Создание назначений ролей и управление ими
Назначение ролей представляет собой политику безопасности, определяющую, может ли пользователь или группа получить доступ к определенному элементу сервера отчетов или выполнить над ним операцию. Назначение ролей состоит из одного имени учетной записи пользователя или группы пользователей и одного или более определений роли.
Областью действия назначения ролей является либо уровень элемента, либо уровень системы.
Назначение роли на уровне элемента всегда создается в контексте конкретного элемента или ветви иерархии папок сервера отчетов. Переместитесь к определенной папке или элементу, чтобы создать для него назначение ролей.
Назначения ролей на уровне системы обеспечивает выбранным пользователям возможность выполнять задачи, применяемые к узлу сервера отчетов в целом. К таким задачам относится создание общих расписаний, управление заданиями, обработка отчетов в построителе отчетов и настройка свойств. Безопасности на уровне системы недостаточно для доступа к элементам иерархии папок сервера отчетов.
Создание назначения роли на уровне элемента
Чтобы создать назначения ролей и управлять ими, используйте диспетчер отчетов и откройте страницы свойств безопасности элемента, который нужно защитить.
Необходимо создать отдельное назначение ролей для каждой учетной записи пользователя или группы пользователей, которой необходим доступ к серверу отчетов. Если учетная запись находится в домене, отличном от того, который содержит сервер отчетов, добавьте имя этого домена. После определения учетной записи можно выбрать одно или более определений роли. Определения роли дополняют друг друга. Объединенный набор всех задач из всех определений поддерживается в назначении для отдельного пользователя или группы пользователей.
Для разрешения широкого доступа необходимо выбрать элемент, который является верхним в иерархии папок (например, корневой узел Home). После этого можно создать последующие назначения ролей для блокировки определенных областей иерархии папок.
Чтобы создать назначение ролей, необходимо быть членом локальной группы администраторов на компьютере сервера отчетов. Ответственность можно делегировать, назначая другим пользователям роль Диспетчер содержимого.
Дополнительные сведения см. в разделе Как предоставить пользователям доступ к серверу отчетов (диспетчер отчетов).
Создание назначения ролей на уровне системы
Чтобы создать назначение ролей на уровне системы и управлять им, используйте диспетчер отчетов и откройте страницу «Настройки веб-узла».
Назначения ролей на уровне системы и на уровне элемента сочетаются. Необходимо создать назначение ролей на уровне системы для каждого пользователя или группы, имеющих назначение ролей на уровне элемента.
Назначения ролей на уровне системы охватывают широкий диапазон разрешений, но они не включают разрешений, которые являются частью назначения ролей на уровне элемента. В отличие от системных разрешений на компьютере, системные роли в серверах отчетов не передают перекрывающих разрешений, которые включали бы полный набор всех возможных операций. Вместо этого назначение ролей на уровне системы представляет собой просто набор задач, применяемых к узлу сервера отчетов. Разрешения, передаваемые через назначения системных ролей, определяют, могут ли пользователи просматривать свойства приложений (такие как изображение или заголовок домашней страницы), просматривать общие расписания или управлять ими, а также использовать построитель отчетов.
Дополнительные сведения см. в разделах Как предоставить пользователям доступ к серверу отчетов (диспетчер отчетов) и Использование стандартных ролей.
Изменение назначения ролей
Изменить назначение ролей можно в любое время. Изменения вступают в силу при сохранении назначения ролей. Изменение назначения ролей не затрагивает пользовательские сеансы. Если пользователь открыл отчет, а назначение ролей изменено для запрета доступа, этот пользователь может продолжать использовать отчет до конца активного сеанса.
Если учетная запись пользователя добавляется к группе, которая уже является частью назначения ролей, перед тем, как учетная запись пользователя сможет обратиться к элементам через политику учетной записи группы, пройдет определенный промежуток времени. Эта задержка вызвана работой служб IIS, кэширующих маркеры проверки подлинности. Можно либо подождать обновления маркеров (обычно период ожидания составляет пятнадцать минут), либо сбросить IIS, что приведет к немедленному обновлению кэша.
Одновременно можно изменить только одно назначение ролей. Для изменения имен определения роли, параметров настройки назначения ролей или для поиска всех назначений роли, содержащих определенного пользователя или группу пользователей, нельзя выполнять операции глобального поиска и замены.
Удаление назначения ролей
Для удаления назначений ролей установите флажок возле каждого назначения, которое нужно удалить, и нажмите Удалить. Также назначения ролей можно удалить, нажав кнопку Сбросить до значений безопасности родительского уровня. При нажатии этой кнопки существующие назначения ролей элемента удаляются, и вместо них используются те назначения, которые обеспечиваются через родительский элемент.
См. также