Dimension gewährt Leseberechtigung für alle Attribute in der Dimension (sofern nicht durch CubeDimensionPermissioneingeschränkt). Die Leseberechtigung wird nur für die statische Vererbung an die CubeDimensionPermission verwendet. WennNone für eine Dimension festgelegt wird, wird die Dimension verborgen und Standardelemente erhalten nur Zugriff auf aggregierbare Attribute. Wenn die Dimension ein nicht aggregierbares Attribut enthält, wird ein Fehler ausgegeben. Zulässig für ein MiningModelPermission gewährt Berechtigungen zum Anzeigen von Objekten in Schemarowsets und zum Ausführen von Vorhersage-Joins. HinweisAllowed ist zum Lesen oder Schreiben in jedes Objekt in der Datenbank erforderlich. |
Schreiben | {None, Allowed} Default=None |
Gibt an, ob Elemente über Schreibzugriff auf Daten des übergeordneten Objekts verfügen. Der Zugriff gilt für Dimension, Cube und MiningModel-Unterklassen. Er gilt nicht für Datenbank-MiningStructure-Unterklassen, die einen Überprüfungsfehler generieren. Zulässig für ein Dimension gewährt Schreibberechtigungen für alle Attribute in der Dimension. Zulässig für einen Cube gewährt Schreibberechtigung für die Zellen des Cubes für Partitionen, die als Type=writeback definiert sind. Zulässig in einem MiningModel gewährt die Berechtigung zum Ändern von Modellinhalten. Zulässig für hat MiningStructure keine bestimmte Bedeutung in SQL Server Analysis Services. Hinweis: Schreibzugriff kann nicht auf Zulässig festgelegt werden, es sei denn, lesen ist ebenfalls auf Zulässig festgelegt. |
Verwalten Hinweis: Nur in Datenbankberechtigungen |
{true, false} Default=false |
Gibt an, ob Elemente eine Datenbank verwalten können. true gewährt Elementen Zugriff auf alle Objekte in einer Datenbank. Ein Element kann über Verwaltungsberechtigungen für eine bestimmte Datenbank verfügen, jedoch nicht für andere. |
Weitere Informationen
Berechtigungen und Zugriffsrechte (Analysis Services - Mehrdimensionale Daten)
Autorisieren des Zugriffs auf Objekte und Vorgänge (Analysis Services)