Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
SQL Server Analysis Services 
Azure Analysis Services Fabric/Power BI Premium
Подготовка учетных записей на уровне продукта описана в статье "Настройка учетных записей служб Windows и разрешений", которая предоставляет исчерпывающую информацию об учетной записи службы для всех служб SQL Server, включая службы SQL Server Analysis Services. Ознакомьтесь с ним, чтобы узнать о допустимых типах учетных записей, привилегиях Windows, назначенных программой установки, разрешениях файловой системы, разрешениях реестра и т. д.
В этом разделе содержатся дополнительные сведения для служб SQL Server Analysis Services, включая дополнительные разрешения, необходимые для табличных и кластеризованных установок. Он также охватывает разрешения, необходимые для поддержки операций сервера. Например, можно настроить операции обработки и запроса для выполнения в учетной записи службы — в этом сценарии требуются дополнительные разрешения.
Разрешения файловой системы, назначенные службам Analysis Services
Предоставление дополнительных разрешений для определенных операций сервера
Еще один шаг конфигурации, не описанный здесь, заключается в регистрации имени субъекта-службы (SPN) для экземпляра SQL Server Analysis Services и учетной записи службы. Этот шаг позволяет осуществлять сквозную аутентификацию из клиентских приложений во внутренние источники данных в сценариях двойной передачи. Этот шаг применяется только для служб, настроенных для ограниченного делегирования Kerberos. Дополнительные инструкции см. в разделе "Настройка служб Analysis Services для ограниченного делегирования Kerberos ".
Рекомендации по учетной записи входа
Учетная запись запуска службы Windows MSSQLServerOLAPService может быть учетной записью пользователя домена Windows, виртуальной учетной записью, управляемой учетной записью службы (MSA) или встроенной учетной записью, такой как идентификатор безопасности для каждой службы, NetworkService или LocalSystem. Использование учетной записи пользователя домена в качестве учетной записи входа в службу содержит сведения о форматах учетных записей пользователей.
В отказоустойчивом кластере все экземпляры служб Analysis Services должны быть настроены для использования учетной записи пользователя домена Windows. Назначьте одну и ту же учетную запись всем экземплярам. Дополнительные сведения см. в статье "How to Cluster Analysis Services ".
Автономные экземпляры должны использовать виртуальную учетную запись по умолчанию, NT Service\MSSQLServerOLAPService для экземпляра по умолчанию или NT Service\MSOLAP$instance-name для именованного экземпляра. Эта рекомендация применяется к экземплярам служб Analysis Services в любых режимах работы сервера, при условии использования операционной системы Windows Server 2008 R2 или более поздних версий и SQL Server 2012 или более поздних версий для служб Analysis Services.
Предоставление разрешений для Analysis Services
В этом разделе описываются разрешения, необходимые службам Analysis Services для локальных внутренних операций. Эти операции включают запуск исполняемого файла, чтение файла конфигурации и загрузку баз данных из каталога данных. Рекомендации по настройке разрешений для доступа к внешним данным и взаимодействия с другими службами и приложениями см. в разделе предоставления дополнительных разрешений для конкретных операций сервера .
Для внутренних операций владелец разрешений в службах Analysis Services не является учетной записью входа, а локальной группой безопасности Windows, созданной с помощью установки, содержащей идентификатор безопасности для каждой службы. Назначение разрешений группе безопасности соответствует предыдущим версиям служб Analysis Services. Кроме того, учетные записи входа могут меняться с течением времени, но идентификатор безопасности для каждой службы и локальная группа безопасности являются постоянными в течение времени установки сервера. Для служб Analysis Services группа безопасности является более предпочтительным вариантом для предоставления разрешений, чем учетная запись входа. Когда вы вручную предоставляете права экземпляру службы, будь то разрешения файловой системы или привилегии Windows, обязательно предоставьте разрешения локальной группе безопасности, созданной для экземпляра сервера.
Имя группы безопасности следует шаблону. Префикс всегда имеет значение SQLServerMSASUser$, за которым следует имя компьютера, заканчивающееся именем экземпляра. Экземпляр по умолчанию — MSSQLSERVER. Именованный экземпляр — это имя, заданное при установке.
Эту группу безопасности можно увидеть в параметрах локальной безопасности:
Запуск compmgmt.msc | Локальные пользователи и группы | Группы | SQLServerMSASUser$<имя> сервера$MSSQLSERVER (для экземпляра по умолчанию).
Чтобы просмотреть членов группы, дважды щелкните группу безопасности.
Единственным членом группы является идентификатор безопасности для каждой службы. Рядом с ним находится учетная запись входа. Имя учетной записи входа является косметическим, чтобы предоставить контекст идентификатору безопасности для каждой службы. При изменении учетной записи входа группа безопасности и идентификатор безопасности для каждой службы не изменяются. Только метка учетной записи входа отличается.
Привилегии Windows, назначенные учетной записи службы Analysis Services
Службам Analysis Services требуются разрешения от операционной системы для запуска службы и запроса системных ресурсов. Требования зависят от режима сервера и кластеризации экземпляра.
Для всех экземпляров служб Analysis Services требуется привилегия «Вход как услуга» (SeServiceLogonRight). Программа установки SQL Server назначает вам привилегии в учетной записи службы, указанной во время установки. Для серверов, работающих в многомерном режиме и режиме интеллектуального анализа данных, это единственная привилегия Windows, требуемая учетной записью службы Analysis Services для автономных установок серверов, и единственная привилегия, которую программа установки конфигурирует для служб Analysis Services. Для кластеризованных и табличных инстанций дополнительные права Windows необходимо добавлять вручную.
Экземпляры отказоустойчивого кластера в табличном или многомерном режиме должны иметь повышенный приоритет планирования (привилегия SeIncreaseBasePriorityPrivilege).
Табличные экземпляры используют следующие три дополнительных привилегии, которые необходимо предоставить вручную после установки экземпляра.
| Привилегия | Описание |
|---|---|
| Увеличение рабочего набора процессов (SeIncreaseWorkingSetPrivilege) | Эта привилегия доступна всем пользователям по умолчанию через группу безопасности "Пользователи ". Если вы заблокируете сервер, удалив привилегии для этой группы, службы Analysis Services могут не запускаться, записывается эта ошибка в лог: "Не предоставлена клиенту необходимая привилегия". При возникновении этой ошибки восстановите привилегию служб Analysis Services, предоставив им соответствующую группу безопасности служб Analysis Services. |
| Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) | Эта привилегия используется для запроса большего объема памяти, если для выполнения процесса недостаточно ресурсов, при условии пороговых значений памяти, установленных для экземпляра. |
| Блокировка страниц в памяти (SeLockMemoryPrivilege) | Эта привилегия необходима только в том случае, если пейджинг полностью отключен. По умолчанию экземпляр табличного сервера использует файл подкачки Windows, но можно предотвратить его использование, установив для VertiPaqPagingPolicy значение 0. Установка параметра VertiPaqPagingPolicy на 1 (по умолчанию) задаёт использование файла подкачки Windows экземпляром табличного сервера. Выделения не блокируются, позволяя Windows выходить на страницу по мере необходимости. Так как используется разбиение на страницы, не требуется блокировать страницы в памяти. Таким образом, для конфигурации по умолчанию (где VertiPaqPagingPolicy = 1), вам не нужно предоставлять привилегию блокировка страниц в памяти табличному экземпляру. VertiPaqPagingPolicy до 0. Если вы отключите разбиение по страницам для служб Analysis Services, выделение блокируется, при условии, что страницы блокировки в привилегированной памяти предоставляются табличному экземпляру. Учитывая этот параметр и страницы блокировки в привилегированной памяти , Windows не может выстраивать выделения памяти, сделанные службам Analysis Services, когда система находится под давлением памяти. Службы Analysis Services полагаются на разрешение Lock pages in memory как средство обеспечения VertiPaqPagingPolicy = 0. Обратите внимание, что отключение разбиения по страницам Windows не рекомендуется. Это приведет к увеличению скорости ошибок вне памяти для операций, которые в противном случае могут быть успешными, если разбиение по страницам было разрешено. Дополнительные сведения о VertiPaqPagingPolicy см. в свойствах памяти. |
Просмотр или добавление привилегий Windows в учетной записи службы
Запуск GPEDIT.msc | Политика локального компьютера | Конфигурация компьютера | Параметры Windows | Параметры безопасности | Локальные политики | Назначения прав пользователя.
Просмотрите существующие политики, включающие SQLServerMSASUser$. Это локальная группа безопасности, обнаруженная на компьютерах с установкой служб Analysis Services. Этой группе безопасности предоставляются права доступа Windows и разрешения на папки. Дважды щелкните вход в качестве политики службы , чтобы узнать, как указана группа безопасности в системе. Полное имя группы безопасности зависит от того, установлена ли служба Analysis Services в качестве именованного экземпляра. Используйте эту группу безопасности, а не фактическую учетную запись службы при добавлении привилегий учетной записи.
Чтобы добавить привилегии учетной записи в GPEDIT, щелкните правой кнопкой мыши рабочий набор процессов и выберите "Свойства".
Нажмите кнопку Добавить пользователя или группу.
Введите группу пользователей для экземпляра служб Analysis Services. Помните, что учетная запись службы является членом локальной группы безопасности, что требует предварительного добавления имени локального компьютера в домен учетной записи.
В следующем списке показаны два примера экземпляра по умолчанию и именованный экземпляр с именем Tabular на компьютере с именем SQL01-WIN12, где имя компьютера — локальный домен.
SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER
SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR
Повторите для настройки квот памяти для процесса и при необходимости для блокировки страниц в памяти или увеличения приоритета планирования.
Замечание
Предыдущие версии программы установки непреднамеренно добавили учетную запись службы Analysis Services в группу "Пользователи журналов производительности ". Хотя этот дефект исправлен, установленные системы могут содержать это ненужное членство в группе. Поскольку учетная запись службы SQL Server Analysis Services не требует членства в группе пользователей журнала производительности, её можно удалить из этой группы.
Разрешения файловой системы, назначенные учетной записи службы Analysis Services
Замечание
См. Настройка учетных записей служб Windows и разрешений для получения списка разрешений, связанных с каждой папкой программы.
Для получения информации о разрешениях на файлы, связанных с конфигурацией IIS и SQL Server Analysis Services, см. статью "Настройка HTTP-доступа к службам Analysis Services на Internet Information Services (IIS) 8.0".
Все разрешения файловой системы, необходимые для операций сервера, включая разрешения, необходимые для загрузки и выгрузки баз данных из указанной папки данных, назначаются программой установки SQL Server во время установки.
Владелец разрешений для файлов данных, исполняемых файлов программы, файлов конфигурации, файлов журналов и временных файлов — это локальная группа безопасности, созданная программой установки SQL Server.
Для каждого устанавливаемого экземпляра создается одна группа безопасности. Группа безопасности называется в честь экземпляра — либо SQLServerMSASUser$MSSQLSERVER для экземпляра по умолчанию, либо SQLServerMSASUser$servername$<<instancename>> для именованного экземпляра. Процесс настройки предусматривает предоставление этой группе безопасности прав доступа к файлам, необходимых для осуществления операций на сервере. Если вы проверите параметры безопасности в каталоге \MSAS13.MSSQLSERVER\OLAP\BIN, вы увидите, что группа безопасности (а не учетная запись службы или ее идентификатор безопасности для каждой службы) является обладателем разрешений в этом каталоге.
Группа безопасности содержит только одного члена: идентификатор безопасности для каждой службы (SID) учетной записи запуска экземпляра SQL Server Analysis Services. Программа установки добавляет идентификатор безопасности для каждой службы в локальную группу безопасности. Использование локальной группы безопасности с членством в идентификаторе безопасности является небольшим, но заметным различием в том, как программа установки SQL Server подготавливает службы Analysis Services по сравнению с ядром СУБД.
Если вы считаете, что разрешения файлов повреждены, выполните следующие действия, чтобы убедиться, что служба по-прежнему предоставляется правильно.
Используйте средство командной строки управления службой (sc.exe) для получения идентификатора безопасности экземпляра службы по умолчанию.
SC showsid MSSqlServerOlapServiceДля именованного экземпляра (где имя экземпляра — Tabular) используйте следующий синтаксис:
SC showsid MSOlap$TabularИспользуйте Диспетчер компьютеров | Локальные пользователи и группы | Группы для проверки членства в группе безопасности SQLServerMSASUser$<servername>$<instancename>.
Идентификатор безопасности участника должен соответствовать идентификатору безопасности для каждой службы с шага 1.
Используйте Windows Explorer | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin, чтобы проверить, что свойства безопасности папки предоставлены группе безопасности на шаге 2.
Замечание
Никогда не удаляйте или не изменяйте идентификатор безопасности. Чтобы восстановить пер-служебный идентификатор SID, который был непреднамеренно удален, см. раздел Использование идентификаторов SID службы для предоставления разрешений службам в SQL Server 2017.
Дополнительные сведения о идентификаторах SID для каждой службы
Каждая учетная запись Windows имеет связанный идентификатор безопасности, но службы также могут иметь идентификаторы SID, поэтому они называются идентификаторами SID для каждой службы. Идентификатор безопасности для каждой службы (SID) создается при установке экземпляра службы как уникальная, постоянная часть этой службы. Идентификатор безопасности для каждой службы — это локальный идентификатор безопасности на уровне компьютера, созданный из имени службы. В экземпляре по умолчанию его удобочитаемое имя — NT SERVICE\MSSQLServerOLAPService.
Преимущество идентификатора безопасности для каждой службы заключается в том, что она позволяет изменять более широко видимую учетную запись входа в систему произвольно, не влияя на разрешения файлов. Например, предположим, что вы установили два экземпляра служб Analysis Services, экземпляр по умолчанию и именованный экземпляр, оба запущены в одной учетной записи пользователя Windows. Хотя учетная запись входа является общей, каждый экземпляр службы будет иметь уникальный идентификатор безопасности для конкретной службы. Этот идентификатор безопасности отличается от идентификатора безопасности учетной записи входа. Идентификатор безопасности для каждой службы используется для разрешений файлов и привилегий Windows. В отличие от этого, идентификатор безопасности учетной записи входа используется для сценариев проверки подлинности и авторизации — различных SIDS, используемых для различных целей.
Так как идентификатор безопасности неизменяем, списки управления доступом к файловой системе, созданные во время установки службы, можно использовать неограниченное время независимо от частоты изменения учетной записи службы. В качестве добавленной меры безопасности списки управления доступом, указывающие разрешения с помощью sid, обеспечивают доступ к исполняемым файлам и папкам данных программы только одним экземпляром службы, даже если другие службы выполняются под той же учетной записью.
Предоставление дополнительных разрешений служб Analysis Services для определенных операций сервера
Службы SQL Server Analysis Services выполняют некоторые задачи в контексте безопасности учетной записи службы (или учетной записи входа), которая используется для запуска служб SQL Server Analysis Services и выполняет другие задачи в контексте безопасности пользователя, запрашивающего задачу.
В следующей таблице описаны дополнительные разрешения, необходимые для поддержки задач, выполняемых в качестве учетной записи службы.
| Операция сервера | Рабочий элемент | Оправдание |
|---|---|---|
| Удаленный доступ к внешним реляционным источникам данных | Создайте учетную запись для входа в базу данных для сервиса | Обработка относится к получению данных из внешнего источника данных (обычно реляционной базы данных), которая впоследствии загружается в базу данных SQL Server Analysis Services. Одним из вариантов получения внешних данных является использование учетной записи службы. Этот параметр учетных данных работает только в том случае, если вы создаете имя входа базы данных для учетной записи службы и предоставляете разрешения на чтение в исходной базе данных. Дополнительные сведения о том, как для этой задачи используется параметр учетной записи службы, см. в разделе "Параметры олицетворения" (SSAS — многомерные). Аналогичным образом, если ROLAP используется в качестве режима хранения, доступны те же варианты олицетворения. В этом случае учетная запись также должна иметь доступ на запись к исходным данным, чтобы обрабатывать разделы ROLAP (то есть, для хранения агрегатов). |
| Прямой запрос | Создайте учетную запись для входа в базу данных для сервиса | DirectQuery — это табличная функция, используемая для запроса внешних наборов данных, которые слишком большие для размещения внутри табличной модели или имеют другие характеристики, которые делают DirectQuery более подходящим, чем параметр хранилища в памяти по умолчанию. Одним из вариантов подключения, доступных в режиме DirectQuery, является использование учетной записи службы. Еще раз этот параметр работает, только если у учетной записи службы есть имя входа в базу данных и разрешения на чтение в целевом источнике данных. Дополнительные сведения о том, как для этой задачи используется параметр учетной записи службы, см. в разделе "Параметры олицетворения" (SSAS — многомерные). Кроме того, для получения данных можно использовать учетные данные текущего пользователя. В большинстве случаев этот параметр подразумевает подключение с двойным прыжком, поэтому не забудьте настроить учетную запись службы для ограниченного делегирования Kerberos, чтобы учетная запись службы может делегировать удостоверения на подчиненный сервер. Дополнительные сведения см. в разделе "Настройка служб Analysis Services для ограниченного делегирования Kerberos". |
| Удаленный доступ к другим экземплярам SSAS | Добавьте учетную запись службы в роли базы данных, определенные Службами Analysis Services на удаленном сервере. | Удаленные секции и ссылки на связанные объекты на других удаленных экземплярах служб SQL Server Analysis Services являются системными возможностями, требующими разрешений на удаленном компьютере или устройстве. Когда пользователь создает и заполняет удаленные секции или настраивает связанный объект, эта операция выполняется в контексте безопасности текущего пользователя. При последующей автоматизации этих операций SQL Server Analysis Services будет получать доступ к удаленным экземплярам в среде безопасности учетной записи службы. Чтобы получить доступ к связанным объектам на удаленном экземпляре Аналитических служб SQL Server, учетная запись входа должна иметь разрешение на чтение соответствующих объектов в удаленном экземпляре, например, доступ на чтение к определенным размерам. Аналогичным образом, использование удалённых разделов требует, чтобы у учетной записи службы были права администратора на удалённом экземпляре. Такие разрешения предоставляются в удаленном экземпляре служб Analysis Services, используя роли, которые связывают разрешенные операции с определенным объектом. См. "Предоставление разрешений на доступ к базе данных" (Analysis Services) для получения инструкций о предоставлении разрешений на полный контроль, позволяющих выполнять операции обработки и запросов. Для получения дополнительной информации о удаленных разделах см. "Создавайте и управляйте удаленным разделом (Службы Analysis Services)". |
| Обратная запись | Добавьте учетную запись службы в роли базы данных, определенные Службами Analysis Services на удаленном сервере. | При включении в клиентских приложениях обратная запись — это функция многомерных моделей, которая позволяет создавать новые значения данных во время анализа данных. Если функция обратной записи активирована в каком-либо измерении или кубе, учетная запись службы SQL Server Analysis Services должна иметь права на запись в таблицу для обратной записи в исходной реляционной базе данных SQL Server. Если эта таблица еще не существует и должна быть создана, учетная запись службы SQL Server Analysis Services также должна иметь разрешения на создание таблицы в указанной базе данных SQL Server. |
| Запись в таблицу журнала запросов в реляционной базе данных SQL Server | Создание имени входа базы данных для учетной записи службы и назначение разрешений на запись в таблице журнала запросов | Вы можете включить ведение журнала запросов для сбора данных об использовании в таблице базы данных для последующего анализа. Учетная запись службы SQL Server Analysis Services должна иметь разрешения на запись в таблицу журнала запросов в указанной базе данных SQL Server. Если эта таблица еще не существует и должна быть создана, учетная запись входа в SQL Server Analysis Services должна также иметь разрешения на создание таблицы в указанной базе данных SQL Server. Дополнительные сведения см. в разделе "Повышение производительности служб SQL Server Analysis Services" с помощью мастера оптимизации на основе использования (блога) и ведения журнала запросов в службах Analysis Services (блог). |
Связанный контент
Настройка учетных записей службы Windows и разрешений
Учетная запись службы SQL Server и идентификатор безопасности Per-Service (блог)
Использование идентификаторов безопасности служб для предоставления разрешений службам в SQL Server 2017
Маркер доступа (MSDN)
Идентификаторы безопасности (MSDN)
Маркер доступа (Википедия)
Списки управления доступом (Википедия)