Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los roles se usan en Microsoft SQL Server Analysis Services para administrar la seguridad de los objetos y datos de Analysis Services. En términos básicos, un rol asocia los identificadores de seguridad (SID) de usuarios y grupos de Microsoft Windows que tienen permisos y derechos de acceso específicos definidos para objetos administrados por una instancia de Analysis Services. En Analysis Services se proporcionan dos tipos de roles:
El rol de servidor, un rol fijo que proporciona acceso de administrador a una instancia de Analysis Services.
Roles de base de datos, roles definidos por los administradores para controlar el acceso a objetos y datos para usuarios que no son administradores.
La seguridad de Microsoft SQL Server Analysis Services se administra mediante roles y permisos. Los roles son grupos de usuarios. Los usuarios, también llamados miembros, se pueden agregar o quitar de roles. Los permisos para los objetos se especifican mediante roles y todos los miembros de un rol pueden usar los objetos para los que el rol tiene permisos. Todos los miembros de un rol tienen permisos iguales a los objetos. Los permisos son específicos de los objetos. Cada objeto tiene una colección de permisos con los permisos concedidos en ese objeto, se pueden conceder distintos conjuntos de permisos en un objeto. Cada permiso, de la colección de permisos del objeto, tiene asignado un solo rol.
Objetos de miembro de rol y rol
Un rol es un objeto contenedor para una colección de usuarios (miembros). Una definición de rol establece la pertenencia de los usuarios en Analysis Services. Dado que los permisos se asignan por rol, un usuario debe ser miembro de un rol antes de que el usuario tenga acceso a cualquier objeto.
Un Role objeto se compone de los parámetros Name, Id y Members. Los miembros son una colección de cadenas. Cada miembro contiene el nombre de usuario en forma de "dominio\nombredeusuario". Name es una cadena que contiene el nombre del rol. Id. es una cadena que contiene el identificador único del rol.
Rol de servidor
El rol de servidor de Analysis Services define el acceso administrativo de usuarios y grupos de Windows a una instancia de Analysis Services. Los miembros de este rol tienen acceso a todas las bases de datos y objetos de Analysis Services en una instancia de Analysis Services y pueden realizar las siguientes tareas:
Realice funciones administrativas de nivel de servidor mediante SQL Server Management Studio o SQL Server Data Tools (SSDT), incluida la creación de bases de datos y la configuración de propiedades de nivel de servidor.
Realizar funciones administrativas mediante programación con Analysis Management Objects (AMO).
Mantenga los roles de base de datos de Analysis Services.
Iniciar seguimientos (distintos de los eventos de procesamiento, que se pueden realizar mediante un rol de base de datos con acceso a procesos).
Cada instancia de Analysis Services tiene un rol de servidor que define qué usuarios pueden administrar esa instancia. El nombre y el identificador de este rol son Administradores y, a diferencia de los roles de base de datos, el rol de servidor no se puede eliminar ni se pueden agregar ni quitar permisos. Es decir, un usuario es o no administrador de una instancia de Analysis Services, en función de si se incluye en el rol de servidor para esa instancia de Analysis Services.
Roles de base de datos
Un rol de base de datos de Analysis Services define el acceso de usuario a objetos y datos en una base de datos de Analysis Services. Un rol de base de datos se crea como un objeto independiente en una base de datos de Analysis Services y solo se aplica a la base de datos en la que se crea ese rol. Los usuarios y grupos de Windows se incluyen en el rol por parte de un administrador, que también define los permisos dentro del rol.
Los permisos de un rol pueden permitir que los miembros accedan a la base de datos y administren, además de los objetos y los datos de la base de datos. Cada permiso tiene uno o varios derechos de acceso asociados, lo que, a su vez, concede al permiso un control más fino sobre el acceso a un objeto determinado de la base de datos.
Objetos de permiso
Los permisos están asociados a un objeto (cubo, dimensión, otros) para un rol determinado. Los permisos especifican qué operaciones puede realizar el miembro de ese rol en ese objeto.
La Permission clase es una clase abstracta. Por lo tanto, debe usar las clases derivadas para definir permisos en los objetos correspondientes. Para cada objeto, se define una clase derivada de permisos.
| Objeto | Clase |
|---|---|
| Database | DatabasePermission |
| DataSource | DataSourcePermission |
| Dimension | DimensionPermission |
| Cube | CubePermission |
| MiningStructure | MiningStructurePermission |
| MiningModel | MiningModelPermission |
Las posibles acciones habilitadas por permisos se muestran en la lista:
| Acción | Valores | Explicación |
|---|---|---|
| Proceso | {true, false}Default= false |
Si truees , los miembros pueden procesar el objeto y cualquier objeto contenido en el objeto .Los permisos de proceso no se aplican a los modelos de minería de datos. MiningModel los permisos siempre se heredan de MiningStructure. |
| ReadDefinition | {None, Basic, Allowed}Default= None |
Especifica si los miembros pueden leer la definición de datos (ASSL) asociada al objeto . Si Allowedes , los miembros pueden leer el ASSL asociado al objeto .Basic y Allowed los heredan los objetos contenidos en el objeto .
Allowed invalida Basic y None.Allowed es necesario para DISCOVER_XML_METADATA en un objeto .
Basic es necesario para crear objetos vinculados y cubos locales. |
| Lectura | {None, Allowed}Default= None (excepto DimensionPermission, donde default=Allowed) |
Especifica si los miembros tienen acceso de lectura a conjuntos de filas de esquema y contenido de datos.Allowed proporciona acceso de lectura en una base de datos, lo que le permite detectar una base de datos.Allowed en un cubo proporciona acceso de lectura en conjuntos de filas de esquema y acceso al contenido del cubo (a menos que esté restringido por CellPermission y CubeDimensionPermission).Allowed en una dimensión concede permiso de lectura en todos los atributos de la dimensión (a menos que esté restringido por CubeDimensionPermission). El permiso de lectura se usa para la CubeDimensionPermission herencia estática solo.
None en una dimensión oculta la dimensión y proporciona acceso al miembro predeterminado solo para atributos aggregables; se produce un error si la dimensión contiene un atributo no aggregatable.Allowed en un objeto MiningModelPermission concede permisos para ver objetos en conjuntos de filas de esquema y para realizar combinaciones de predicción.NotaTodos los permitidos son necesarios para leer o escribir en cualquier objeto de la base de datos. |
| Escribir | {None, Allowed}Default= None |
Especifica si los miembros tienen acceso de escritura a los datos del objeto primario. El acceso se aplica a Dimensionlas subclases , Cubey MiningModel . No se aplica a las subclases de base de datos MiningStructure , lo que genera un error de validación. Allowed en un objeto Dimension concede permiso de escritura en todos los atributos de la dimensión.Allowed en un objeto Cube concede permiso de escritura en las celdas del cubo para las particiones definidas como Type=writeback.Allowed en un objeto MiningModel concede permiso para modificar el contenido del modelo.Allowed en un no MiningStructure tiene ningún significado específico en Analysis Services.
Nota: No se puede establecer la escritura en a Allowed menos que la lectura también esté establecida en . Allowed |
| Administrar nota: Solo en permisos de base de datos | {true, false}Default= false |
Especifica si los miembros pueden administrar una base de datos.true concede a los miembros acceso a todos los objetos de una base de datos.Un miembro puede tener permisos de administración para una base de datos específica, pero no para otros usuarios. |
Véase también
Autorización del acceso a objetos y operaciones (Analysis Services)