Conceder permisos de base de datos (Analysis Services)

Si aborda la administración de bases de datos de Analysis Services con un fondo en las bases de datos relacionales, lo primero que debe comprender es que, en lo que al acceso a los datos se refiere, la base de datos no es el objeto primario protegible en Analysis Services.

La estructura de consulta primaria en Analysis Services es un cubo (o modelo tabular) con los permisos de usuario establecidos en dichos objetos en concreto. Si lo comparamos con el motor de base de datos relacional, en el que los inicios de sesión de la base de datos y los permisos de usuario (a menudo db_datareader) se establecen en la misma base de datos, las bases de datos de Analysis Services acostumbran a ser un contenedor de los objetos principales de consulta en un modelo de datos. Si su objetivo inmediato es permitir el acceso a los datos a un cubo o modelo tabular, puede omitir por el momento los permisos de bases de datos y pasar al tema: Conceder permisos de modelo o de cubo (Analysis Services).

Los permisos de bases de datos en Analysis Services permiten efectuar funciones administrativas; de un modo amplia, como es el caso del permiso de base de datos Control total, o de un modo más controlado si opta por delegar las operaciones de procesamiento. Los niveles de permiso de una base de datos de Analysis Services se especifican en el panel General del cuadro de diálogo Crear rol, que aparece en la siguiente ilustración y se describe a continuación.

No hay ningún inicio de sesión en Analysis Services. Solo tiene que crear roles y asignar cuentas de Windows en el panel Pertenencia. Todos los usuarios, incluidos los administradores, se conectan a Analysis Services con una cuenta de Windows.

Crear cuadro de diálogo de roles con permisos de base de datos

Hay tres tipos de permisos especificados al nivel de la base de datos.

Control total (administrador): Control total es un permiso completo que transfiere amplios poderes sobre una base de datos de Analysis Services, como la posibilidad de consultar o procesar cualquier objeto dentro de la base de datos y gestionar la seguridad de los roles. Control total es sinónimo del estado del administrador de la base de datos. Al seleccionar Full Control, también se seleccionan los permisos Process Database y Read Definition y no se pueden eliminar.

[!NOTA]

Los administradores del servidor (miembros del rol Administrador del servidor) también cuentan con un Control total implícito sobre cada base de datos del servidor.

Procesar base de datos: Este permiso se usa para delegar el procesamiento al nivel de la base de datos. Como administrador puede descargar esta tarea creando un rol que permita que otra persona o servicio invoque operaciones de procesamiento para cualquier objeto de la base de datos. De forma alternativa, también puede crear roles que permitan el procesamiento en objetos específicos. Para obtener más información, vea Conceder permisos de procesamiento (Analysis Services).

Leer definición: este permiso concede la capacidad de leer metadatos de objetos, sin la capacidad de ver los datos asociados. Normalmente, este permiso se utiliza en los roles creados para el procesamiento dedicado, con la capacidad de usar herramientas como SQL Server Data Tools o SQL Server Management Studio para procesar una base de datos de forma interactiva. Sin Read Definition, el permiso Process Database solo es útil en escenarios generados por scripts. Si tiene previsto automatizar el procesamiento, tal vez con SSIS o con otro programador, probablemente quiera crear un rol que tenga Process Database sin Read Definition. De lo contrario, considere combinar las dos propiedades en el mismo rol para admitir el procesamiento desatendido y el procesamiento interactivo con herramientas de SQL Server que visualizan el modelo de datos en una interfaz de usuario.

Permisos de Control total (administrador)

En Analysis Services, un administrador de bases de datos es cualquier identidad del usuario de Windows asignada a un rol que incluye los permisos de Control total (administrador). Un administrador de bases de datos puede llevar a cabo cualquier tarea dentro de la base de datos, como por ejemplo:

  • Objetos de proceso

  • Leer datos y metadatos de todos los objetos de la base de datos, como cubos, dimensiones, grupos de medida, perspectivas y modelos de minería de datos

  • Crear o modificar roles de base de datos agregando usuarios o permisos, por ejemplo añadiendo usuarios a roles que también tienen los permisos de Control total

  • Eliminar roles de bases de datos o pertenencia a roles

  • Registrar ensamblados (o procedimientos almacenados) de la base de datos.

Tenga en cuenta que un administrador de bases de datos no puede agregar ni eliminar bases de datos en el servidor ni conceder derechos de administrador a otras bases de datos en el mismo servidor. Dicho privilegio pertenece únicamente a los administradores de servidor. Para obtener más información acerca de este nivel de permiso, vea Conceder permisos de administrador de servidor (Analysis Services).

Dado que todos los roles están definidos por el usuario, le recomendamos que cree un rol específico para este objetivo (por ejemplo, un rol con el nombre "dbadmin") y que asigne cuentas de usuarios y grupos de Windows según corresponda.

Crear roles en SSMS

  1. En SQL Server Management Studio, conéctese a la instancia de Analysis Services, abra la carpeta Bases de datos, seleccione una base de datos y haga clic con el botón derecho en Roles | Nuevo rol.

  2. En el panel General, indique un nombre, como por ejemplo DBAdmin.

  3. Seleccione la casilla Control total (administrador) del cubo. Tenga en cuenta que Process Database y Read Definition se seleccionan automáticamente. Ambos permisos se incluyen siempre en roles que contienen Full Control.

  4. En el panel Pertenencia, indique el usuario de Windows y las cuentas de grupos que se conectan a Analysis Services con este rol.

  5. Haga clic en Aceptar para finalizar la creación del rol.

Procesar base de datos

Al definir un rol que concede permisos de base de datos, puede omitir Control total y elegir Procesar base de datos. Este permiso, establecido al nivel de la base de datos, permite el procesamiento en todos los objetos de la base de datos. Vea Conceder permisos de procesamiento (Analysis Services)

Leer definición

Al igual que el permiso Procesar base de datos, al establecer el permiso Leer definición al nivel de la base de datos se producirá un efecto en cascada en otros objetos de la base de datos. Si quiere establecer los permisos Leer definición en un nivel más específico debe borrar el permiso Leer definición como propiedad de base de datos en el panel General. Para obtener más información, vea Conceder permisos de lectura de definición en metadatos de objetos (Analysis Services).

Vea también

Tasks

Conceder permisos de administrador de servidor (Analysis Services)

Conceder permisos de procesamiento (Analysis Services)