Sicherheitsrollen (Analysis Services – Mehrdimensionale Daten)
Rollen werden in Microsoft SQL Server Analysis Services verwendet, um die Sicherheit für Analysis Services-Objekte und -Daten zu verwalten. Im Allgemeinen ordnet eine Rolle die Sicherheits-IDs (SIDs) von Microsoft Windows-Benutzern und -Gruppen zu, die über bestimmte Zugriffsrechte und Berechtigungen verfügen, die für Objekte definiert sind, die von einer instance von Analysis Services verwaltet werden. In Analysis Services werden zwei Rollentypen bereitgestellt:
Die Serverrolle, eine feste Rolle, die Administratorzugriff auf eine instance von Analysis Services ermöglicht.
Datenbankrollen, bei denen es sich um von Administratoren definierte Rollen handelt, mit denen der Zugriff auf Objekte und Daten für Benutzer ohne Administratorrechte gesteuert wird.
Die Sicherheit in Microsoft SQL Server Analysis Services Sicherheit wird mithilfe von Rollen und Berechtigungen verwaltet. Rollen sind Gruppen von Benutzern. Benutzer, auch als Elemente bezeichnet, können zu Rollen hinzugefügt oder aus diesen entfernt werden. Berechtigungen für Objekte werden mithilfe von Rollen festgelegt, und alle Mitglieder in einer Rolle können die Objekte verwenden, für die die Rolle die Berechtigungen besitzt. Alle Elemente in einer Rolle verfügen über die gleichen Berechtigungen für die Objekte. Berechtigungen gelten speziell für Objekte. Jedes Objekt verfügt über eine Berechtigungsauflistung, die die Berechtigungen für dieses Objekt enthält. Einem Objekt können unterschiedliche Berechtigungssätze zugeordnet werden. Jeder Berechtigung in der Berechtigungsauflistung des Objekts ist eine einzige Rolle zugeordnet.
Rollen und Rollenelementobjekte
Eine Rolle ist ein enthaltendes Objekt für eine Auflistung von Benutzern (Elementen). Eine Rollendefinition legt die Mitgliedschaft der Benutzer in Analysis Services fest. Da Berechtigungen mithilfe von Rollen zugewiesen werden, muss ein Benutzer ein Element einer Rolle sein, bevor er Zugriff auf Objekte erhält.
Ein Role-Objekt besteht aus den Parametern Name, ID und Elemente. Elemente sind eine Auflistung von Zeichenfolgen. Jedes Element enthält den Benutzernamen im Format "domäne\benutzername". "Name" ist eine Zeichenfolge, die den Namen der Rolle enthält. "ID" ist eine Zeichenfolge, die den eindeutigen Bezeichner der Rolle enthält.
Serverrolle
Die Analysis Services-Serverrolle definiert den Administratorzugriff von Windows-Benutzern und -Gruppen auf eine instance von Analysis Services. Mitglieder dieser Rolle haben Zugriff auf alle Analysis Services-Datenbanken und -Objekte auf einer instance von Analysis Services und können die folgenden Aufgaben ausführen:
Ausführen von Verwaltungsfunktionen auf Serverebene mithilfe von SQL Server Management Studio oder SQL Server Data Tools (SSDT), einschließlich des Erstellens von Datenbanken und Festlegen von Eigenschaften auf Serverebene.
Programmgesteuertes Ausführen administrativer Funktionen mit Analysis Management Objects (AMO).
Verwalten von Analysis Services-Datenbankrollen
Starten von Ablaufverfolgungen (außer für die Verarbeitung von Ereignissen verwendeten Ablaufverfolgungen, die mit einer Datenbankrolle mit Verarbeitungszugriff ausgeführt werden können).
Jede instance von Analysis Services verfügt über eine Serverrolle, die definiert, welche Benutzer diese instance verwalten können. Der Name und die ID dieser Rolle lauten Administratoren. Im Gegensatz zu Datenbankrollen kann die Serverrolle weder gelöscht werden, noch ist es möglich, der Serverrolle Berechtigungen hinzuzufügen bzw. aus ihr zu entfernen. Anders ausgedrückt: Ein Benutzer ist entweder administrator für eine instance von Analysis Services oder ist kein Administrator, je nachdem, ob er in die Serverrolle für diesen instance von Analysis Services einbezogen ist.
Datenbankrollen
Eine Analysis Services-Datenbankrolle definiert den Benutzerzugriff auf Objekte und Daten in einer Analysis Services-Datenbank. Eine Datenbankrolle wird als separates Objekt in einer Analysis Services-Datenbank erstellt und gilt nur für die Datenbank, in der diese Rolle erstellt wird. Der Administrator, der ebenfalls die Berechtigungen innerhalb der Rolle definiert, schließt die Windows-Benutzer und -Gruppen in die Rolle ein.
Neben den Zugriffsberechtigungen auf die Daten und Objekte innerhalb der Datenbank ermöglichen die Berechtigungen einer Rolle den Mitgliedern den Zugriff auf die Datenbank sowie deren Verwaltung. Jeder Berechtigung wird mindestens ein Zugriffsrecht zugeordnet, mit dem wiederum die Berechtigung für eine präzisere Steuerung des Zugriffs auf ein bestimmtes Objekt der Datenbank gewährt wird.
Berechtigungsobjekte
Berechtigungen sind mit einem Objekt (Cube, Dimension, sonstige) für eine bestimmte Rolle verbunden. Berechtigungen geben an, welche Vorgänge das Element dieser Rolle mit diesem Objekt ausführen kann.
Die Permission-Klasse ist eine abstrakte Klasse. Deshalb müssen Sie die abgeleiteten Klassen verwenden, um Berechtigungen für die entsprechenden Objekte zu definieren. Für jedes Objekt wird eine von der Berechtigung abgeleitete Klasse definiert.
| Object | Klasse |
|---|---|
| Database | DatabasePermission |
| DataSource | DataSourcePermission |
| Dimension | DimensionPermission |
| Cube | CubePermission |
| MiningStructure | MiningStructurePermission |
| MiningModel | MiningModelPermission |
Folgende Aktionen werden durch Berechtigungen aktiviert:
| Action | Werte | Erklärung |
|---|---|---|
| Prozess | {true, false}Standard= false |
Wenn true festgelegt wird, können Elemente das Objekt sowie alle in dem Objekt enthaltenen Objekte verarbeiten.Prozessberechtigungen gelten nicht für Miningmodelle. MiningModel-Berechtigungen werden immer von MiningStructure geerbt. |
| ReadDefinition | {None, Basic, Allowed}Standard= None |
Gibt an, ob Elemente die mit dem Objekt verbundenen Datendefinitionen (ASSL) lesen können. Wenn Allowed festgelegt wird, können Elemente die mit dem Objekt verbundenen ASSL lesen.Basic und Allowed werden von in dem Objekt enthaltenen Objekten geerbt. Allowed überschreibt Basic und None.Allowed ist für DISCOVER_XML_METADATA auf einem Objekt erforderlich Basic ist erforderlich, um verknüpfte Objekte und lokale Cubes zu erstellen. |
| Lesen | {None, Allowed}Standard= None (außer für DimensionPermission, hier gilt Standard=Allowed) |
Gibt an, ob Elemente über Lesezugriff auf Schemarowsets und Dateninhalt verfügen.Allowed bietet Lesezugriff auf eine Datenbank, mit dem Sie eine Datenbank ermitteln können.Allowed für einen Cube ermöglicht Lesezugriff auf Schemarowsets und Zugriff auf Cubeinhalte (wenn nicht eingeschränkt durch CellPermission und CubeDimensionPermission).Allowed für eine Dimension gewährt diese Leseberechtigung für alle Attributen in der Dimension (wenn nicht eingeschränkt durch CubeDimensionPermission). Die Leseberechtigung wird nur für die statische Vererbung an die CubeDimensionPermission verwendet. Wenn None für eine Dimension festgelegt wird, wird die Dimension verborgen und Standardelemente erhalten nur Zugriff auf aggregierbare Attribute. Wenn die Dimension ein nicht aggregierbares Attribut enthält, wird ein Fehler ausgegeben.Wenn Allowed für MiningModelPermission festgelegt wird, werden Berechtigungen für das Anzeigen von Objekten in Schemarowsets und die Ausführung von vorhergesagten Joins erteilt.NoteAllowed ist erforderlich, um ein beliebiges Objekt in der Datenbank zu lesen oder zu schreiben. |
| Schreiben | {None, Allowed}Standard= None |
Gibt an, ob Elemente über Schreibzugriff auf Daten des übergeordneten Objekts verfügen. Der Zugriff gilt für Dimension, Cube und MiningModel-Unterklassen. Er gilt nicht für Datenbank-MiningStructure-Unterklassen, die einen Überprüfungsfehler generieren. Wenn Allowed für Dimension festgelegt wird, werden Schreibberechtigungen für alle Attribute in der Dimension gewährt.Wenn Allowed für Cube festgelegt wird, werden Schreibberechtigungen für die Zellen des Cubes gewährt, für deren Partitionen der Typ=writeback definiert wurde.Wenn Allowed für MiningModel festgelegt wird, werden Berechtigungen für die Änderung des Modellinhalts gewährt.Allowed für hat MiningStructure in Analysis Services keine bestimmte Bedeutung. Hinweis: Schreibvorgänge können nicht auf Allowed festgelegt werden, es sei denn, lesen ist ebenfalls auf festgelegt. Allowed |
| Administratorhinweis: Nur in Datenbankberechtigungen | {true, false}Standard= false |
Gibt an, ob Elemente eine Datenbank verwalten können.true gewährt Elementen Zugriff auf alle Objekte in einer Datenbank.Ein Element kann über Verwaltungsberechtigungen für eine bestimmte Datenbank verfügen, jedoch nicht für andere. |
Weitere Informationen
Autorisieren des Zugriffs auf Objekte und Vorgänge (Analysis Services)