Предоставление разрешений на сервер отчетов в собственном режиме
Службы SQL Server Reporting Services используют авторизацию, основанную на ролях, и подсистему проверки подлинности для определения того, кто может выполнять операции и обращаться к элементам на сервере отчетов. Основанная на ролях авторизация разбивает на категории (роли) множество действий, которые может выполнять отдельный пользователь или группа. Проверка подлинности основывается на встроенной проверке подлинности Windows либо в пользовательском модуле проверки подлинности, предоставленном пользователем. Можно использовать стандартные или настраиваемые роли с любым типом проверки подлинности.
Использование ролей для предоставления доступа к серверу отчетов
Все пользователи взаимодействуют с сервером отчетов в контексте роли, определяющей конкретный уровень доступа. Службы Reporting Services содержат стандартные роли, которые можно присвоить пользователям и группам, чтобы обеспечить немедленный доступ к серверу отчетов. Диспетчерсодержимого, Издатель и Обозреватель — примеры стандартных ролей. Каждой ролью определяется набор взаимосвязанных задач. Например, роль Издатель имеет разрешение на добавление отчетов и создание папок для хранения этих отчетов.
Назначения ролей обычно наследуются от родительского узла, однако можно прервать наследование разрешений, создав новое назначение ролей для конкретного элемента. Пользователь, являющийся членом роли Диспетчер содержимого для одного отчета, может быть членом роли Обозреватель для другого отчета.
Для предоставления доступа к элементам и операциям сервера отчетов следуйте приведенным ниже рекомендациям.
Ознакомьтесь со списком стандартных ролей и определите, допустимо ли использовать их без изменений. Если необходимо изменить набор задач для ролей или определить дополнительные роли, это следует сделать до назначения пользователям каких-либо ролей. Дополнительные сведения о каждой роли см. в разделе Использование стандартных ролей.
Выясните, каким пользователям и группам требуется доступ к серверу отчетов и на каком уровне. Большинству пользователей следует назначить роль Обозреватель или роль Построитель отчетов. Меньшему числу пользователей следует назначить роль Издатель. В роль Диспетчер содержимого должно быть включено весьма небольшое число пользователей.
Используйте диспетчер отчетов, чтобы присвоить роли, регламентирующие доступ к папке Home (папке верхнего уровня в иерархии папок сервера отчетов), каждому пользователю или группе, которым необходимо предоставить доступ.
На уровне веб-узла, с помощью страницы «Настройки веб-узла» в диспетчере отчетов, создайте назначения ролей системного уровня для каждого пользователя и группы с использованием стандартных ролей Системный пользователь и Системный администратор.
Если необходимо, создайте дополнительные назначения ролей для конкретных папок, отчетов и других элементов. Избегайте создания большого количества назначений ролей. Если их будет создано слишком много, станет сложно отследить различные уровни доступа для каждого пользователя.
Дополнительные сведения о рекомендациях и способах создания назначений ролей см. в разделе Учебник. Установка разрешений в службах Reporting Services.
Примечание |
---|
Если сервер отчетов настроен на работу в объединенном режиме SharePoint, необходимо установить разрешения на веб-узел SharePoint для предоставления доступа к элементам сервера отчетов. Дополнительные сведения см. в разделе Управление разрешениями и безопасностью элементов сервера отчетов на узле SharePoint. |
Кто устанавливает разрешения
Первоначально только пользователи, входящие в группу локальных администраторов, имеют доступ к серверу отчетов. Службы Reporting Services устанавливаются с двумя назначениями ролей по умолчанию, которые предоставляют доступ на уровне элементов и на уровне системы членам группы локальных администраторов. Эти встроенные назначения ролей наделяют локальных администраторов правом предоставлять доступ к серверу отчетов другим пользователям и правом управлять элементами сервера отчетов. Встроенные назначения ролей нельзя удалить. Локальному администратору всегда предоставлен полный доступ для управления экземпляром сервера отчетов.
Поскольку полный доступ к серверу отчетов включает разрешения на уровне элементов и на уровне системы, локальному администратору назначаются следующие роли.
Администрирование экземпляра сервера отчетов на локальном компьютере под управлением операционных систем Windows Vista или Windows Server 2008 требует дополнительной настройки. Дополнительные сведения см. в разделе Как настроить сервер отчетов для локального администрирования в Windows Vista и Windows Server 2008.
Хранение разрешений
Назначения ролей и определения ролей хранятся в базе данных сервера отчетов. При использовании различных клиентских средств или программных интерфейсов доступ к серверу обеспечивается разрешениями, определяемыми для экземпляра сервера отчетов в целом. При настройке нескольких серверов отчетов для масштабного развертывания назначения ролей, определенные на одном экземпляре, хранятся в общей базе данных и используются всеми другими экземплярами, задействованными при масштабном развертывании. Поскольку назначения ролей хранятся вместе с элементами, доступ к которым ими определяется, можно переместить базу данных на другой экземпляр сервера отчетов, не потеряв ранее определенные разрешения.
Задачи и средства для управления разрешениями
Используйте следующие средства для управления определениями ролей и назначениями ролей.
Средство |
Задачи |
---|---|
Среда Management Studio — используется для просмотра, изменения, создания и удаления определений ролей. |
Как создать, удалить или изменить роль (среда Management Studio) |
Диспетчер отчетов — используется для присвоения ролей пользователям и группам. |
Как добавить пользователя к роли сервера отчетов (диспетчер отчетов) Как изменить или удалить назначение ролей (диспетчер отчетов) |
См. также