サービス アカウント (SSRS ネイティブ モード)
[サービス アカウント] ページを使用すると、レポート サーバー サービスを実行するアカウントを指定できます。 このアカウントは、最初はセットアップ中に構成されます。 アカウントまたはパスワードの変更が必要な場合は、変更を加えることができます。 レポート サーバー Web サービス、レポート マネージャー、およびバックグラウンド処理アプリケーションは、いずれもこのページで指定したサービス ID で実行されます。
適用対象: Reporting Services ネイティブ モード。
レポート サーバー サービス用に指定するアカウントには、レジストリ、レポート サーバー プログラム ファイル、およびレポート サーバー データベースにアクセスするための権限が必要です。 Reporting Services Configuration Managerを使用してアカウントを設定すると、すべてのアクセス許可がアカウントに対して自動的に構成されます。 サービス アカウントを使用してレポート サーバー データベースに接続する場合、Configuration Managerはアカウントのデータベース ログインを作成し、レポート サーバー データベースをホストするSQL Server インスタンスの RSExecRole にアカウントを割り当てることでデータベースのアクセス許可を構成します。 レポート サーバー データベースは、レポート サーバーが書き込みを行う唯一のデータ ストアです。 それ以外のデータ ストアに対する権限は、サービス アカウントには必要ありません。
このページを開くには、Reporting Services Configuration Managerを開始し、ナビゲーション ウィンドウでリンクを選択します。 詳細については、「Reporting Services Configuration Manager (ネイティブ モード)」を参照してください。
重要
アカウントまたはパスワードを更新する必要がある場合は常に、Reporting Services Configuration Managerを使用することを強くお勧めします。 構成マネージャーを使用してアカウントを更新すると、サービス ID に依存する他の内部設定が自動的に同時に更新されます。
オプション
[ビルトイン アカウントを使用する]
一覧から [ネットワーク サービス]、 [ローカル システム]、または [ローカル サービス] を選択します。 推奨されるのは [ネットワーク サービス] だけですが、使用可能な任意のアカウントを使用するようにアカウントを構成できます。
別のアカウントを使用する
Windows ユーザー アカウントを指定する場合は、このオプションを選択します。 ローカル Windows ユーザー アカウントまたはドメイン ユーザー アカウントを入力できます。 ドメイン アカウントを domain\<user という形式<>で指定します>。 ローカル Windows ユーザー アカウントを次の形式で指定します: <コンピューター名>\<ユーザー>。 既存のアカウントのみを選択できます。Reporting Services構成で新しいアカウントを作成することはできません。
アカウントの文字数の上限は 20 文字です。
ネットワークが Kerberos 認証を使用している場合に、ドメイン ユーザー アカウントで実行されるようにレポート サーバーを構成するには、サービスをユーザー アカウントに登録する必要があります。 詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) の登録」を参照してください。
たとえば、ある Windows アカウントを別のアカウントで置き換えたり、ビルトイン アカウントを Windows ドメイン アカウントで置き換えたりするなどしてアカウントの種類を切り替えると、暗号化キーのバックアップ コピーを作成するように求めるプロンプトが表示されます。 新しいアカウントを選択すると、バックアップ コピーが自動的に復元されます。
Note
Reporting Services構成マネージャーは、サービス アカウントを変更するたびに暗号化キーのバックアップと復元を求めるメッセージを表示します。 この手順は、暗号化されたデータをレポート サーバーが使用できるようにするために必要です。 これらのアクションの詳細については、「 暗号化キー (SSRS ネイティブ モード)」を参照してください。
さらに、SharePoint 統合モードで実行するように構成されているレポート サーバーがあり、Reporting Services Configuration Managerを使用してサービス アカウントを変更する場合は、SharePoint サーバーの全体管理を開き、[データベース アクセスの許可] Reporting Servicesを使用する必要もあります。ページを使用して、レポート サーバーとインスタンスの設定を再適用します。 この手順により、新しいサービス アカウントに SharePoint データベースへのアクセス権が付与されます。これは、Reporting Servicesを SharePoint 製品またはテクノロジと統合するために必要です。 SharePoint サーバーの全体管理でデータベース アクセス権を付与する方法の詳細については、「レポート サーバーの構成と管理 (Reporting Services SharePoint モード)」および「SharePoint モードのインストール (SharePoint 2010 および SharePoint 2013)」Reporting Services参照してください。
アカウントの選択
最良の結果を得るには、ネットワーク接続権限があり、ネットワーク ドメイン コントローラーおよび会社の SMTP サーバーまたはゲートウェイにアクセスできるアカウントを指定します。 次の表に、アカウントの概要およびアカウントの使用に関する推奨事項を示します。
| Account | 説明 |
|---|---|
| ドメイン ユーザー アカウント | レポート サーバーの操作に必要な最小限の権限を持つ Windows ドメイン ユーザー アカウントがある場合は、それを使用してください。 レポート サーバー サービスが他のアプリケーションから切り離されるため、ドメイン ユーザー アカウントの使用をお勧めします。 ネットワーク サービスなどの共有アカウントで複数のアプリケーションを実行すると、悪意のあるユーザーにレポート サーバーを制御されるリスクが増大します。これは、あるアプリケーションに対するセキュリティ侵害が、同じアカウントで実行されるすべてのアプリケーションへと容易に拡大するためです。 ドメイン ユーザー アカウントが必要となるのは、レポート サーバーで制約付き委任を構成する場合、または、ビルトイン コンピューター アカウントではなくドメイン ユーザー アカウントを必要とする SharePoint 2010 製品との SharePoint 統合モードを構成する場合です。 パスワードの有効期限ポリシーを実施する組織でドメイン ユーザー アカウントを使用する場合は、パスワードを定期的に変更する必要があるので注意してください。 また、場合によってはサービスをユーザー アカウントに登録する必要があります。 詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) の登録」を参照してください。 ローカル Windows ユーザー アカウントは使用しないでください。 一般に、ローカル アカウントには、他のコンピューター上のリソースにアクセスするための十分な権限が与えられていません。 ローカル アカウントを使用した場合にレポート サーバーの機能がどのように制限されるかについては、このトピックの「 ローカル アカウントの使用に関する注意点 」を参照してください。 |
| Network Service | ネットワーク サービス は、ネットワークへのログオン権限を持つ最小特権のビルトイン アカウントです。 使用できるドメイン ユーザー アカウントがない場合や、パスワード有効期限ポリシーが原因でサービスが中断されないようにする場合は、このアカウントの使用をお勧めします。 [ネットワーク サービス] を選択する場合は、同じアカウントで実行される他のサービスの数を最小限に抑えてください。 あるアプリケーションに対するセキュリティ侵害が、同じアカウントで実行される他のすべてのアプリケーションのセキュリティを損なうことになります。 |
| Local Service | ローカル サービス は、認証済みのローカル Windows ユーザー アカウントに似たビルトイン アカウントです。 ローカル サービス アカウントとして実行されるサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。 イントラネットに配置するシナリオでは、レポート サーバーがレポートを開いたりサブスクリプションを処理したりする前に、リモートのレポート サーバー データベースまたはネットワーク ドメイン コントローラーに接続してユーザーを認証する必要があるため、このアカウントは適していません。 |
| Local System | ローカル システム は、レポート サーバーの実行には必要のない高い特権のアカウントです。 レポート サーバーのインストールにこのアカウントを使用することは避けてください。 代わりに、ドメイン アカウントまたは ネットワーク サービス を使用してください。 |
ローカル アカウントの使用に関する注意点
ローカル アカウントを使用する場合の主な注意点は、レポート サーバーがリモートのデータベース サーバー、メール サーバー、およびドメイン コントローラーにアクセスする必要があるかどうかということです。 レポート サーバーをローカル Windows ユーザー アカウント、ローカル サービス、またはローカル システムとして実行されるように構成する場合は、他の構成の設定方法やサブスクリプションの作成と配信に関して次の点を考慮する必要があります。
ローカル アカウントでサービスを実行すると、後でリモートのレポート サーバー データベースへの接続を構成する場合に選択肢が限られます。 具体的には、リモート レポート サーバー データベースを使用している場合は、リモート SQL Server インスタンスにログオンするアクセス許可を持つドメイン ユーザー アカウントまたはSQL Server データベース ユーザーを使用するように接続を構成する必要があります。
ローカル アカウントでサービスを実行すると、サブスクリプションの作成に関して新しい要件が発生します。 レポート サーバーでは、サブスクリプションを作成するユーザーに関する情報が保存されます。 ユーザーがドメイン アカウントでログオン中にサブスクリプションを作成すると、サブスクリプションの処理時に、レポート サーバー サービスがドメイン コントローラーに接続してユーザーを認証しようとします。 サービスがローカル アカウントで実行されていると、レポート サーバーからリモート ドメイン コントローラーに認証の要求が送信される際にその要求が失敗します。 この制限に対処するには、カスタムのフォームベースの認証拡張機能を使用するか、レポート サーバーへのすべてのユーザー接続をローカル ユーザー アカウントで行うようにします。
ローカル アカウントでサービスを実行すると、サブスクリプションの配信に関して新しい要件が発生します。 一部の配信拡張機能では、ユーザーのアカウント情報がサブスクリプション定義内に保持されます。 レポート サーバー サービスをローカル アカウントで実行しているときに、ドメイン ユーザー アカウントに基づく電子メール アドレスにレポートを送信すると、サービスがリモート ドメイン コントローラーに接続できず、送信先の電子メール アカウントを解決できません。
ドメイン コントローラーになっているコンピューターでは、ビルトイン Windows サービス アカウント (Local Service または Network Service) をレポート サーバーのサービス アカウントとして使用することはできません。
参照
レポート サーバー サービス アカウントの構成 (SSRS 構成マネージャー)
サービス アカウントの構成 (SSRS 構成マネージャー)
Reporting Services 構成マネージャーの F1 ヘルプ トピック (SSRS ネイティブ モード)