共用方式為


保護 Analysis Services 使用之資料來源的安全

如果未經授權的使用者取得資料來源的存取權,Microsoft SQL Server Analysis Services 就是從這些來源載入它的資料,則那些未經授權的使用者可以存取儲存在 Analysis Services 執行個體內的相同資訊。您應該限制這些資料來源的存取權。若要瀏覽 Cube 和維度,Analysis Services 使用者不需要這些資料來源的權限。不過,Analysis Services 使用者則需要權限才能連接到基礎資料來源,以執行特定工作,例如使用資料採礦運算式 (DMX) 來執行特定資料採礦工作。

保護基礎資料來源之連接的安全

Analysis Services 連接到基礎資料來源,以執行下列動作:

  • 處理資料並放到 Analysis Services。

  • 在使用 ROLAP 或 HOLAP 時解析查詢。

  • 記錄回寫項目。

  • 執行多維度運算式 (MDX) 鑽研查詢。

Analysis Services 透過 DataSource 物件來執行每一項工作。DataSource 物件用來存取這些資料來源的安全帳戶,是使用者自己的安全性認證,或是指定在 DataSource 物件所儲存之連接字串中的使用者名稱和密碼。

警告注意事項注意

如果 Analysis Services 使用 Analysis Services 登入帳戶來連接到它的任何一個資料來源,則不論該資料來源是否在該資料庫內使用,具有完整控制權權限之資料庫角色的成員都可以存取該資料來源。

DataSource 物件使用之安全性帳戶所需的權限,視 Analysis Services 要執行的工作而定:

  • 若要連接到資料來源,DataSource 物件使用的安全性帳戶對於資料來源中的適當資料表,必須至少具備讀取權限。如果使用 ROLAP 儲存體,安全性帳戶也必須具有將彙總資料寫回到資料來源的權限。

  • 如果已啟用回寫,則使用的安全性帳戶也必須具有寫入回寫資料表的權限。

Analysis Services 會加密和儲存用來連接到每一個資料來源的連接字串資訊。如果連接字串指定特定的安全性帳戶而不是信任連接,您可以選擇要不要同時儲存連接字串和密碼。如果密碼沒有與連接字串一起儲存,每當 Analysis Services 嘗試連接到該資料來源時 (例如在處理期間或在修改資料來源檢視時),Analysis Services 會提示使用者提供適當的安全性帳戶和密碼。

在開發期間,您可以選擇在 Analysis Services 專案中儲存連接字串安全性帳戶和密碼。當您建立 Analysis Services 專案時,Business Intelligence Development Studio 會從所有資料來源連接字串中移除安全性帳戶和密碼 (除非您選擇要將它們保存在輸出檔中)。如果您將安全性帳戶和密碼儲存在 Analysis Services 專案的輸出檔中,此連接字串資訊會受到加密。如果您沒有保存此連接字串資訊,而且也沒有在連接字串中指定信任連接,則在部署處理期間,Analysis Services 會提示您提供適當的安全性帳戶和密碼。

保護資料採礦查詢所使用之連接的安全

針對在 DMX 陳述式中使用 OPENQUERY 子句來連接到基礎資料來源的資料採礦查詢,Analysis Services 會透過 DataSource 物件連接。DataSource 物件模擬用戶端,或使用連接字串中所指定的名稱和密碼。依預設,使用者對 DataSource 物件沒有權限,且無法使用 OPENQUERY 陳述式來查詢基礎資料來源。若要在 DMX 陳述式中使用 OPENQUERY 子句來查詢基礎資料來源,必須授與 DataSource 物件的讀取/寫入權限給使用者。如果使用者對 DataSource 物件具有讀取/寫入權限,且特定帳戶已在連接字串中指定,則指定的帳戶對基礎資料來源中的資料表最好具有最嚴格的權限,亦即對於所存取的特定資料表具有唯讀權限。如需有關 DMX 的詳細資訊,請參閱<資料採礦延伸模組 (DMX) 資料定義陳述式>和<資料採礦延伸模組 (DMX) 資料操作陳述式>。

依預設,使用者不能在 DMX 陳述式中使用 OPENROWSET 子句,也不能使用特定連接字串,針對基礎資料來源提交特定查詢。您可以變更 DataMining \ AllowAdHocOpenRowsetQueries 伺服器組態屬性的預設值,讓使用者能夠使用 OPENROWSET 子句。若要存取此屬性,請以滑鼠右鍵按一下 Analysis Services 的執行個體,按一下 [屬性],然後在 [安全性] 頁面上找出此屬性。如果您這麼做,將無法將資料來源限制為資料採礦模型使用者可以查詢的資料來源。如需詳細資訊,請參閱<授與對採礦結構和採礦模型的存取權>和<授與對資料來源的存取權>。