Freigeben über

  • Artikel

Überlegungen zum Planning Server-Anwendungspoolidentitäts- und Dienstidentitätskonto

Aktualisiert: 2009-04-09

Bei dem Windows-Benutzerkonto für das Planning Server-Anwendungspool- und Dienstidentitätskonto (Service Identity, SI) sollte es sich um ein Domänenkonto handeln. Das Konto darf weder ein Gruppenkonto noch das lokale Administratorkonto auf dem Computer mit SQL Server sein. Es muss ein eigenes Konto mit lokalem Zugriff und Domänenzugriff verwendet werden.

Das Planning Server-Anwendungspoolidentitäts- und SI-Konto muss Folgendes besitzen:

  • Netzwerkzugriff auf lokale Computer

  • Berechtigungen zum Anmelden an Netzwerkcomputern und lokalen Computern als Batchprozess

  • Berechtigungen zum Anmelden an Netzwerkcomputern und lokalen Computern als Dienst

Falls der Netzwerkzugriff auf lokale Computer auf dem Hostcomputer oder in der Domäne mithilfe einer Gruppenrichtlinie explizit verweigert wurde, dann wird das Setup für mit dem Konfigurations-Manager für Planning Server auf der Einrichtungsseite für das Konto angehalten.

Falls der Netzwerkanmeldezugriff als Batchprozess oder Dienst verweigert wird, wird der Konfigurations-Manager für Planning Server fortgesetzt, jedoch treten Fehler mit dem IIS-Anwendungspool und dem Windows-Dienst auf, die mit Planning Server verwendet werden. Der Windows-Dienst wird nicht ausgeführt, und die Anwendungspools werden nicht gestartet, wenn auf die Website oder den Webdienst über Planning Server zugegriffen wird.

HinweisHinweis:

Die Auswahl eines Computerkontos oder eines SQL Server-Administratorkontos wird nicht empfohlen.

Planning SI-Kontoberechtigungen

Vom Konfigurations-Manager für Planning Server werden alle Berechtigungen, die vom Planning SI-Konto benötigt werden, automatisch festgelegt.

Folgendes wird vom Konfigurations-Manager für Planning Server für das Planning SI-Konto festgelegt: 

  • Das Planning-Konto wird der Windows-Gruppe IIS_WPG hinzugefügt.

  • Das Planning-Konto wird einer lokalen Sicherheitsrichtlinie auf dem Hostcomputer hinzugefügt.

  • Das Planning-Konto wird den SQL Server-Sicherheitsanmeldungen hinzugefügt.

    Für eine eigenständige Planning Server-Installation gilt: Die dbcreator-Berechtigungen in SQL Server werden festgelegt, und die ALTER TRACE-Berechtigungen werden dem Anwendungspoolidentitäts- und SI-Konto auf dem Computer mit SQL Server erteilt. Darüber hinaus wird das Planning-Anwendungsidentitäts- und SI-Konto der Sicherheitsrolle des Analysis Services-Servers hinzugefügt.

    Für eine verteilte Planning Server-Installation auf einem Computer mit SQL Server, der nur die Anwendungsdatenbanken enthält, gilt: Folgendes wird vom Konfigurations-Manager für Planning Server nicht festgelegt oder hinzugefügt und muss manuell festgelegt werden:

    • Die dbcreator-Berechtigung

    • Das Hinzufügen der Anwendungspoolidentitäts- und SI-Konten zur Sicherheitsrolle des Analysis Services-Servers.

    Vollständige Details finden Sie unter Vorbereiten von SQL Server zum Hosten einer Anwendungsdatenbank.

  • Das Planning-Anwendungspoolidentitäts-Konto wird verwendet, um zwei IIS-Anwendungspools für die PerformancePoint Planning-Verwaltungskonsole und den Planning-Webdienst auszuführen.

  • Das Planning-SI-Konto wird zum Ausführen des PerformancePoint Planning-Prozessdienstes verwendet.

Für eine eigenständige Installation werden alle Aufgaben zur vollständigen Konfiguration von Konten und Berechtigungen in Planning Server vom Konfigurations-Manager für Planning Server abgeschlossen. Für eine verteilte Computerinstallation gelten die oben erwähnten Ausnahmen. Darüber hinaus müssen Sie den Konfigurations-Manager für Planning Server ausführen.