Статья
04/01/2012

Безопасная работа (службы Reporting Services)

В этом разделе приводятся рекомендации о том, как вести наблюдение за доступом к серверу отчетов и обеспечивать защиту сервера. При выполнении обязанностей администратора сервера отчетов вам придется принимать во внимание следующее.

Кто выполняет отчеты, в первую очередь отчеты, содержащие конфиденциальные данные.
Как обновлять настройки конфигурации при изменении имен входа или учетных записей.
Как отменять или изменять разрешения в ситуациях, когда кто-то из сотрудников покидает компанию или отдел.
Как отменять или изменять разрешения для администратора сервера отчетов.

Аудит доступа к отчетам

Журнал выполнения отчетов содержит сведения о том, кто обращается к отчетам. Эти сведения можно найти в базе данных сервера отчетов, но настоятельно рекомендуется создать отдельную базу данных с целью выполнения запросов данных о выполнении сервера отчетов. Службы Reporting Services содержит образец пакета служб Integration Services, который можно использовать для загрузки и обновления данных, которые необходимо проанализировать. Дополнительные сведения см. в разделе Наблюдение (службы Reporting Services).

Обновление сведений учетной записи сервера

Службы Reporting Services — распределенное серверное приложение. Сервер отчетов и база данных сервера отчетов могут размещаться на отдельных компьютерах. Более того, если сервер отчетов выполняется на внутреннем сервере внутри более широкого развертывания продукта или технологии SharePoint, возникает необходимость в поддержании дополнительного соединения между веб-приложением SharePoint и сервером отчетов.

В следующем списке описываются учетные записи и имена входа, которые необходимо обслуживать.

Служба сервера отчетов.
Соединение сервера отчетов с базой данных сервера отчетов.
Учетная запись автоматической обработки отчетов.
Сохраненные учетные данные для обработки запланированных отчетов или подписок.
Сохраненные учетные данные в управляемых данными подписках.
Для сервера отчетов, запущенного в режиме интеграции с SharePoint, необходимо поддерживать имена входа в базу данных SharePoint, используемые сервером отчетов для соединения с базами данных конфигурации и содержимого. Имя входа в базу данных управляется из центра администрирования SharePoint. Инструкции по настройке и обновлению имен входа см. в разделе Как настроить интеграцию сервера отчетов в центре администрирования SharePoint.

С целью ограничения числа обслуживаемых учетных записей можно использовать встроенную учетную запись для службы сервера отчетов. Можно также настроить соединение с базой данных сервера отчетов для использования учетной записи службы.

Для всех остальных учетных записей и имен входа необходимо обновлять общие источники данных или пользовательские источники данных всякий раз при изменении учетной записи или по истечении срока действия пароля. При использовании общих источников данных можно резко сократить издержки этой задачи. Дополнительные сведения см. в разделе Управление источниками данных для отчетов.

Отмена или изменение разрешений администратора сервера отчетов и пользователя.

Администратор сервера отчетов — лицо, являющееся членом локальной группы «Администраторы» на компьютере сервера отчетов. Выполняя эти обязанности, данное лицо имеет весь набор разрешений на всем сайте сервера отчетов и на всей иерархии серверных папок. Оно может предоставлять доступ к серверу другим пользователям, добавлять или удалять элементы, изменять свойства любого элемента, изменять настройки конфигурации сервера отчетов и т. д. При необходимости отмены разрешений нужно удалить учетную запись данного пользователя из группы «Администраторы».

Важно!
Чтобы иметь широкий объем разрешений на сервере отчетов, необязательно быть членом локальной группы «Администраторы». Если на сервере отчетов пользователю назначена роль Диспетчер содержимого и Системный администратор, этот пользователь имеет разрешение на определение основанных на роли параметров безопасности и на изменение содержимого или свойств, хранимых на сервере. При необходимости отмены этого разрешения можно удалить или изменить назначение ролей. Дополнительные сведения см. в разделе Как изменить или удалить назначение ролей (диспетчер отчетов).

Чтобы иметь широкий объем разрешений на сервере отчетов, необязательно быть членом локальной группы «Администраторы». Если на сервере отчетов пользователю назначена роль Диспетчер содержимого и Системный администратор, этот пользователь имеет разрешение на определение основанных на роли параметров безопасности и на изменение содержимого или свойств, хранимых на сервере. При необходимости отмены этого разрешения можно удалить или изменить назначение ролей. Дополнительные сведения см. в разделе Как изменить или удалить назначение ролей (диспетчер отчетов).

Отмена или изменение разрешений пользователя

Если служащий покидает отдел или компанию, можно удалить назначения ролей для предотвращения доступа к отчетам. Если были созданы пользовательские назначения ролей, касающиеся тех или иных папок либо отчетов, все эти назначения необходимо тщательно проверить.

Удаление назначения ролей не означает автоматического удаления подписок. При удалении подписок необходимо удалять их из всех отчетов. Функция массового изменения с целью управления всеми подписками из одного центра не предусмотрена.

Если пользователь является получателем стандартной или управляемой данными подписки, при удалении назначений ролей подписка для этого пользователя будет заблокирована. Однако необходимо всегда удалять подписки, не являющиеся активными.

См. также

Задания

Учебник. Установка разрешений в службах Reporting Services

Основные понятия

Защита и обеспечение безопасности (службы Reporting Services)

Безопасное развертывание (службы Reporting Services)

Наблюдение (службы Reporting Services)