共用方式為


權限和存取權限 (SSAS)

更新: 2006 年 12 月 12 日

在 Microsoft 中,角色讓系統管理員可以針對不同的 Windows 使用者與群組,定義 Analysis Services 資料庫物件的安全性層級。每個物件只能有一個權限與其每一個角色相關聯,而每個權限可以有一或多個存取權限與其相關聯。此外,一個 Windows 使用者或群組可以與一個以上的 Analysis Services 角色相關聯,提供將各商務智慧應用程式中之複雜安全性模型的權限和存取權限結合的功能。

存取權限

下表針對與 Analysis Services 資料庫中之物件相關聯的權限,描述各權限可以使用的存取權限集。

存取權限 描述

Access

提供存取物件之中繼資料的能力。支援下列存取類型:

  • None 會拒絕對物件的存取。
  • Read 允許角色的成員讀取物件。
  • ReadContingent 唯有在使用者能夠存取衍生值的所有來源資料格時,才允許角色的成員讀取資料格值。ReadContingent 為此權限指定的、不是從其他資料格衍生的任何資料格,提供 Read 存取權。
    例如,Profit 資料格的值若是以 Sales 資料格的值減掉 Costs 資料格的值計算所得,則唯有 SalesCosts 資料格的存取權都設定為 Read (或 Write) 時,使用者才能讀取 Profit 資料格。
  • ReadWrite 允許角色的成員,讀取和寫入物件。

Administer

指出角色的成員是否能夠管理物件。

Administer 權限會授與角色的成員存取物件中包含之所有物件的完整存取權。

AllowBrowsing

允許角色的成員瀏覽採礦模型中的資料。

AllowDrillthrough

授與角色的成員,從採礦模型鑽研至基礎資料的權限。

AllowedSet

AllowedSet 權限定義角色的成員能夠檢視的屬性成員。例如,[Customer].[CountryRegion] 中的允許集若是 {Canada},則角色的成員能夠存取 Canada 的所有省份和縣 (市)。

針對父子式階層,允許成員是集合所定義的成員,再加上這些成員存在之父子式階層的上階。如果父子式階層的成員不在允許集內,則角色無法存取它的子系 (除了資料成員之外)。因為資料成員屬於維度的索引鍵屬性,所以還是能夠存取資料成員。

如果未定義 AllowedSet 權限的集合,預設集就是所有屬性成員的集合。

AllowPredict

採礦模型的預測權限,會授與角色的成員根據採礦模型進行預測的權限。

ApplyDenied

決定與其他明確拒絕之成員一起存在之此屬性的成員,是否不能檢視。

DefaultMember

DefaultMember 權限定義維度的預設成員。預設成員影響在包含維度之 Cube 上的查詢所傳回的資料集。如果維度未在軸上顯示,依預設會使用預設成員篩選 (亦即,配量) 資料集。

DeniedSet

DeniedSet 權限,定義角色成員無法檢視之屬性的成員。

IsAllowed

決定是否不論依據屬性的層級設定為何,都允許存取屬性的任何成員。

如果維度上之資料粒度屬性 (Attribute) 的 IsAllowed 屬性 (Property) 為 False,在維度屬性 (Attribute) 上設定 VisualTotals 會導致其所有成員出現 Null 值。針對一元運算子,如果 VisualTotalsFalse,則每一個成員是其所有子系的積存。如果 VisualTotals 設定為 True,則每個成員是允許之子系的積存。

此屬性設定的預設為 True

Process

物件的 Process 權限會授與角色的成員處理物件的權限。它也會授與處理物件內之所有子物件的權限 (除非子物件上明確拒絕此權限)。Process 權限不會授與角色的成員,對物件之資料或中繼資料的存取權。

ReadDefinition

指出角色的成員是否能讀取定義權限物件的中繼資料。物件中包含的物件會繼承此屬性設定。

VisualTotals

維度資料的 VisualTotals 權限,定義如何彙總屬性的資料。這是 MDX 運算式,會傳回 TrueFalse。如果 VisualTotalsFalse,會在維度之屬性的所有成員上彙總資料,不論角色的成員是否看得到這些成員。如果 VisualTotalsTrue,則只會針對角色擁有讀取存取權之維度的資料粒度屬性的成員彙總資料。例如,若 Customer Name 是資料粒度屬性,而 City 屬性的 VisualTotals 設定為 True,則每個縣 (市) 都將是角色擁有讀取存取權之客戶的資料彙總。

預設值是 False

權限

下表描述 Analysis Services 資料庫中可用的權限,以及每個權限所管理的存取權限。

權限 存取權限

資料庫

資料庫存取權會定義對 Analysis Services 資料庫中之物件和資料的存取權。

可用的存取權限包括:

  • Administer
  • Process
  • Read Definition

資料來源

資料來源存取權,定義對 Analysis Services 資料庫中之資料來源的存取權。

可用的存取權限包括:

  • Access
    (NoneRead)
  • Read Definition

Cube

在 Cube 層級所建立,當資料庫角色指派給 Cube 時,該 Cube 角色就僅適用於該 Cube。Cube 角色中的預設值是由相同名稱的資料庫角色衍生而來,但 Cube 角色中的有些預設值可以被覆寫。Cube 角色包含資料庫角色中所沒有包含的其他選項,例如資料格安全性。您可以極有彈性地對 Cube 的某些部分授與讀取或讀取/寫入權限。您可以指定某角色可以檢視和更新哪些維度成員與 Cube 資料格。

可用的存取權限包括:

  • Access
    (NoneReadRead/Write)
  • LocalCube/DrillthroughAccess
    (None, Drillthrough/Drillthrough and Local Cube)
  • Process

資料格

資料格資料存取權,定義對 Cube 中之資料格的存取。Cube 中之資料格的存取權有三種類型:

  • Read
  • Read Contingent
  • Read/Write

使用一個 MDX 運算式 (針對每個 Cube 資料格解析為 TrueFalse),為每一種資料格存取權類型定義 Cube 中的資料格安全性。數值運算式中的非零值會評估為 True,而零則會評估為 False。運算式解析為 True 時會允許存取,而解析為 False 時則會拒絕存取。

可用的存取權限包括:

  • Access
    (NoneReadRead ContingentRead/Write)

維度

維度存取屬性,定義對資料庫中之資料庫維度的存取權,不論其是否參與 Cube。維度存取權允許屬於角色之成員的使用者,瀏覽用戶端應用程式中的維度。也可以指定 Cube 維度權限,在特定 Cube 中存取維度時,覆寫角色的資料庫存取權限。

可用的存取權限包括:

  • Access
    (ReadRead/Write)
  • Process
  • Read Definition

屬性

維度資料存取權,控制角色的成員可以存取哪些維度屬性。允許或拒絕存取屬性,會根據該屬性定義存取維度階層中之層級的權限。如果拒絕某個角色存取屬性,也會拒絕角色存取從該屬性衍生的所有層級。

如果拒絕對屬性的存取權在階層中造成漏洞,則整個階層都會失效,而角色的成員將無法再存取階層。例如,在 CountryRegion-State-City-Name 階層中,State 和 Name 層級並非階層中之連續的層級。因此,拒絕對 City 屬性的存取會產生一個漏洞,使階層失效。相對地,拒絕對 CountryRegion 屬性的存取,並不會產生漏洞,因此 State-City-Name 仍是有連續層級的有效階層。同樣地,拒絕對 Name 屬性的存取會保持有效的 CountryRegion-State-City 階層。

您允許角色的成員存取屬性時,可以允許或拒絕對屬性之所選取成員的存取。

可用的存取權限包括:

  • Allowed Set
  • Default Member1
  • Denied Set
  • VisualTotals

採礦結構

採礦結構存取權會決定對於採礦結構和採礦模型及其資料的權限。

可用的存取權限包括:

  • Access
    (NoneRead)
  • Process
  • Read Definition

採礦模型

採礦結構存取權會決定對於採礦結構和採礦模型及其資料的權限。

可用的存取權限包括:

  • Access
    (NoneReadRead/Write)
  • Browse
  • Drill Through
  • Read Definition

1DefaultMember 存取權限會定義維度的預設成員。如需詳細資訊,請參閱<定義預設成員>。

權限和繼承

如果物件包含其他物件 (例如資料庫中的 Cube 或維度),子物件會繼承父物件的 AdministerProcessReadDefinition 權限。

權限 繼承

Administer

Analysis Services 伺服器角色的成員擁有管理伺服器的權限,因此也擁有伺服器上所有物件的完整存取權。獲得管理資料庫之權限的 Analysis Services 資料庫角色的成員,擁有資料庫中所有物件的完整存取權。

Process

依預設,物件上的 Process 設定適用於任何子物件。也可以在子物件上設定此屬性,以覆寫從父物件繼承的權限。

  • 如果允許使用者處理 Cube,但是不允許處理 Cube 中的維度,則只要維度已經處理好,使用者就可以順利處理 Cube。
  • 使用者處理資料庫時,只會處理資料庫中使用者有權處理的 Cube 和維度。

Read Definition

依預設,任何子物件都會繼承物件上的 Read Definition 屬性設定。也可以在子物件上設定此屬性,以覆寫從父物件繼承的權限。

多個角色和權限

使用者可以屬於 Analysis Services 資料庫中一個以上的角色。多個角色的權限會加總在一起。如果角色提供對物件的存取權,則該角色的成員就能存取該物件,不論其他角色中是否明確拒絕該成員對物件的存取權。

請參閱

概念

保護 Analysis Services 的安全

說明及資訊

取得 SQL Server 2005 協助

變更歷程記錄

版本 歷程記錄

2006 年 12 月 12 日

變更的內容:
  • 釐清預設的安全性架構。