選擇服務帳戶
您可以選擇在許多不同帳戶的安全性內容中,執行 MicrosoftSQL ServerAnalysis Services 的執行個體。不過,我們建議您使用網域或本機使用者帳戶做為 Analysis Services 的登入帳戶。您是否使用網域或本機使用者帳戶,視 Analysis Services 是否需要連接到網路資源而定,如下列清單所述:
如果 Analysis Services 需要連接到其登入帳戶之安全性內容中的網路資源,請在專用網域使用者帳戶的安全性內容中執行 Analysis Services 的執行個體。
如果 Analysis Services 不需要連接到其登入帳戶之安全性內容中的網路資源,請在本機使用者帳戶或網域使用者帳戶的安全性內容中執行 Analysis Services 的執行個體。
同時,在選取登入帳戶之後,我們建議您不要使用該登入帳戶做為其他任何用途。限制登入帳戶的使用,有助於保護連接字串和密碼的加密。
使用專用網域使用者帳戶做為登入帳戶
網域使用者帳戶是在 Active Directory 目錄服務內建立的使用者帳戶。此帳戶是網域中的已驗證使用者群組的成員。在網域使用者帳戶的安全性內容中執行的服務,向遠端伺服器顯示網域使用者帳戶的 Kerberos Ticket。在網域使用者帳戶之安全性內容中執行的服務,可存取已驗證使用者或特定使用者帳戶有存取權限之遠端伺服器上的資源。
使用本機使用者帳戶做為登入帳戶
本機使用者帳戶是在本機電腦上建立的 Windows 使用者帳戶。在本機使用者帳戶之安全性內容中執行的服務,會向遠端伺服器顯示本機使用者帳戶的存取 Token。如果相符的使用者名稱和密碼已設定在遠端伺服器上,則使用本機使用者帳戶之服務將可存取同名帳戶具有權限的遠端伺服器資源。雖然此狀況可行,但維護這些個別帳戶和保持其密碼的同步處理會增加額外的管理負擔。
使用其他帳戶做為登入帳戶
除了專用網域使用者帳戶和本機使用者帳戶之外,您還可以在下列帳戶的內容中執行 Analysis Services 的執行個體:
本機系統
這是預先定義的本機帳戶,它在本機電腦上具有管理員權限。在本機系統的安全性內容中執行的服務,會向遠端伺服器顯示本機電腦的認證。在本機系統帳戶的安全性內容中執行的服務,無法建立已驗證的工作階段,因為本機系統不屬於網域中的 Everyone 群組。因此,使用此帳戶的服務只能使用 Null 工作階段存取網路資源。LocalService
這是預先定義的本機帳戶,有本機電腦上的已驗證使用者權限。在 LocalService 帳戶的安全性內容中執行的服務,會向遠端伺服器顯示匿名認證。因此,使用此帳戶的服務只能存取允許匿名存取的網路資源。NetworkService
這是預先定義的本機帳戶,有本機電腦上的已驗證使用者權限。在 NetworkService 帳戶之安全性內容中執行的服務,會向遠端伺服器顯示本機電腦的認證為已驗證的使用者,也就是屬於網域中 Everyone 群組成員的使用者。因此,使用此帳戶的服務,可以存取已驗證使用者有存取權限的遠端伺服器資源。若要讓使用此帳戶的服務能夠存取遠端資源,您可以特別將執行 Analysis Services 的伺服器名稱加入至遠端資源中。
使用上一個清單中的帳戶或任何其他帳戶時,最佳的安全作法就是盡可能以最少權限的帳戶安全性內容中執行 Analysis Services。本機系統帳戶適用於開發環境,但不建議此管理帳戶使用於實際執行環境,因為它有太多權限。也不建議使用 LocalService 和 NetworkService 帳戶。雖然 LocalService 和 NetworkService 帳戶是設計為要當做具有最少權限的服務登入帳戶來使用,但不建議用於 Analysis Services,因為加密的 Analysis Services 連接字串和密碼可使用 Analysis Services 登入帳戶來解密。這表示在與 Analysis Services 相同的登入帳戶下執行的另一個 Windows 服務,可將這些連接字串和密碼解密。
指定 Analysis Services 登入帳戶
在決定要使用的登入帳戶內容之後,您可以在安裝期間,於 [服務帳戶] 頁面上指定登入帳戶。安裝程序會授與指定的登入帳戶對本機電腦的所有必要權限,包括:
略過周遊檢查
Token 物件的建立
安全性稽核的產生
在記憶體中鎖定頁面
取代處理序層級的 Token
Analysis Services 登入帳戶也會被授與對 Analysis Services 執行個體中,所有檔案的 NTFS 完整控制權限。必須特別授與登入帳戶對於遠端伺服器 (例如資料來源) 的必要權限。
[!附註]
Analysis Services 登入帳戶不會有登入 Analysis Services 執行個體的權限,雖然登入帳戶對 Analysis Services 執行個體的所有檔案具有完整控制存取權。