Freigeben über


Konfigurieren von Dienstkonten (Analysis Services)

Gilt für: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Die produktweite Kontobereitstellung ist unter Konfigurieren von Windows-Dienstkonten und -berechtigungen dokumentiert, einem Thema, das umfassende Dienstkontoinformationen für alle SQL Server-Dienste enthält, einschließlich SQL Server Analysis Services. Dort erfahren Sie alles über gültige Kontotypen, beim Setup zugewiesene Windows-Berechtigungen, Dateisystemberechtigungen, Registrierungsberechtigungen und vieles mehr.

Dieses Thema enthält zusätzliche Informationen für SQL Server Analysis Services, einschließlich zusätzlicher Berechtigungen, die für tabellarische und gruppierte Installationen erforderlich sind. Außerdem werden Berechtigungen behandelt, die zur Unterstützung von Servervorgängen erforderlich sind. Beispielsweise können Sie Verarbeitungs- und Abfragevorgänge so konfigurieren, dass sie unter dem Dienstkonto ausgeführt werden . In diesem Szenario sind zusätzliche Berechtigungen erforderlich.

Ein weiterer Konfigurationsschritt, der hier nicht dokumentiert ist, besteht darin, einen Dienstprinzipalnamen (Service Principal Name, SPN) für die SQL Server Analysis Services instance und das Dienstkonto zu registrieren. Dieser Schritt ermöglicht Pass-Through-Authentifizierung von Clientanwendungen zu Back-End-Datenquellen in Double-Hop-Szenarien. Dieser Schritt kann bei Diensten verwendet werden, die für eingeschränkte Kerberos-Delegierung konfiguriert sind. Weitere Anweisungen finden Sie unter Configure Analysis Services for Kerberos constrained delegation .

Kontoempfehlungen für die Anmeldung

Das Startkonto des WINDOWS-Diensts MSSQLServerOLAPService kann ein Windows-Domänenbenutzerkonto, ein virtuelles Konto, ein verwaltetes Dienstkonto (MSA) oder ein integriertes Konto wie eine Dienst-SID, NetworkService oder LocalSystem sein. Die Verwendung eines Domänenbenutzerkontos als Dienstanmeldungskonto enthält Details zu Benutzerkontenformaten.

In einem Failovercluster sollten alle Instanzen von Analysis Services so konfiguriert werden, dass sie ein Windows-Domänenbenutzerkonto verwenden. Weisen Sie dasselbe Konto für alle Instanzen zu. Weitere Informationen finden Sie unter Clustern von Analysis Services .

Eigenständige Instanzen sollten das virtuelle Standardkonto verwenden: NT Service\MSSQLServerOLAPService für die Standardinstanz oder NT Service\MSOLAP$Instanzname für eine benannte Instanz. Diese Empfehlung gilt für Analysis Services-Instanzen in allen Servermodi, Windows Server 2008 R2 und höher für das Betriebssystem und SQL Server 2012 und höher für Analysis Services vorausgesetzt.

Erteilen von Berechtigungen für Analysis Services

In diesem Abschnitt werden die Berechtigungen erläutert, die Analysis Services für lokale interne Vorgänge benötigt. Zu diesen Vorgängen gehören das Starten der ausführbaren Datei, das Lesen der Konfigurationsdatei und das Laden von Datenbanken aus dem Datenverzeichnis. Anleitungen zum Festlegen von Berechtigungen für den Zugriff auf externe Daten und die Interoperabilität mit anderen Diensten und Anwendungen finden Sie unter Gewähren zusätzlicher Berechtigungen für bestimmte Servervorgänge weiter in diesem Thema.

Bei internen Vorgängen ist der Berechtigungsinhaber in Analysis Services nicht das Anmeldekonto, sondern eine lokale Windows-Sicherheitsgruppe, die vom Setup erstellt wurde und die dienstspezifische SID enthält. Das Zuweisen von Berechtigungen für die Sicherheitsgruppe deckt sich mit früheren Versionen von Analysis Services. Darüber hinaus können sich Anmeldekonten mit der Zeit ändern, aber die Pro-Dienst-SID und die lokale Sicherheitsgruppe bleiben für die Lebensdauer der Serverinstallation gleich. Für Analysis Services ist die Sicherheitsgruppe eine bessere Wahl für das Speichern von Berechtigungen als das Anmeldekonto. Wenn Sie manuell Berechtigungen für die Dienstinstanz erteilen, egal ob Dateisystemberechtigungen oder Windows-Berechtigungen, erteilen Sie der für die Serverinstanz erstellten lokalen Sicherheitsgruppe die Berechtigungen.

Der Name der Sicherheitsgruppe folgt einem Muster. Das Präfix ist immer SQLServerMSASUser$, gefolgt vom Computernamen, und endet mit dem Instanznamen. Die Standardinstanz ist MSSQLSERVER. Ein benannter instance ist der Name, der während des Setups angegeben wird.

Sie finden diese Sicherheitsgruppe in den lokalen Sicherheitseinstellungen:

  • Ausführen von compmgmt.msc | Lokale Benutzer und Gruppen | Gruppen | SQLServerMSASUser$<Servername>$MSSQLSERVER (für eine Standard-instance).

  • Doppelklicken Sie auf die Sicherheitsgruppe, um die zugehörigen Mitglieder anzuzeigen.

Die einzige Mitglieder der Gruppe ist die Pro-Dienst-SID. Rechts daneben ist das Anmeldekonto. Den Namen des Anmeldekontos ist kosmetischer Natur, um einen Kontext für die Pro-Dienst-SID anzugeben. Wenn Sie das Anmeldekonto ändern, werden die Sicherheitsgruppe und die Dienst-SID nicht geändert. Nur die Bezeichnung des Anmeldekontos ist anders.

Windows-Berechtigungen, die dem Analysis Services-Dienstkonto zugewiesen sind

Analysis Services benötigt Berechtigungen vom Betriebssystem für das Starten des Dienstes sowie das Anfordern von Systemressourcen. Die Anforderungen variieren je nach Servermodus und sind außerdem abhängig davon, ob die Instanz gruppiert ist.

Alle Instanzen von Analysis Services erfordern die Berechtigung Anmelden als Dienst (SeServiceLogonRight). SQL Server-Setup weist die Berechtigung dem Dienstkonto zu, das Sie bei der Installation angegeben haben. Bei Servern, die im mehrdimensionalen oder im Data Mining-Modus ausgeführt werden, ist dies die einzige Windows-Berechtigung, die für das Analysis Services-Dienstkonto für eigenständige Serverinstallationen benötigt wird. Außerdem ist es die einzige Berechtigung, die beim Setup für Analysis Services konfiguriert wird. Für gruppierte und tabellarische Instanzen müssen Sie Windows-Berechtigungen manuell hinzufügen.

Failoverclusterinstanzen im tabellarischen oder multidimensionalen Modus erfordern außerdem ein Anheben der Zeitplanungspriorität (SeIncreaseBasePriorityPrivilege).

Tabellarische Instanzen nutzen die folgenden drei zusätzlichen Privilegien, die nach der Installation der Instanz manuell hinzugefügt werden müssen.

Berechtigung BESCHREIBUNG
Arbeitssatz eines Prozesses vergrößern (SeIncreaseWorkingSetPrivilege) Dieses Privileg ist standardmäßig für alle Benutzer über die Benutzer -Sicherheitsgruppe verfügbar. Wenn Sie einen Server sperren, indem Sie Berechtigungen für diese Gruppe entfernen, kann Analysis Services möglicherweise nicht gestartet werden, und der Folgende Fehler wird protokolliert: "Eine erforderliche Berechtigung wird vom Client nicht gehalten." Wenn dieser Fehler auftritt, stellen Sie die Berechtigung für Analysis Services wieder her, indem Sie sie der entsprechenden Analysis Services-Sicherheitsgruppe zuweisen.
Speicherkontingente für einen Prozess anpassen (SeIncreaseQuotaPrivilege) Diese Berechtigung wird verwendet, um mehr Speicherplatz anzufordern, wenn ein Prozess nicht über ausreichende Ressourcen verfügt, um die Ausführung abschließen zu können, in Abhängigkeit von den für die Instanz festgelegten Arbeitsspeicherschwellenwerten.
Sperren von Seiten im Speicher (SeLockMemoryPrivilege) Diese Berechtigung ist nur erforderlich, wenn die Auslagerung vollständig ausgeschaltet wird. Standardmäßig verwendet eine tabellarische Serverinstanz die Windows-Auslagerungsdatei. Sie können dieses Verhalten jedoch ändern, indem Sie VertiPaqPagingPolicy auf 0 einstellen.

VertiPaqPagingPolicy auf 1 (Standard) weist die tabellarische Serverinstanz an, die Windows-Auslagerungsdatei zu verwenden. Belegungen sind nicht gesperrt, sodass Windows erforderliche Auslagerungen vornehmen kann. Da die Auslagerung verwendet wird, ist das Sperren von Seiten im Speicher nicht erforderlich. Daher ist es bei der Standardkonfiguration ( VertiPaqPagingPolicy = 1) nicht erforderlich, einer tabellarischen Instanz die Berechtigung Sperren von Seiten im Speicher zu gewähren.

VertiPaqPagingPolicy auf 0. Wenn Sie die Auslagerung für Analysis Services ausschalten, werden Belegungen gesperrt, wenn die Berechtigung Sperren von Seiten im Speicher gewährt wurde. Bei dieser Einstellungen und mit der Berechtigung Sperren von Seiten im Speicher kann Windows keine Speicherbelegungen für Analysis Services auslagern, wenn im System nicht genügend Arbeitsspeicher vorhanden ist. Analysis Services greift auf die Berechtigung Sperren von Seiten im Speicher zurück, um VertiPaqPagingPolicy = 0 zu erzwingen. Beachten Sie, dass das Ausschalten der Windows-Auslagerung nicht empfohlen wird. Dadurch treten mehr Fehler aufgrund von nicht ausreichendem Arbeitsspeicher bei Vorgängen auf, die mit Auslagerung erfolgreich ausgeführt worden wären. Unter Memory Properties finden Sie weitere Details zu VertiPaqPagingPolicy.

So können Sie Windows-Berechtigungen mit dem Dienstkonto anzeigen oder hinzufügen

  1. Führen Sie GPEDIT.msc aus und wählen Sie Richtlinie für "Lokaler Computer" | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten.

  2. Prüfen Sie vorhandene Richtlinien, die SQLServerMSASUser$enthalten. Hierbei handelt es sich um eine lokale Sicherheitsgruppe auf Computern mit einer Analysis Services-Installation. Diese Sicherheitsgruppe erhält sowohl Windows-Berechtigungen als auch Dateiordnerberechtigungen. Doppelklicken Sie auf die Richtlinie Anmelden als Dienst , um anzuzeigen, wie die Sicherheitsgruppe im System angegeben wurde. Der vollständige Name der Sicherheitsgruppe variiert abhängig davon, ob Sie Analysis Services als benannte Instanz installiert haben. Nutzen Sie diese Sicherheitsgruppe, statt des Dienstkontos, wenn Sie Kontoberechtigungen hinzufügen.

  3. Klicken Sie mit der rechten Maustaste auf Arbeitssatz eines Prozesses vergrößern , und wählen Sie Eigenschaftenaus, um Kontoberechtigungen in GPEDIT hinzuzufügen.

  4. Klicken Sie auf Benutzer oder Gruppe hinzufügen.

  5. Geben Sie die Benutzergruppe für die Analysis Services-Instanz ein. Beachten Sie, dass das Dienstkonto ein Mitglied der lokalen Sicherheitsgruppe ist. Daher müssen Sie den Namen des lokalen Computers als Domäne des Kontos voranstellen.

    Die folgende Liste enthält zwei Beispiele für eine Standardinstanz. Diese heißt "Tabular" auf einem Computer namens "SQL01-WIN12", wobei der Computername die lokale Domäne ist.

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR

  6. Wiederholen Sie dies für Anpassen des Arbeitsspeicherkontingents für einen Prozessund optional für Sperren von Seiten im Speicher oder Erhöhen der Zeitplanungspriorität.

Hinweis

In vorherigen Versionen von Setup wurde das Analysis Services-Dienstkonto versehentlich der Gruppe Leistungsprotokollbenutzer hinzugefügt. Obwohl das Problem behoben wurde, kann diese unnötige Gruppenmitgliedschaft in vorhandenen Installationen noch bestehen. Da das SQL Server Analysis Services-Dienstkonto keine Mitgliedschaft in der Gruppe Leistungsprotokollbenutzer erfordert, können Sie es aus der Gruppe entfernen.

Dateisystemberechtigungen, die dem Analysis Services-Dienstkonto zugewiesen sind

Hinweis

Eine Liste der Berechtigungen für die einzelnen Programmordner finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen .

Informationen zu Dateiberechtigungen im Zusammenhang mit der IIS-Konfiguration und -SQL Server Analysis Services finden Sie unter Konfigurieren des HTTP-Zugriffs auf Analysis Services unter Internetinformationsdienste (IIS) 8.0.

Alle Dateisystemberechtigungen, die für Servervorgänge erforderlich sind, einschließlich berechtigungen, die zum Laden und Entladen von Datenbanken aus einem bestimmten Datenordner erforderlich sind, werden während der Installation von SQL Server Setup zugewiesen.

Der Berechtigungsinhaber für Datendateien, ausführbare Programmdateien, Konfigurationsdateien, Protokolldateien und temporäre Dateien ist eine lokale Sicherheitsgruppe, die von SQL Server Setup erstellt wurde.

Für jede installierte Instanz gibt es nur eine Sicherheitsgruppe. Die Sicherheitsgruppe ist nach dem instance benannt: entweder SQLServerMSASUser$MSSQLSERVER für die Standard-instance oder SQLServerMSASUser$<servername>$<instancename> für einen benannten instance. Diese Sicherheitsgruppe erhält von Setup die Dateiberechtigungen, die zum Ausführen von Servervorgängen erforderlich sind. An den Sicherheitsberechtigungen für das Verzeichnis \MSAS13.MSSQLSERVER\OLAP\BIN erkennen Sie, dass die Sicherheitsgruppe (und nicht das Dienstkonto oder dessen Pro-Dienst-SID (Sicherheits-ID)) die Berechtigungen für dieses Verzeichnis besitzt.

Die Sicherheitsgruppe enthält nur ein Mitglied: die Sicherheits-ID (SID) pro Dienst des SQL Server Analysis Services instance Startkontos. Setup fügt die Pro-Dienst-SID zur lokalen Sicherheitsgruppe hinzu. Die Verwendung einer Sicherheitsgruppe mit SID-Mitgliedschaft macht einen kleinen, aber wichtigen Unterschied dabei aus, wie SQL Server Setup im Vergleich mit der Datenbank-Engine Analysis Services bereitstellt.

Wenn Sie vermuten, dass Dateiberechtigungen beschädigt sind, führen Sie folgende Schritte aus, um sicherzustellen, dass der Dienst immer noch korrekt bereitgestellt wird:

  1. Verwenden Sie das Service Control-Befehlszeilentool (sc.exe), um die SID einer Standarddienstinstanz zu erhalten.

    SC showsid MSSqlServerOlapService

    Verwenden Sie bei einer benannten Instanz (mit Instanzname Tabular) folgende Syntax:

    SC showsid MSOlap$Tabular

  2. Verwenden Sielokale Benutzer- und Gruppengruppen | des Computer-Managers | , um die Mitgliedschaft der Sicherheitsgruppe SQLServerMSASUser$<servername>$<instancename> zu überprüfen.

    Die Mitglieds-SID sollte der Pro-Dienst-SID aus Schritt 1 entsprechen.

  3. Verwenden von Windows Explorer | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin, um zu überprüfen, ob der Sicherheitsgruppe in Schritt 2 die Sicherheitseigenschaften des Ordners gewährt werden.

Hinweis

SIDs sollten niemals entfernt oder geändert werden. Informationen zum Wiederherstellen einer dienstspezifischen SID, die versehentlich gelöscht wurde, finden Sie unter https://support.microsoft.com/kb/2620201.

Weitere Informationen zu Pro-Dienst-SIDs

Jedes Windows-Konto verfügt über eine zugeordnete SID, allerdings können Dienste ebenfalls eine SID aufweisen, die daher Pro-Dienst-SID genannt wird. Eine Pro-Dienst-SID wird erstellt, wenn die Dienstinstanz installiert ist. Sie ist das eindeutige, feste Element des Dienstes. Die Pro-Dienst-SID ist eine lokale, auf Computerebene aus dem Dienstnamen generierte SID. Auf einer Standardinstanz lautet der benutzerfreundliche Name NT SERVICE\MSSQLServerOLAPService.

Eine Pro-Dienst-SID bietet den Vorteil, dass das allgemein sichtbare Anmeldekonto beliebig geändert werden kann, ohne dass sich dies auf die Dateiberechtigungen auswirkt. Angenommen, Sie haben zwei Analysis Services-Instanzen in Form einer Standardinstanz und einer benannten Instanz installiert, die beide unter demselben Windows-Benutzerkonto ausgeführt werden. Solange das Anmeldekonto freigegeben ist, wird jede Dienstinstanz eine eindeutige Pro-Dienst-SID haben. Diese SID unterscheidet sich von der SID des Anmeldekontos. Die Pro-Dienst-SID wird für Dateiberechtigungen und Windows-Berechtigungen verwendet. Im Gegensatz dazu dient die Anmeldekonto-SID für Authentifizierungs- und Autorisierungsszenarien ─ verschiedene SIDs für verschiedene Zwecke.

Da die SID unveränderlich ist, können während der Installation eines Dienstes erstellte Dateisystem-ACLs beliebig oft verwendet werden, und zwar unabhängig von der Anzahl der Änderungen am Kontonamen. Darüber hinaus bieten ACLs, in denen Berechtigungen per SID angegeben sind, zusätzliche Sicherheit, da sie gewährleisten, dass der Zugriff auf ausführbare Programmdateien und Datenordner ausschließlich über eine einzelne Dienstinstanz erfolgt. Dies gilt selbst dann, wenn weitere Dienste unter demselben Konto ausgeführt werden.

Gewähren zusätzlicher Analysis Services-Berechtigungen für spezifische Servervorgänge

SQL Server Analysis Services führt einige Aufgaben im Sicherheitskontext des Dienstkontos (oder Anmeldekontos) aus, das zum Starten SQL Server Analysis Services verwendet wird, und führt andere Aufgaben im Sicherheitskontext des Benutzers aus, der die Aufgabe anfordert.

In der folgenden Tabelle werden zusätzliche Berechtigungen beschrieben, die zum Ausführen von Tasks über das Dienstkonto erforderlich sind.

Servervorgang Arbeitselement Begründung
Remotezugriff auf externe relationale Datenquellen Erstellen eines Datenbankanmeldenamens für das Dienstkonto Verarbeitung bezieht sich auf den Datenabruf aus einer externen Datenquelle (in der Regel eine relationale Datenbank), die anschließend in eine SQL Server Analysis Services Datenbank geladen wird. Eine der Anmeldeinformationsoptionen für das Abrufen externer Daten besteht darin, das Dienstkonto zu verwenden Diese Anmeldeinformationsoption kann nur verwendet werden, wenn Sie eine Datenbankanmeldung für das Dienstkonto erstellen und Leseberechtigungen für die Quelldatenbank erteilen. Weitere Informationen dazu, wie die Dienstkontooption für diese Aufgabe verwendet wird, finden Sie unter Festlegen von Identitätswechseloptionen (SSAS – Multidimensional). Dieselben Identitätswechseloptionen sind auch verfügbar, wenn ROLAP als Speichermodus verwendet wird. In diesem Fall muss das Konto außerdem über Schreibzugriff auf die Quelldaten verfügen, damit die ROLAP-Partitionen verarbeitet (d. h. Aggregationen gespeichert) werden können.
DirectQuery Erstellen eines Datenbankanmeldenamens für das Dienstkonto DirectQuery ist eine Tabellenfunktion zum Abfragen externer Datasets, die entweder zu groß für das tabellarische Modell sind oder andere Merkmale aufweisen, für die DirectQuery besser als die Standardoption für die arbeitsspeicherinterne Speicherung geeignet ist. Eine der im DirectQuery-Modus verfügbaren Verbindungsoptionen besteht in der Verwendung des Dienstkontos. Auch in diesem Fall kann die Option nur verwendet werden, wenn das Dienstkonto über eine Datenbankanmeldung sowie über Leseberechtigungen für die Zieldatenquelle verfügt. Weitere Informationen dazu, wie die Dienstkontooption für diese Aufgabe verwendet wird, finden Sie unter Festlegen von Identitätswechseloptionen (SSAS – Multidimensional). Alternativ können Daten mithilfe der Anmeldeinformationen des aktuellen Benutzers abgerufen werden. Da diese Option in den meisten Fällen eine Double-Hop-Verbindung umfasst, sollte das Dienstkonto unbedingt für die eingeschränkte Kerberos-Delegierung konfiguriert werden, sodass das Dienstkonto Identitäten an einen Downstreamserver delegieren kann. Weitere Informationen finden Sie unter Configure Analysis Services for Kerberos constrained delegation.
Remotezugriff auf andere SSAS-Instanzen Hinzufügen des Dienstkontos zu Analysis Services-Datenbankrollen, die auf dem Remoteserver definiert sind Remotepartitionen und das Verweisen auf verknüpfte Objekte auf anderen Remote-SQL Server Analysis Services-Instanzen sind beide Systemfunktionen, die Berechtigungen auf einem Remotecomputer oder Remotegerät erfordern. Beim Erstellen und Auffüllen von Remotepartitionen oder Einrichten eines verknüpften Objekts wird der Vorgang im Sicherheitskontext des aktuellen Benutzers ausgeführt. Wenn Sie diese Vorgänge anschließend automatisieren, greift SQL Server Analysis Services im Sicherheitskontext des Dienstkontos auf Remoteinstanzen zu. Um auf verknüpfte Objekte auf einer Remote-instance von SQL Server Analysis Services zugreifen zu können, muss das Anmeldekonto über die Berechtigung zum Lesen der entsprechenden Objekte auf dem Remote-instance verfügen, z. B. Lesezugriff auf bestimmte Dimensionen. Entsprechend muss das Dienstkonto bei Verwendung von Remotepartitionen über Administratorrechte für die Remoteinstanz verfügen. Diese Berechtigungen werden auf der Analysis Services-Remoteinstanz unter Verwendung von Rollen erteilt, durch die einem bestimmten Objekt zulässige Vorgänge zugeordnet werden. Anweisungen zum Erteilen von Vollzugriffsberechtigungen, die Verarbeitungs- und Abfragevorgänge ermöglichen, finden Sie unter Erteilen von Datenbankberechtigungen (Analysis Services). Weitere Informationen zu Remotepartitionen finden Sie unter Erstellen und Verwalten einer Remotepartition (Analysis Services).
Rückschreiben Hinzufügen des Dienstkontos zu Analysis Services-Datenbankrollen, die auf dem Remoteserver definiert sind Wenn die in mehrdimensionalen Modellen verwendbare Rückschreibefunktion in Clientanwendungen aktiviert ist, können während der Datenanalyse neue Datenwerte erstellt werden. Wenn das Rückschreiben innerhalb einer Beliebigen Dimension oder eines Cubes aktiviert ist, muss das SQL Server Analysis Services Dienstkonto über Schreibberechtigungen für die Rückschreibtabelle in der Quelldatenbank SQL Server relationalen Datenbank verfügen. Wenn diese Tabelle noch nicht vorhanden ist und erstellt werden muss, muss das SQL Server Analysis Services-Dienstkonto auch über Die Berechtigung zum Erstellen von Tabellen innerhalb der angegebenen SQL Server Datenbank verfügen.
Schreiben in eine Abfrageprotokolltabelle in einer SQL Server relationalen Datenbank Erstellen eines Datenbankanmeldenamens für das Dienstkonto und Zuweisen von Schreibrechten für die Abfrageprotokolltabelle Sie können die Abfrageprotokollierung aktivieren, um in einer Datenbanktabelle Verwendungsdaten für nachfolgende Analysen zu sammeln. Das SQL Server Analysis Services-Dienstkontos muss über Schreibberechtigungen für die Abfrageprotokolltabelle in der angegebenen SQL Server Datenbank verfügen. Wenn diese Tabelle noch nicht vorhanden ist und erstellt werden muss, muss das SQL Server Analysis Services Anmeldekonto auch über Die Berechtigung zum Erstellen von Tabellen innerhalb der angegebenen SQL Server Datenbank verfügen. Weitere Informationen finden Sie unter Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) (Verbessern der Leistung von SQL Server Analysis Services mit dem Assistenten für die verwendungsbasierte Optimierung) und Query Logging in Analysis Services (Blog)(Abfrageprotokollierung in Analysis Services).

Konfigurieren von Windows-Dienstkonten und -Berechtigungen
SQL Server-Dienstkonto und pro Dienst-SID (Blog)
SQL Server verwendet eine Dienst-SID, um die Dienstisolation bereitzustellen (KB-Artikel)
Zugriffstoken (MSDN)
Sicherheits-IDs (MSDN)
Zugriffstoken (Wikipedia)
Zugriffssteuerungslisten (Wikipedia)