Gewähren des Zugriffs auf Datenquellen
Im Normalfall benötigen die meisten Benutzer von MicrosoftSQL ServerAnalysis Services keinen Zugriff auf die Datenquellen, die einem Analysis Services-Projekt zugrunde liegen. Sie fragen die Daten in der Regel nur in Analysis Services ab.
Allerdings muss ein Benutzer im Zusammenhang mit dem Data Mining, z. B. beim Ausführen von Vorhersagen auf der Basis eines Miningmodells, die aus einem Miningmodell abgeleiteten Daten mit den vom Benutzer bereitgestellten Daten verknüpfen. Um eine Verbindung mit der Datenquelle, in der sich die vom Benutzer bereitgestellten Daten befinden, herstellen zu können, verwendet der Benutzer eine DMX-Abfrage (Data Mining Extensions), die sowohl die OPENQUERY (DMX)-Klausel als auch die OPENROWSET (DMX)-Klausel enthält.
Wichtig |
---|
Aus Sicherheitsgründen ist das Übermitteln von DMX-Abfragen mithilfe einer offenen Verbindungszeichenfolge in der OPENROWSET-Klausel deaktiviert. Weitere Informationen finden Sie unter Sichern der von Analysis Services verwendeten Datenquellen. |
Zum Ausführen einer DMX-Abfrage, die eine Verbindung mit einer Datenquelle herstellt, muss der Benutzer Zugriff auf das Datenquellenobjekt innerhalb der Analysis Services-Datenbank haben. Standardmäßig haben nur Mitglieder der Analysis Services-Serverrolle oder Mitglieder der Administratorrolle Zugriff auf Datenquellenobjekte. Das bedeutet, dass ein Benutzer nicht auf das Datenquellenobjekt zugreifen kann, sofern nicht ein Mitglied der Analysis Services-Serverrolle oder der Administratorrolle der Datenbankrolle, zu der der Benutzer gehört, den Zugriff auf die Datenquelle gewährt.
Festlegen der Leseberechtigungen für eine Datenquelle
Einer Datenbankrolle können entweder keine Zugriffsberechtigungen für ein Datenquellenobjekt oder Leseberechtigungen erteilt werden.
Wichtig |
---|
Die Berechtigungen für ein Datenquellenobjekt sollten eingeschränkt sein. Die eigentlichen Berechtigungen, die Benutzer in der zugrunde liegenden Datenquelle besitzen, sollten eingeschränkt sein. |
Wenn einem Benutzer Leseberechtigungen für eine Datenbankrolle erteilt werden sollen, muss der Benutzer ein Mitglied der Analysis Services-Serverrolle oder ein Mitglied einer Analysis Services-Datenbankrolle sein, die über die Berechtigung Vollzugriff (Administrator) verfügt.
So erteilen Sie einer Datenbankrolle die Leseberechtigung für eine Datenquelle
Stellen Sie in SQL Server Management Studio eine Verbindung mit einer Instanz von Analysis Services her, erweitern Sie im Objekt-Explorer das Rollen-Element für die entsprechende Datenbank, und klicken Sie dann auf eine Datenbankrolle (oder erstellen Sie eine neue Datenbankrolle).
Klicken Sie im Bereich Seite auswählen auf Datenquellenzugriff, suchen Sie in der Liste Datenquelle das Datenquellenobjekt, und wählen Sie dann in der Liste Zugriff für die Datenquelle die Option Lesen aus.
Arbeiten mit der Verbindungszeichenfolge, die von einem Datenquellenobjekt verwendet wird
Das Datenquellenobjekt enthält die Verbindungszeichenfolge, die zum Verbindungsaufbau mit der zugrunde liegenden Datenquelle verwendet wird. Diese Verbindungszeichenfolge kann die folgenden Angaben enthalten:
Angabe eines Benutzernamens und eines Kennworts
Wenn die von einem Datenquellenobjekt verwendete Verbindungszeichenfolge einen Benutzernamen und ein Kennwort angibt, kann es sinnvoll sein, mehrere Datenquellenobjekte zu erstellen, von denen jedes unterschiedliche Benutzerkonten hat. Durch das Erstellen mehrerer Datenquellenobjekte können Benutzer auf bestimmte Datenquellenobjekte zugreifen, während der Zugriff auf andere Datenquellenobjekte verhindert wird. Diese anderen Datenquellenobjekte können von Analysis Services selbst zum Verarbeiten von Objekten wie z. B. Cubes und Miningmodellen verwendet werden.
Angabe der Windows-Authentifizierung
Wenn die von einem Datenquellenobjekt verwendete Verbindungszeichenfolge die Windows-Authentifizierung angibt, muss Analysis Services in der Lage sein, die Identität des Clients anzunehmen. Wenn sich die Datenquelle auf demselben Computer befindet, kann Analysis Services die Identität des Clients annehmen. Wenn sich die Datenquelle jedoch auf einem Remotecomputer befindet, müssen die beiden Computer mithilfe der Microsoft Kerberos-Authentifizierung als vertrauenswürdig für den Identitätswechsel eingestuft werden, weil ansonsten die Abfrage zumeist fehlschlägt. Wenn der Client den Identitätswechsel nicht zulässt (durch die Identitätswechselebene-Eigenschaft in OLE DB und anderen Clientkomponenten), versucht Analysis Services, eine anonyme Verbindung mit der zugrunde liegenden Datenquelle herzustellen (obwohl die meisten Datenquellen keine anonymen Verbindungen akzeptieren).