安全性角色 (Analysis Services - 多維度資料)
角色用於 Microsoft SQL Server Analysis Services,以管理 Analysis Services 物件和資料的安全性。 在基本方面,角色會將 Microsoft Windows 使用者和群組的安全性識別碼關聯 (SID) ,這些使用者和群組具有 Analysis Services 實例所管理之物件的特定存取權限和許可權。 Analysis Services 中提供兩種類型的角色:
伺服器角色,這是一個固定角色,可讓系統管理員存取 Analysis Services 實例。
資料庫角色,這是管理員所定義的角色,用來控制非管理員使用者對物件和資料的存取。
Microsoft SQL Server Analysis Services安全性是使用角色和許可權來管理。 角色是使用者的群組。 使用者 (也稱為成員) 可以在角色中加入或移除。 物件的權限是依角色指定,而角色中的所有成員都可以使用此角色具有權限的物件。 角色中的所有成員都具有物件的相同權限。 權限是物件所特有。 每一個物件都有權限集合 (包含該物件的授與權限),可以對物件授與不同的權限集合。 每一個權限 (來自物件的權限集合) 都會被指派單一角色。
角色和角色成員物件
角色是使用者 (成員) 集合的包含物件。 角色定義會建立 Analysis Services 中使用者的成員資格。 由於權限是依角色指派,所以在使用者可存取任何物件之前,使用者必須是某個角色的成員。
Role 物件是由參數名稱、識別碼和成員所組成。 成員是字串的集合。 每一個成員都包含 "domain\username" 格式的使用者名稱。 名稱是包含角色之名稱的字串。 識別碼是包含角色之唯一識別碼的字串。
伺服器角色
Analysis Services 伺服器角色會定義對 Analysis Services 實例的 Windows 使用者和群組的系統管理存取權。 此角色的成員可以存取 Analysis Services 實例上的所有 Analysis Services 資料庫和物件,而且可以執行下列工作:
使用 SQL Server Management Studio 或 SQL Server Data Tools (SSDT) 來執行伺服器層級系統管理功能,包括建立資料庫和設定伺服器層級屬性。
使用分析管理物件 (AMO),以程式設計的方式執行管理功能。
維護 Analysis Services 資料庫角色。
啟動追蹤 (除了處理事件之外,擁有 Process 存取權的資料庫角色就可以執行處理事件)。
Analysis Services 的每個實例都有一個伺服器角色,可定義哪些使用者可以管理該實例。 此角色的名稱和識別碼是 Administrators,而且不能刪除伺服器角色,也不能加入或移除權限,這和資料庫角色不同。 換句話說,使用者不是 Analysis Services 實例的系統管理員,取決於該 Analysis Services 實例的伺服器角色中是否包含該實例。
資料庫角色
Analysis Services 資料庫角色會定義使用者存取 Analysis Services 資料庫中的物件和資料。 資料庫角色會建立為 Analysis Services 資料庫中的個別物件,而且只適用于建立該角色的資料庫。 管理員將 Windows 使用者和群組包含在角色中,並且定義角色內的權限。
某個角色的權限除了能讓成員存取和管理資料庫內的物件與資料之外,也允許成員存取和管理資料庫。 每個權限有一或多個與其相關聯的存取權限,這些存取權限則會對資料庫之特定物件提供更細微的存取權限控制。
Permission 物件
權限會與特定角色的物件 (Cube、維度等) 有關。 權限會指定該角色的成員可以在該物件上執行哪些作業。
類別是抽象類別, 因此,您必須使用衍生類別來定義對應物件的權限。 對於每一個物件而言,都會定義權限衍生類別。
| Object | 類別 |
|---|---|
| Database | DatabasePermission |
| DataSource | DataSourcePermission |
| Dimension | DimensionPermission |
| Cube | CubePermission |
| MiningStructure | MiningStructurePermission |
| MiningModel | MiningModelPermission |
此清單中會顯示權限所啟用的可能動作:
| 動作 | 值 | 說明 |
|---|---|---|
| 處理序 | {true, false}預設值= |
如果為 true,成員可以處理此物件以及此物件中包含的任何物件。處理權限不會套用到採礦模型。 MiningModel 權限一律是從 MiningStructure 繼承而來。 |
| ReadDefinition | {None, Basic, Allowed}預設值= |
指定成員是否可以讀取與此物件有關的資料定義 (ASSL)。 如果為 Allowed,表示成員可以讀取與此物件有關的 ASSL。Basic 和 Allowed 會由此物件中所包含的物件所繼承。 Allowed 會覆寫 Basic 和 None。物件上的 DISCOVER_XML_METADATA 需要 Allowed。 必須要有 Basic,才能建立連結物件和本機 Cube。 |
| 讀取 | {None, Allowed}預設值= None (DimensionPermission 例外,其預設值=Allowed) |
指定成員是否具有結構描述資料列集和資料內容的讀取權。Allowed 會提供資料庫的讀取權,這樣可讓您探索資料庫。Cube 上的 Allowed 會提供結構描述資料列集中的讀取權及 Cube 內容的存取權 (除非受到 CellPermission 和 CubeDimensionPermission 的限制)。維度上的 Allowed 會授與此維度中所有屬性的讀取權限 (除非受到 CubeDimensionPermission 的限制)。 讀取權限只會用於 CubeDimensionPermission 的靜態繼承。 維度上的 None 會隱藏維度,並只針對可彙總屬性提供預設成員的存取;如果此維度包含不可彙總的屬性,則會引發錯誤。MiningModelPermission 上的 Allowed 會授與權限來查看結構描述資料列集中的物件以及執行預測聯結。NoteAllowed 需要讀取或寫入資料庫中的任何物件。 |
| Write | {None, Allowed}預設值= |
指定成員是否具有父物件資料的寫入權。 也適用於 Dimension、Cube 和 MiningModel 子類別。 它不會套用到資料庫 MiningStructure 子類別,這樣會產生驗證錯誤。 Dimension 上的 Allowed 會授與維度中所有屬性的寫入權限。Cube 上的 Allowed 會針對定義為 Type=writeback 之資料分割的 Cube 上的資料格授與其寫入權限。MiningModel 上的 Allowed 會授與修改模型內容的權限。AllowedMiningStructure在 上在 Analysis Services 中沒有特定意義。 注意: 除非讀取也設定為 ,否則無法將寫入設定 Allowed 為 Allowed |
| 管理 注意事項: 僅在資料庫許可權中 | {true, false}預設值= |
指定成員是否可以管理資料庫。true 會授與資料庫中所有物件的存取權。成員可以具有特定資料庫的管理權限,但不包含其他資料庫。 |