Sicherer Vorgang (Reporting Services)
Dieses Thema enthält Richtlinien zum Überwachen des Zugriffs auf Berichtsserver und zum Gewährleisten der Serversicherheit. Als Berichtsserveradministrator müssen Sie folgende Punkte berücksichtigen:
Wer Berichte ausführt, insbesondere Berichte, die sensible Daten enthalten
Wie Konfigurationseinstellungen bei Änderungen von Anmeldenamen oder Konten aktualisiert werden
Wie Berechtigungen aufgehoben oder geändert werden, wenn jemand das Unternehmen oder die Abteilung verlässt
Wie Berechtigungen für einen Berichtsserveradministrator aufgehoben oder geändert werden
Überwachen des Zugriffs auf Berichte
Das Berichtsausführungsprotokoll enthält Informationen zu den Benutzern, die auf Berichte zugreifen. Diese Informationen sind zwar auch in der Berichtsserver-Datenbank zu finden, allerdings wird nachdrücklich empfohlen, zum Abfragen von Ausführungsdaten des Berichtsservers eine separate Datenbank zu erstellen. Im Lieferumfang von Reporting Services ist ein Integration Services-Beispielpaket enthalten, das Sie zum Laden und Aktualisieren der zu analysierenden Daten verwenden können. Weitere Informationen finden Sie unter Überwachen (Reporting Services).
Aktualisieren von Serverkontoinformationen
Reporting Services ist eine verteilte Serveranwendung. Der Berichtsserver und die Berichtsserver-Datenbanken können sich auf unterschiedlichen Computern befinden. Wenn der Berichtsserver als Back-End-Server in einer umfangreichen Bereitstellung eines SharePoint-Produkts oder einer SharePoint-Technologie ausgeführt wird, muss darüber hinaus eine zusätzliche Verbindung zwischen der SharePoint-Webanwendung und dem Berichtsserver aufrechterhalten werden.
In der folgenden Liste werden die zu verwaltenden Konten und Anmeldenamen beschrieben:
Berichtsserverdienst
Verbindung zwischen Berichtsserver und Berichtsserver-Datenbank
Unbeaufsichtigtes Berichtsverarbeitungskonto
Gespeicherte Anmeldeinformationen für die geplante Berichts- oder Abonnementverarbeitung
Gespeicherte Anmeldeinformationen in datengesteuerten Abonnements
Für einen Berichtsserver, der im integrierten SharePoint-Modus ausgeführt wird, müssen Sie die Datenbank-Anmeldenamen für SharePoint verwalten, die der Berichtsserver verwendet, um eine Verbindung mit der Konfigurations- und Inhaltsdatenbank herzustellen. Die Datenbankanmeldung wird über die SharePoint-Zentraladministration verwaltet. Anweisungen zum Festlegen oder Aktualisieren der Anmeldenamen finden Sie unter Vorgehensweise: Konfigurieren der Berichtsserverintegration in der SharePoint-Zentraladministration.
Wenn Sie die Anzahl zu verwaltender Konten verringern möchten, können Sie ein integriertes Konto für den Berichtsserverdienst verwenden. Sie können auch die Verbindung mit der Berichtsserver-Datenbank so konfigurieren, dass das Dienstkonto verwendet wird.
Für alle anderen Konten und Anmeldenamen müssen Sie bei jeder Änderung eines Kontos und beim Ablauf eines Kennworts die freigegebenen Datenquellen oder die Einstellungen für benutzerdefinierte Datenquellen aktualisieren. Die Verwendung freigegebener Datenquellen kann erheblich zur Verringerung des hiermit verbundenen Arbeitsaufwands beitragen. Weitere Informationen finden Sie unter Verwalten von Berichtsdatenquellen.
Aufheben oder Ändern der Berechtigungen für einen Berichtsserveradministrator oder Benutzer
Ein Berichtsserveradministrator ist Mitglied der lokalen Administratorengruppe auf dem Berichtsservercomputer. Daher verfügt der Berichtsserveradministrator über vollständige Berechtigungen für die gesamte Berichtsserversite und die gesamte Ordnerhierarchie des Berichtsservers und kann anderen Benutzern Zugriff auf den Server gewähren, Elemente hinzufügen oder entfernen, die Eigenschaften von Elementen ändern, die Konfigurationseinstellungen für den Berichtsserver ändern usw. Wenn Sie Berechtigungen aufheben möchten, müssen Sie das betreffende Benutzerkonto aus der Administratorengruppe entfernen.
Wichtig |
---|
Es ist nicht erforderlich, Mitglied der lokalen Administratorengruppe zu sein, um über weit reichende Berechtigungen für einen Berichtsserver zu verfügen. Wenn nämlich ein Benutzer der Inhalts-Manager-Rolle und der Systemadministrator-Rolle auf dem Berichtsserver zugewiesen ist, ist er berechtigt, die rollenbasierte Sicherheit festzulegen und auf dem Server gespeicherten Inhalt oder gespeicherte Eigenschaften zu ändern. Wenn Sie diese Berechtigung aufheben möchten, können Sie die Rollenzuweisung ändern oder löschen. Weitere Informationen finden Sie unter Vorgehensweise: Ändern oder Löschen einer Rollenzuweisung (Berichts-Manager). |
Aufheben oder Ändern von Benutzerberechtigungen
Wenn ein Mitarbeiter die Abteilung oder das Unternehmen verlässt, können Sie die entsprechenden Rollenzuweisungen löschen, um den Zugriff auf Berichte zu verhindern. Wenn Sie benutzerdefinierte Rollenzuweisungen für bestimmte Ordner oder Berichte erstellt haben, überprüfen Sie unbedingt jede einzelne von diesen.
Durch das Löschen einer Rollenzuweisung werden nicht automatisch Abonnements gelöscht. Abonnements müssen aus jedem einzelnen Bericht gelöscht werden. Es steht keine Funktion für die Massenbearbeitung zur Verfügung, mit dem alle Abonnements an zentraler Stelle verwaltet werden könnten.
Wenn der Benutzer Empfänger eines standardmäßigen oder datengesteuerten Abonnements ist, wird das Abonnement des Benutzers durch das Entfernen der Rollenzuweisungen gesperrt. Allerdings sollten Sie jedes inaktive Abonnement löschen.