Поделиться через


Назначения ролей

В службах Reporting Services назначения ролей определяют доступ к сохраненным элементам и самому серверу отчетов. Назначение ролей состоит из следующих частей.

  • Защищаемый элемент, доступом к которому нужно управлять. Примеры защищаемых элементов — это папки, отчеты и ресурсы.

  • Учетная запись пользователя или группы, которую безопасность Windows или другой механизм проверки подлинности может пройти проверку подлинности.

  • Определения ролей устанавливают набор допустимых задач, куда относятся:

    • Браузер
    • Диспетчер содержимого
    • Мои отчеты
    • Издатель
    • построитель отчетов
    • Системный администратор
    • Пользователь системы

Назначения ролей наследуются в иерархии папок и автоматически применяются к входящим в нее элементам:

  • Отчеты
  • общие источники данных;
  • Ресурсы
  • вложенные папки.

Можно заменить унаследованные параметры безопасности, определив назначения ролей для отдельных элементов. По крайней мере одно назначение ролей должно защищать все части иерархии папок. Вы не можете создать незащищенный элемент или задать настройки так, чтобы получился незащищенный элемент.

Следующая диаграмма показывает назначение ролей, которое сопоставляет группу и отдельного пользователя с ролью Издатель для папки В.

Схема, показывющая назначения ролей.

Назначения ролей на уровне системы и элемента

Безопасность на основе ролей в службах Reporting Services организована на следующих уровнях:

  • Назначение роли на уровне элемента управляет доступом к элементам в иерархии папок сервера отчетов, таким как:

    • отчетов
    • приложений
    • модели отчетов.
    • общие источники данных
    • другие ресурсы.
  • Назначения ролей уровня элемента определяются при создании назначения роли в определенном элементе или в папке "Главная".

  • Назначения системных ролей разрешают операции, применяемые к серверу в целом. Например, возможность управлять заданиями считается операцией уровня системы. Назначение системной роли не эквивалентно полномочиям системного администратора. Оно не предоставляет разрешений на полное управление сервером отчетов.

Назначение системной роли не дает доступа к элементам иерархии папок. Защищенность системы и элемента взаимно исключают друг друга. Иногда вам потребуется создавать назначения ролей одновременно на уровне системы и на уровне элемента, чтобы предоставить пользователю или группе нужный доступ к серверу отчетов.

Пользователи и группы в назначениях ролей

Учетные записи пользователей и групп, указанные в назначениях ролей, — это доменные учетные записи. Сервер отчетов ссылается, но не создает или не управляет, пользователи и группы из домена Microsoft Windows (или другая модель безопасности, если вы используете пользовательское расширение безопасности).

Среди всех назначений ролей, применяемых к данному элементу, никакие два не могут указывать одного и того же пользователя или группу. Если учетная запись пользователя входит в учетную запись группы, и существуют назначения ролей для них обеих, пользователю будет доступен комбинированный набор задач для обоих назначений.

Когда пользователь добавляется в группу, которой уже назначена роль, необходимо перезагрузить службы IIS, чтобы новые назначения ролей вступили в силу.

Предопределенные назначения ролей

По умолчанию применяются предопределенные назначения ролей, что позволяет локальным администраторам управлять сервером отчетов. Вы можете добавить другие назначения ролей для предоставления доступа другим пользователям.

Дополнительные сведения о предопределенных назначениях ролей, которые обеспечивают безопасность по умолчанию, см. в разделе Предопределенные роли.