Auswählen des Dienstkontos
Eine Instanz von Microsoft SQL Server Analysis Services kann im Sicherheitskontext einer Vielzahl verschiedener Konten ausgeführt werden.Es empfiehlt sich jedoch, ein Domänenbenutzerkonto oder ein lokales Benutzerkonto als Anmeldekonto für Analysis Services zu verwenden. Ob Sie ein Domänenbenutzerkonto oder ein lokales Benutzerkonto verwenden, hängt davon ab, ob Analysis Services eine Verbindung mit Netzwerkressourcen herstellen muss:
Wenn Analysis Services im Sicherheitskontext seines Anmeldekontos eine Verbindung mit Netzwerkressourcen herstellen muss, dann führen Sie die Instanz von Analysis Services im Sicherheitskontext eines dedizierten Domänenbenutzerkontos aus.
Wenn Analysis Services im Sicherheitskontext seines Anmeldekontos keine Verbindung mit Netzwerkressourcen herstellen muss, dann führen Sie die Instanz von Analysis Services im Sicherheitskontext eines lokalen Benutzerkontos aus.
Es ist außerdem ratsam, das ausgewählte Anmeldekonto ausschließlich zu diesem Zweck zu verwenden. Indem Sie die Verwendung des Anmeldekontos beschränken, kann die Verschlüsselung der Verbindungszeichenfolgen und der Kennwörter besser geschützt werden.
Verwenden eines dedizierten Domänenbenutzerkontos als Anmeldekonto
Ein Domänenbenutzerkonto ist ein innerhalb des Active Directory-Verzeichnisdiensts erstelltes Benutzerkonto. Dieses Konto ist Mitglied der Gruppe der in der Domäne authentifizierten Benutzer. Ein im Sicherheitskontext eines Domänenbenutzerkontos ausgeführter Dienst übergibt das Kerberos-Ticket des Domänenbenutzerkontos an Remoteserver. Ein im Sicherheitskontext eines Domänenbenutzerkontos ausgeführter Service kann auf dem Remoteserver auf Ressourcen zugreifen, für die authentifizierte Benutzer oder ein bestimmtes Benutzerkonto eine Zugriffsberechtigung besitzen.
Verwenden eines lokalen Benutzerkontos als Anmeldekonto
Ein lokales Benutzerkonto ist ein auf dem lokalen Computer erstelltes Windows-Benutzerkonto. Ein im Sicherheitskontext eines Domänenbenutzerkontos ausgeführter Dienst übergibt das Zugriffstoken des lokalen Benutzerkontos an Remoteserver. Wenn auf dem Remoteserver ein übereinstimmender Benutzername mit Kennwort konfiguriert ist, kann ein Dienst, der ein lokales Benutzerkonto verwendet, auf dem Remoteserver auf Ressourcen zugreifen, für die das Konto mit diesem Namen zugriffsberechtigt ist. Obwohl dieses Szenario möglich ist, erhöht die Verwaltung dieser separaten Konten und die Synchronisierung der Kennwörter den Verwaltungsaufwand.
Verwenden anderer Konten als Anmeldekonten
Zusätzlich zu einem Domänenbenutzerkonto oder einem lokalen Benutzerkonto kann eine Instanz von Analysis Services auch im Kontext der folgenden Konten ausgeführt werden:
Lokales System
Dies ist ein vordefiniertes lokales Konto, das auf dem lokalen Computer über Administratorberechtigungen verfügt. Ein Dienst, der im Sicherheitskontext des lokalen Benutzerkontos ausgeführt wird, übergibt die Anmeldedaten des lokalen Computers an Remoteserver. Ein Dienst, der im Sicherheitskontext des lokalen Systemkontos ausgeführt wird, kann keine authentifizierte Verbindung herstellen, da das lokale Systemkonto in der Domäne nicht zur Gruppe Jeder gehört. Demzufolge kann ein Dienst, der dieses Konto verwendet, nur über eine NULL-Sitzung auf Netzwerkressourcen zugreifen.LocalService
Dies ist ein vordefiniertes lokales Konto, das auf dem lokalen Computer über Berechtigungen authentifizierter Benutzer verfügt. Ein im Sicherheitskontext des LocalService-Kontos ausgeführter Dienst übergibt die anonymen Anmeldedaten an Remoteserver. Demzufolge kann ein Dienst, der dieses Konto verwendet, nur auf Netzwerkressourcen zugreifen, die einen anonymen Zugriff zulassen.NetworkService
Dies ist ein vordefiniertes lokales Konto, das auf dem lokalen Computer über Berechtigungen authentifizierter Benutzer verfügt. Ein im Sicherheitskontext des NetworkService-Kontos ausgeführter Dienst übergibt die Anmeldedaten des lokalen Computers als die eines authentifizierten Benutzers (also eines Benutzers, der in der Domäne Mitglied der Gruppe Jeder ist) an Remoteserver. Demzufolge kann ein Dienst, der dieses Konto verwendet, auf dem Remoteserver auf Ressourcen zugreifen, für die authentifizierte Benutzer zugriffsberechtigt sind. Um den Zugriff eines dieses Konto verwendenden Diensts auf eine Remoteressource zu aktivieren, können Sie den Namen des Servers, auf dem Analysis Services ausgeführt wird, der Remoteressource hinzufügen.
Als beste Sicherheitsregel für die in der oben Liste aufgeführten oder beliebige andere Konten gilt, Analysis Services im Sicherheitskontext eines Kontos auszuführen, das über möglichst wenig Berechtigungen verfügt. Das Konto Lokales System eignet sich für die Entwicklungsumgebung. Da dieses Verwaltungskonto über zu viele Berechtigungen verfügt, empfiehlt es sich aber nicht für die Produktionsumgebung. Auch das LocalService- und das NetworkService-Konto sind nicht zu empfehlen. Auch wenn diese Konten so angelegt sind, dass sie als Dienstanmeldekonten mit minimalen Berechtigungen verwendet werden können, so ist für Analysis Services vom LocalService- und vom NetworkService-Konto abzuraten, weil verschlüsselte Analysis Services-Verbindungszeichenfolgen und Kennwörter durch das Analysis Services-Anmeldekonto entschlüsselt werden können. Dies bedeutet, dass ein anderer Windows-Dienst, der im Rahmen desselben Anmeldekontos wie Analysis Services ausgeführt wird, diese Verbindungszeichenfolgen und Kennwörter entschlüsseln kann.
Angeben des Analysis Services-Anmeldekontos
Nachdem Sie entschieden haben, welcher Anmeldekontext verwendet werden soll, geben Sie das Anmeldekonto während des Setups auf der Seite Dienstkonto an. Während des Setupprozesses werden dem angegebenen Anmeldekonto alle notwendigen Berechtigungen für den lokalen Computer erteilt, wie:
Umgehen der Traversierungsüberprüfung
Erstellen des Tokenobjekts
Generierung der Sicherheitsüberwachung
Sperren von Seiten im Arbeitsspeicher
Ersetzen von Token auf Prozessebene
Dem Analysis Services-Anmeldekonto werden außerdem volle NTFS-Zugriffsberechtigungen für alle in der Instanz von Analysis Services vorhandenen Dateien erteilt. Die auf Remoteservern erforderlichen Berechtigungen, wie diejenigen für Datenquellen, müssen dem Anmeldekonto speziell erteilt werden.
Hinweis |
---|
Das Analysis Services-Anmeldekonto ist nicht berechtigt, eine Anmeldung in einer Instanz von Analysis Services vorzunehmen, obwohl es die volle Zugriffsberechtigung für alle in der Instanz von Analysis Services vorhandenen Dateien besitzt. |