Konfigurieren von Dienstkonten (Analysis Services)Configure Service Accounts (Analysis Services)

Gilt für: SQL Server Analysis Services Azure Analysis Services Power BI Premium

Unter Konfigurieren von Windows-Dienstkonten und -Berechtigungenwird die Kontobereitstellung für das gesamte Produkt beschrieben. Das Thema enthält umfassende Informationen zu Dienstkonten für alle SQL ServerSQL Server -Dienste, einschließlich Analysis ServicesAnalysis Services.Product-wide account provisioning is documented in Configure Windows Service Accounts and Permissions, a topic that provides comprehensive service account information for all SQL ServerSQL Server services, including Analysis ServicesAnalysis Services. Dort erfahren Sie alles über gültige Kontotypen, beim Setup zugewiesene Windows-Berechtigungen, Dateisystemberechtigungen, Registrierungsberechtigungen und vieles mehr.Refer to it to learn about valid account types, Windows privileges assigned by setup, file system permissions, registry permissions, and more.

Dieses Thema enthält ergänzende Informationen zu Analysis ServicesAnalysis Services, einschließlich erforderlichen zusätzlichen Berechtigungen für tabellarische und gruppierte Installationen.This topic provides supplemental information for Analysis ServicesAnalysis Services, including additional permissions necessary for tabular and clustered installations. Außerdem werden Berechtigungen behandelt, die zur Unterstützung von Servervorgängen erforderlich sind.It also covers permissions needed to support server operations. Sie können beispielsweise Verarbeitungs- und Abfrageoperationen so konfigurieren, dass sie über das Dienstkonto ausgeführt werden. In diesem Fall müssen Sie zusätzliche Berechtigungen gewähren.For example, you can configure processing and query operations to execute under the service account ─ in which case you will need to grant additional permissions to get this to work.

Ein zusätzlicher Konfigurationsschritt, der hier nicht dokumentiert ist, besteht darin, einen Dienstprinzipalnamen (SPN) für die Instanz und das Dienstkonto von Analysis ServicesAnalysis Services zu registrieren.An additional configuration step, not documented here, is to register a Service Principal Name (SPN) for the Analysis ServicesAnalysis Services instance and service account. Dieser Schritt ermöglicht Pass-Through-Authentifizierung von Clientanwendungen zu Back-End-Datenquellen in Double-Hop-Szenarien.This step enables pass-through authentication from client applications to backend data sources in double-hop scenarios. Dieser Schritt kann bei Diensten verwendet werden, die für eingeschränkte Kerberos-Delegierung konfiguriert sind.This step only applies for services configured for Kerberos constrained delegation. Weitere Anweisungen finden Sie unter Configure Analysis Services for Kerberos constrained delegation .See Configure Analysis Services for Kerberos constrained delegation for further instructions.

Kontoempfehlungen für die AnmeldungLogon account recommendations

In einem Failovercluster sollten alle Instanzen von Analysis Services so konfiguriert werden, dass sie ein Windows-Domänenbenutzerkonto verwenden.In a failover cluster, all instances of Analysis Services should be configured to use a Windows domain user account. Weisen Sie dasselbe Konto für alle Instanzen zu.Assign the same account to all instances. Weitere Informationen finden Sie unter Clustern von Analysis Services .See How to Cluster Analysis Services for details.

Eigenständige Instanzen sollten das virtuelle Standardkonto verwenden: NT Service\MSSQLServerOLAPService für die Standardinstanz oder NT Service\MSOLAP$Instanzname für eine benannte Instanz.Standalone instances should use the default virtual account, NT Service\MSSQLServerOLAPService for the default instance, or NT Service\MSOLAP$instance-name for a named instance. Diese Empfehlung gilt für Analysis Services-Instanzen in allen Servermodi, Windows Server 2008 R2 und höher für das Betriebssystem und SQL Server 2012 und höher für Analysis Services vorausgesetzt.This recommendation applies to Analysis Services instances in all server modes, assuming Windows Server 2008 R2 and later for the operating system, and SQL Server 2012 and later for Analysis Services.

Erteilen von Berechtigungen für Analysis ServicesGranting permissions to Analysis Services

Dieser Abschnitt erläutert die Berechtigungen, die Analysis Services für lokale, interne Vorgänge wie das Starten der ausführbaren Datei, das Lesen der Konfigurationsdatei und das Laden von Datenbanken aus dem Datenverzeichnis benötigt.This section explains the permissions that Analysis Services requires for local, internal operations, such as starting the executable, reading the configuration file, and loading databases from the data directory. Wenn Sie stattdessen Anleitungen zum Festlegen von Berechtigungen für den Zugriff auf externe Daten und Interoperabilität mit anderen Diensten und Anwendungen suchen, finden Sie weitere Informationen unter Erteilen zusätzlicher Berechtigungen für bestimmte Servervorgänge weiter unten in diesem Thema.If instead you're looking for guidance on setting permissions for external data access and interoperability with other services and applications, see Granting additional permissions for specific server operations further on in this topic.

Für die internen Vorgänge ist der Berechtigungsinhaber in Analysis Services nicht das Anmeldekonto, sondern eine lokale Windows-Sicherheitsgruppe, die bei der Einrichtung erstellt wird und die Pro-Dienst-SID enthält.For internal operations, the permission holder in Analysis Services is not the logon account, but a local Windows security group created by Setup that contains the per-service SID. Das Zuweisen von Berechtigungen für die Sicherheitsgruppe deckt sich mit früheren Versionen von Analysis Services.Assigning permissions to the security group is consistent with previous versions of Analysis Services. Darüber hinaus können sich Anmeldekonten mit der Zeit ändern, aber die Pro-Dienst-SID und die lokale Sicherheitsgruppe bleiben für die Lebensdauer der Serverinstallation gleich.Also, logon accounts can change over time, but the per-service SID and local security group are constant for the lifetime of the server installation. Für Analysis Services macht dies die Sicherheitsgruppe statt des Anmeldekontos die bessere Wahl für die Aufnahme von Berechtigungen.For Analysis Services, this makes the security group, rather than the logon account, a better choice for holding permissions. Wenn Sie manuell Berechtigungen für die Dienstinstanz erteilen, egal ob Dateisystemberechtigungen oder Windows-Berechtigungen, erteilen Sie der für die Serverinstanz erstellten lokalen Sicherheitsgruppe die Berechtigungen.Whenever you manually grant rights to the service instance, whether file system permissions or Windows privileges, be sure to grant permissions to the local security group created for the server instance.

Der Name der Sicherheitsgruppe folgt einem Muster.The name of the security group follows a pattern. Das Präfix ist immer SQLServerMSASUser$, gefolgt vom Computernamen, und endet mit dem Instanznamen.The prefix is always SQLServerMSASUser$, followed by the computer name, ending with the instance name. Die Standardinstanz ist MSSQLSERVER.The default instance is MSSQLSERVER. Eine benannte Instanz ist der Name, der während des Einrichtens festgelegt wurde.A named instance is the name given during set up.

Sie finden diese Sicherheitsgruppe in den lokalen Sicherheitseinstellungen:You can see this security group in the local security settings:

  • Führen Sie compmgmt. msc aus | Lokale Benutzer und Gruppen | Gruppen | SQLServerMSASUser $ <server-name> $MSSQLSERVER (für eine Standard Instanz).Run compmgmt.msc | Local Users and Groups | Groups | SQLServerMSASUser$<server-name>$MSSQLSERVER (for a default instance).

  • Doppelklicken Sie auf die Sicherheitsgruppe, um deren Mitglieder anzuzeigen.Double-click the security group to view its members.

Die einzige Mitglieder der Gruppe ist die Pro-Dienst-SID.The sole member of the group is the per-service SID. Rechts daneben ist das Anmeldekonto.Right next to it is the logon account. Den Namen des Anmeldekontos ist kosmetischer Natur, um einen Kontext für die Pro-Dienst-SID anzugeben.The logon account name is cosmetic, there to provide context to the per-service SID. Wenn Sie später das Anmeldekonto ändern und dann zu dieser Seite zurückkehren, werden Sie feststellen, dass die Sicherheitsgruppe und die Pro-Dienst-SID nicht geändert wurden, aber die Anmeldekontobezeichnung anders ist.If you subsequently change the logon account and then return to this page, you'll notice that the security group and per-service SID do not change, but the logon account label is different.

Windows-Berechtigungen, die dem Analysis Services-Dienst Konto zugewiesen sindWindows privileges assigned to the Analysis Services service account

Analysis Services benötigt Berechtigungen vom Betriebssystem für das Starten des Dienstes sowie das Anfordern von Systemressourcen.Analysis Services needs permissions from the operating system for service startup and to request system resources. Die Anforderungen variieren je nach Servermodus und sind außerdem abhängig davon, ob die Instanz gruppiert ist.Requirements vary by server mode and whether the instance is clustered. Details zu Windows-Berechtigungen finden Sie unter Privileges und Privilege Constants (Windows) .If you are unfamiliar with Windows privileges, see Privileges and Privilege Constants (Windows) for details.

Alle Instanzen von Analysis Services erfordern die Berechtigung Anmelden als Dienst (SeServiceLogonRight).All instances of Analysis Services require the Log on as a service (SeServiceLogonRight) privilege. SQL Server-Setup weist die Berechtigung dem Dienstkonto zu, das Sie bei der Installation angegeben haben.SQL Server Setup assigns the privilege for you on the service account specified during installation. Bei Servern, die im mehrdimensionalen oder im Data Mining-Modus ausgeführt werden, ist dies die einzige Windows-Berechtigung, die für das Analysis Services-Dienstkonto für eigenständige Serverinstallationen benötigt wird. Außerdem ist es die einzige Berechtigung, die beim Setup für Analysis Services konfiguriert wird.For servers running in Multidimensional and Data Mining mode, this is the only Windows privilege required by the Analysis Services service account for standalone server installations, and it is the only privilege that Setup configures for Analysis Services. Für gruppierte und tabellarische Instanzen müssen Sie Windows-Berechtigungen manuell hinzufügen.For clustered and tabular instances, additional Windows privileges must be added manually.

Failoverclusterinstanzen im tabellarischen oder multidimensionalen Modus erfordern außerdem ein Anheben der Zeitplanungspriorität (SeIncreaseBasePriorityPrivilege).Failover cluster instances, in either Tabular or Multidimensional mode, must have Increase scheduling priority (SeIncreaseBasePriorityPrivilege).

Tabellarische Instanzen nutzen die folgenden drei zusätzlichen Privilegien, die nach der Installation der Instanz manuell hinzugefügt werden müssen.Tabular instances use the following three additional privileges, which must be granted manually after the instance is installed.

Arbeitssatz eines Prozesses vergrößern (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege) Dieses Privileg ist standardmäßig für alle Benutzer über die Benutzer -Sicherheitsgruppe verfügbar.This privilege is available to all users by default through the Users security group. Wenn Sie einen Server sperren, indem Sie Berechtigungen für diese Gruppe entfernen, kann Analysis Services unter Umständen nicht gestartet werden. Es wird dann folgende Fehlermeldung ausgegeben: „Dem Client fehlt ein erforderliches Recht“.If you lock down a server by removing privileges for this group, Analysis Services might fail to start, logging this error: "A required privilege is not held by the client." Stellen Sie bei Auftreten dieses Fehlers die Berechtigung für Analysis Services wieder her, indem Sie sie der entsprechenden Analysis Services-Sicherheitsgruppe gewähren.When this error occurs, restore the privilege to Analysis Services by granting it to the appropriate Analysis Services security group.
Speicherkontingente für einen Prozess anpassen (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege) Diese Berechtigung wird verwendet, um mehr Speicherplatz anzufordern, wenn ein Prozess nicht über ausreichende Ressourcen verfügt, um die Ausführung abschließen zu können, in Abhängigkeit von den für die Instanz festgelegten Arbeitsspeicherschwellenwerten.This privilege is used to request more memory if a process has insufficient resources to complete its execution, subject to the memory thresholds established for the instance.
Sperren von Seiten im Speicher (SeLockMemoryPrivilege)Lock pages in memory (SeLockMemoryPrivilege) Diese Berechtigung ist nur erforderlich, wenn die Auslagerung vollständig ausgeschaltet wird.This privilege is needed only when paging is turned off entirely. Standardmäßig verwendet eine tabellarische Serverinstanz die Windows-Auslagerungsdatei. Sie können dieses Verhalten jedoch ändern, indem Sie VertiPaqPagingPolicy auf 0 einstellen.By default, a tabular server instance uses the Windows paging file, but you can prevent it from using Windows paging by setting VertiPaqPagingPolicy to 0.

VertiPaqPagingPolicy auf 1 (Standard) weist die tabellarische Serverinstanz an, die Windows-Auslagerungsdatei zu verwenden.VertiPaqPagingPolicy to 1 (default), instructs the tabular server instance to use the Windows paging file. Belegungen sind nicht gesperrt, sodass Windows erforderliche Auslagerungen vornehmen kann.Allocations are not locked, allowing Windows to page out as needed. Da die Auslagerung verwendet wird, ist das Sperren von Seiten im Speicher nicht erforderlich.Because paging is being used, there is no need to lock pages in memory. Daher ist es bei der Standardkonfiguration ( VertiPaqPagingPolicy = 1) nicht erforderlich, einer tabellarischen Instanz die Berechtigung Sperren von Seiten im Speicher zu gewähren.Thus, for the default configuration (where VertiPaqPagingPolicy = 1), you do not need to grant the Lock pages in memory privilege to a tabular instance.

VertiPaqPagingPolicy auf 0.VertiPaqPagingPolicy to 0. Wenn Sie die Auslagerung für Analysis Services ausschalten, werden Belegungen gesperrt, wenn die Berechtigung Sperren von Seiten im Speicher gewährt wurde.If you turn off paging for Analysis Services, allocations are locked, assuming the Lock pages in memory privilege is granted to the tabular instance. Bei dieser Einstellungen und mit der Berechtigung Sperren von Seiten im Speicher kann Windows keine Speicherbelegungen für Analysis Services auslagern, wenn im System nicht genügend Arbeitsspeicher vorhanden ist.Given this setting and the Lock pages in memory privilege, Windows cannot page out memory allocations made to Analysis Services when the system is under memory pressure. Analysis Services greift auf die Berechtigung Sperren von Seiten im Speicher zurück, um VertiPaqPagingPolicy = 0 zu erzwingen.Analysis Services relies on the Lock pages in memory permission as the enforcement behind VertiPaqPagingPolicy = 0. Beachten Sie, dass das Ausschalten der Windows-Auslagerung nicht empfohlen wird.Note that turning off Windows paging is not recommended. Dadurch treten mehr Fehler aufgrund von nicht ausreichendem Arbeitsspeicher bei Vorgängen auf, die mit Auslagerung erfolgreich ausgeführt worden wären.It will increase the rate of out-of-memory errors for operations that might otherwise succeed if paging were allowed. Unter Memory Properties finden Sie weitere Details zu VertiPaqPagingPolicy.See Memory Properties for more information about VertiPaqPagingPolicy.

So können Sie Windows-Berechtigungen mit dem Dienstkonto anzeigen oder hinzufügenTo view or add Windows privileges on the service account

  1. Führen Sie GPEDIT.msc aus und wählen Sie Richtlinie für "Lokaler Computer" | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten.Run GPEDIT.msc | Local Computer Policy | Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignments.

  2. Prüfen Sie vorhandene Richtlinien, die SQLServerMSASUser$ enthalten.Review existing policies that include SQLServerMSASUser$. Hierbei handelt es sich um eine lokale Sicherheitsgruppe auf Computern mit einer Analysis Services-Installation.This is a local security group found on computers having an Analysis Services installation. Diese Sicherheitsgruppe erhält sowohl Windows-Berechtigungen als auch Dateiordnerberechtigungen.Both Windows privileges and file folder permissions are granted to this security group. Doppelklicken Sie auf die Richtlinie Anmelden als Dienst , um anzuzeigen, wie die Sicherheitsgruppe im System angegeben wurde.Double-click Log on as a service policy to see how the security group is specified on your system. Der vollständige Name der Sicherheitsgruppe variiert abhängig davon, ob Sie Analysis Services als benannte Instanz installiert haben.The full name of the security group will vary depending on whether you installed Analysis Services as a named instance. Nutzen Sie diese Sicherheitsgruppe, statt des Dienstkontos, wenn Sie Kontoberechtigungen hinzufügen.Use this security group, rather than the actual service account, when adding account privileges.

  3. Klicken Sie mit der rechten Maustaste auf Arbeitssatz eines Prozesses vergrößern , und wählen Sie Eigenschaftenaus, um Kontoberechtigungen in GPEDIT hinzuzufügen.To add account privileges in GPEDIT, right-click Increase a process working set and select Properties.

  4. Klicken Sie auf Benutzer oder Gruppe hinzufügen.Click Add User or Group.

  5. Geben Sie die Benutzergruppe für die Analysis Services-Instanz ein.Enter the user group for the Analysis Services instance. Beachten Sie, dass das Dienstkonto ein Mitglied der lokalen Sicherheitsgruppe ist. Daher müssen Sie den Namen des lokalen Computers als Domäne des Kontos voranstellen.Remember that the service account is a member of a local security group, requiring that you prepend the local computer name as the domain of the account.

    Die folgende Liste enthält zwei Beispiele für eine Standardinstanz. Diese heißt "Tabular" auf einem Computer namens "SQL01-WIN12", wobei der Computername die lokale Domäne ist.The following list shows two examples for a default instance and named instance called "Tabular" on a machine called "SQL01-WIN12", where the machine name is the local domain.

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVERSQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULARSQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR

  6. Wiederholen Sie dies für Anpassen des Arbeitsspeicherkontingents für einen Prozessund optional für Sperren von Seiten im Speicher oder Erhöhen der Zeitplanungspriorität.Repeat for Adjust memory quotas for a process, and optionally, for Lock pages in memory or Increase scheduling priority.

Hinweis

In vorherigen Versionen von Setup wurde das Analysis Services-Dienstkonto versehentlich der Gruppe Leistungsprotokollbenutzer hinzugefügt.Previous versions of Setup inadvertently added the Analysis Services service account to the Performance Log Users group. Obwohl das Problem behoben wurde, kann diese unnötige Gruppenmitgliedschaft in vorhandenen Installationen noch bestehen.Although this defect has been fixed, existing installations might have this unnecessary group membership. Da das Analysis ServicesAnalysis Services -Dienstkonto keine Mitgliedschaft in der Gruppe Leistungsprotokollbenutzer erfordert, können Sie es aus der Gruppe entfernen.Because the Analysis ServicesAnalysis Services service account does not require membership in the Performance Log Users group, you can remove it from the group.

Dateisystemberechtigungen, die dem Analysis Services-Dienstkonto zugewiesen sindFile System Permissions assigned to the Analysis Services service account

Hinweis

Eine Liste der Berechtigungen für die einzelnen Programmordner finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen .See Configure Windows Service Accounts and Permissions for a list of permissions associated with each program folder.

Unter Konfigurieren von HTTP-Zugriff auf Analysis Services unter Internetinformationsdienste (IIS) 8.0 finden Sie Informationen zu Dateiberechtigungen im Zusammenhang mit IIS-Konfiguration und Analysis ServicesAnalysis Services.See Configure HTTP Access to Analysis Services on Internet Information Services (IIS) 8.0 for file permission information related to IIS configuration and Analysis ServicesAnalysis Services.

Alle Dateisystemberechtigungen, die für Servervorgänge erforderlich sind, – einschließlich der erforderlichen Berechtigung für das Laden und Entladen von Datenbanken in einem festgelegten Datenordner – werden während der Installation von SQL Server Setup zugewiesen.All file system permissions required for server operations─ including permissions needed for loading and unloading databases from a designated data folder─ are assigned by SQL Server Setup during installation.

Der Berechtigungsinhaber für Datendateien, ausführbare Programmdateien, Konfigurationsdateien, Protokolldateien und temporäre Dateien ist eine lokale Sicherheitsgruppe, die von SQL Server Setup erstellt wurde.The permission holder on data files, program file executables, configuration files, log files, and temporary files is a local security group created by SQL Server Setup.

Für jede installierte Instanz gibt es nur eine Sicherheitsgruppe.There is one security group created for each instance that you install. Die Sicherheitsgruppe wird nach der Instanz benannt, entweder SQLServerMSASUser $ MSSQLSERVER für die Standard Instanz oder SQLServerMSASUser $ <servername> $ <instancename> für eine benannte Instanz.The security group is named after the instance ─ either SQLServerMSASUser$MSSQLSERVER for the default instance, or SQLServerMSASUser$<servername>$<instancename> for a named instance. Diese Sicherheitsgruppe erhält von Setup die Dateiberechtigungen, die zum Ausführen von Servervorgängen erforderlich sind.Setup provisions this security group with the file permissions required to perform server operations. An den Sicherheitsberechtigungen für das Verzeichnis \MSAS13.MSSQLSERVER\OLAP\BIN erkennen Sie, dass die Sicherheitsgruppe (und nicht das Dienstkonto oder dessen Pro-Dienst-SID (Sicherheits-ID)) die Berechtigungen für dieses Verzeichnis besitzt.If you check the security permissions on the \MSAS13.MSSQLSERVER\OLAP\BIN directory, you will see that the security group (not the service account or its per-service SID) is the permission holder on that directory.

Die Sicherheitsgruppe enthält nur ein Mitglied: die Pro-Dienst-SID des Startkontos für die Analysis ServicesAnalysis Services -Instanz.The security group contains one member only: the per-service Security Identifier (SID) of the Analysis ServicesAnalysis Services instance startup account. Setup fügt die Pro-Dienst-SID zur lokalen Sicherheitsgruppe hinzu.Setup adds the per-service SID to the local security group. Die Verwendung einer Sicherheitsgruppe mit SID-Mitgliedschaft macht einen kleinen, aber wichtigen Unterschied dabei aus, wie SQL Server Setup im Vergleich mit der Datenbank-Engine Analysis Services bereitstellt.The use of a local security group, with its SID membership, is a small but noticeable difference in how SQL Server Setup provisions Analysis Services, as compared to the Database Engine.

Wenn Sie vermuten, dass Dateiberechtigungen beschädigt sind, führen Sie folgende Schritte aus, um sicherzustellen, dass der Dienst immer noch korrekt bereitgestellt wird:If you believe that file permissions are corrupted, follow these steps to verify the service is still correctly provisioned:

  1. Verwenden Sie das Service Control-Befehlszeilentool (sc.exe), um die SID einer Standarddienstinstanz zu erhalten.Use the Service Control command line tool (sc.exe) to obtain the SID of a default service instance.

    SC showsid MSSqlServerOlapService

    Verwenden Sie bei einer benannten Instanz (mit Instanzname Tabular) folgende Syntax:For a named instance (where the instance name is Tabular), use this syntax:

    SC showsid MSOlap$Tabular

  2. Verwenden Sie Computer | -Manager lokale Benutzer und Gruppen | Gruppen , um die Mitgliedschaft der SQLServerMSASUser $ Security-Gruppe zu überprüfen <servername> $ <instancename> .Use Computer Manager | Local Users and Groups | Groups to inspect the membership of the SQLServerMSASUser$<servername>$<instancename> security group.

    Die Mitglieds-SID sollte der Pro-Dienst-SID aus Schritt 1 entsprechen.The member SID should match the per-service SID from step 1.

  3. Verwenden von Windows-Explorer- | Programmdateien | Microsoft SQL Server | Msasxx. MSSQLSERVER | OLAP | bin , um zu überprüfen, ob der Sicherheitsgruppe in Schritt 2 Ordner Sicherheitseigenschaften erteilt wurden.Use Windows Explorer | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin to verify folder Security properties are granted to the security group in step 2.

Hinweis

SIDs sollten niemals entfernt oder geändert werden.Never remove or modify a SID. Informationen zum Wiederherstellen einer pro-Dienst-SID, die versehentlich gelöscht wurde, finden Sie unter https://support.microsoft.com/kb/2620201 .To restore a per-service SID that was inadvertently deleted, see https://support.microsoft.com/kb/2620201.

Weitere Informationen zu Pro-Dienst-SIDsMore about per-service SIDs

Jedes Windows-Konto verfügt über eine zugeordnete SID, allerdings können Dienste ebenfalls eine SID aufweisen, die daher Pro-Dienst-SID genannt wird.Every Windows account has an associated SID, but services can also have SIDs, hence referred to as per-service SIDs. Eine Pro-Dienst-SID wird erstellt, wenn die Dienstinstanz installiert ist. Sie ist das eindeutige, feste Element des Dienstes.A per-service SID is created when the service instance is installed, as a unique, permanent fixture of the service. Die Pro-Dienst-SID ist eine lokale, auf Computerebene aus dem Dienstnamen generierte SID.The per-service SID is a local, machine-level SID generated from the service name. Auf einer Standardinstanz lautet der benutzerfreundliche Name NT SERVICE\MSSQLServerOLAPService.On a default instance, its user friendly name is NT SERVICE\MSSQLServerOLAPService.

Eine Pro-Dienst-SID bietet den Vorteil, dass das allgemein sichtbare Anmeldekonto beliebig geändert werden kann, ohne dass sich dies auf die Dateiberechtigungen auswirkt.The benefit of a per-service SID is that it allows the more widely-visible logon account to be changed arbitrarily, without affecting file permissions. Angenommen, Sie haben zwei Analysis Services-Instanzen in Form einer Standardinstanz und einer benannten Instanz installiert, die beide unter demselben Windows-Benutzerkonto ausgeführt werden.For example, suppose you installed two instances of Analysis Services, a default instance and named instance, both running under the same Windows user account. Solange das Anmeldekonto freigegeben ist, wird jede Dienstinstanz eine eindeutige Pro-Dienst-SID haben.While the logon account is shared, each service instance will have a unique per-service SID. Diese SID unterscheidet sich von der SID des Anmeldekontos.This SID is distinct from the SID of the logon account. Die Pro-Dienst-SID wird für Dateiberechtigungen und Windows-Berechtigungen verwendet.The per-service SID is used for file permissions and Windows privileges. Im Gegensatz dazu dient die Anmeldekonto-SID für Authentifizierungs- und Autorisierungsszenarien ─ verschiedene SIDs für verschiedene Zwecke.In contrast, the logon account SID is used for authentication and authorization scenarios ─ different SIDS, used for different purposes.

Da die SID unveränderlich ist, können während der Installation eines Dienstes erstellte Dateisystem-ACLs beliebig oft verwendet werden, und zwar unabhängig von der Anzahl der Änderungen am Kontonamen.Because the SID is immutable, file system ACLs created during service installation can be used indefinitely, regardless of how often you change the service account. Darüber hinaus bieten ACLs, in denen Berechtigungen per SID angegeben sind, zusätzliche Sicherheit, da sie gewährleisten, dass der Zugriff auf ausführbare Programmdateien und Datenordner ausschließlich über eine einzelne Dienstinstanz erfolgt. Dies gilt selbst dann, wenn weitere Dienste unter demselben Konto ausgeführt werden.As an added security measure, ACLs that specify permissions via a SID ensure that program executables and data folders are accessed only by a single instance of a service, even if other services run under the same account.

Erteilen zusätzlicher Analysis Services Berechtigungen für bestimmte Server VorgängeGranting additional Analysis Services permissions for specific server operations

Analysis ServicesAnalysis Services führt einige Tasks im Sicherheitskontext des Dienstkontos (oder des Anmeldekontos) aus, das zum Starten von Analysis ServicesAnalysis Servicesverwendet wird; andere Tasks werden im Sicherheitskontext des Benutzers ausgeführt, der den Task anfordert.executes some tasks in the security context of the service account (or logon account) that is used to start Analysis ServicesAnalysis Services, and executes other tasks in the security context of the user who is requesting the task.

In der folgenden Tabelle werden zusätzliche Berechtigungen beschrieben, die zum Ausführen von Tasks über das Dienstkonto erforderlich sind.The following table describes additional permissions required to support tasks executing as the service account.

ServervorgangServer Operation ArbeitselementWork Item BegründungJustification
Remotezugriff auf externe relationale DatenquellenRemote access to external relational data sources Erstellen eines Datenbankanmeldenamens für das DienstkontoCreate a database login for the service account Bei der Verarbeitung werden Daten aus einer externen Datenquelle (normalerweise einer relationalen Datenbank) abgerufen und anschließend in eine Analysis ServicesAnalysis Services -Datenbank geladen.Processing refers to data retrieval from an external data source (usually a relational database), which is subsequently loaded into an Analysis ServicesAnalysis Services database. Eine der Anmeldeinformationsoptionen für das Abrufen externer Daten besteht darin, das Dienstkonto zu verwendenOne of the credential options for retrieving external data is to use the service account. Diese Anmeldeinformationsoption kann nur verwendet werden, wenn Sie eine Datenbankanmeldung für das Dienstkonto erstellen und Leseberechtigungen für die Quelldatenbank erteilen.This credential option works only if you create a database login for the service account and grant read permissions on the source database. Informationen dazu, wie diese Dienstkontooption für diesen Task verwendet wird, finden Sie unter Festlegen von Identitätswechseloptionen (SSAS – mehrdimensional).See Set Impersonation Options (SSAS - Multidimensional) for more information about how the service account option is used for this task. Dieselben Identitätswechseloptionen sind auch verfügbar, wenn ROLAP als Speichermodus verwendet wird.Similarly, if ROLAP is used as the storage mode, the same impersonation options are available. In diesem Fall muss das Konto außerdem über Schreibzugriff auf die Quelldaten verfügen, damit die ROLAP-Partitionen verarbeitet (d. h. Aggregationen gespeichert) werden können.In this case, the account must also have write access to the source data to process the ROLAP partitions (that is, to store aggregations).
DirectQueryDirectQuery Erstellen eines Datenbankanmeldenamens für das DienstkontoCreate a database login for the service account DirectQuery ist eine Tabellenfunktion zum Abfragen externer Datasets, die entweder zu groß für das tabellarische Modell sind oder andere Merkmale aufweisen, für die DirectQuery besser als die Standardoption für die arbeitsspeicherinterne Speicherung geeignet ist.DirectQuery is a tabular feature used to query external datasets that are either too large to fit inside the tabular model or have other characteristics that make DirectQuery a better fit than the default in-memory storage option. Eine der im DirectQuery-Modus verfügbaren Verbindungsoptionen besteht in der Verwendung des Dienstkontos.One of the connection options available in DirectQuery mode is to use the service account. Auch in diesem Fall kann die Option nur verwendet werden, wenn das Dienstkonto über eine Datenbankanmeldung sowie über Leseberechtigungen für die Zieldatenquelle verfügt.Once again, this option works only when the service account has a database login and read permissions on the target data source. Informationen dazu, wie diese Dienstkontooption für diesen Task verwendet wird, finden Sie unter Festlegen von Identitätswechseloptionen (SSAS – mehrdimensional).See Set Impersonation Options (SSAS - Multidimensional) for more information about how the service account option is used for this task. Alternativ können Daten mithilfe der Anmeldeinformationen des aktuellen Benutzers abgerufen werden.Alternatively, the credentials of the current user can be used to retrieve data. Da diese Option in den meisten Fällen eine Double-Hop-Verbindung umfasst, sollte das Dienstkonto unbedingt für die eingeschränkte Kerberos-Delegierung konfiguriert werden, sodass das Dienstkonto Identitäten an einen Downstreamserver delegieren kann.In most cases this option entails a double-hop connection, so be sure to configure the service account for Kerberos constrained delegation so that the service account can delegate identities to a downstream server. Weitere Informationen finden Sie unter Configure Analysis Services for Kerberos constrained delegation.For more information, see Configure Analysis Services for Kerberos constrained delegation.
Remotezugriff auf andere SSAS-InstanzenRemote access to other SSAS instances Hinzufügen des Dienstkontos zu Analysis Services-Datenbankrollen, die auf dem Remoteserver definiert sindAdd the service account to Analysis Services database roles defined on the remote server Sowohl Remotepartitionen als auch verknüpfte Objekte auf anderen Analysis ServicesAnalysis Services -Remoteinstanzen, die auf die Remotepartitionen verweisen, sind Systemfunktionen, die Berechtigungen auf einem Remotecomputer oder -gerät erfordern.Remote partitions and referencing linked objects on other remote Analysis ServicesAnalysis Services instances are both system capabilities requiring permissions on a remote computer or device. Beim Erstellen und Auffüllen von Remotepartitionen oder Einrichten eines verknüpften Objekts wird der Vorgang im Sicherheitskontext des aktuellen Benutzers ausgeführt.When a person creates and populates remote partitions, or sets up a linked object, that operation runs in the security context of the current user. Werden diese Vorgänge anschließend automatisiert, erfolgt der Analysis ServicesAnalysis Services -Zugriff auf Remoteinstanzen im Sicherheitskontext des zugehörigen Dienstkontos.If you subsequently automate these operations, Analysis ServicesAnalysis Services will access remote instances in the security context of its service account. Um auf verknüpfte Objekte auf einer Remoteinstanz von Analysis ServicesAnalysis Serviceszugreifen zu können, muss das Anmeldekonto über Berechtigungen zum Lesen der entsprechenden Objekte auf der Remoteinstanz verfügen, z. B. über den Lesezugriff auf bestimmte Dimensionen.In order to access linked objects on a remote instance of Analysis ServicesAnalysis Services, the logon account must have permission to read the appropriate objects on the remote instance, such as Read access to certain dimensions. Entsprechend muss das Dienstkonto bei Verwendung von Remotepartitionen über Administratorrechte für die Remoteinstanz verfügen.Similarly, using remote partitions requires that the service account have administrative rights on the remote instance. Diese Berechtigungen werden auf der Analysis Services-Remoteinstanz unter Verwendung von Rollen erteilt, durch die einem bestimmten Objekt zulässige Vorgänge zugeordnet werden.Such permissions are granted on the remote Analysis Services instance, using roles that associate permitted operations with a specific object. Anleitungen zur Gewährung von Vollzugriffsberechtigungen, die Verarbeitung und Abfrageoperationen zulassen, finden Sie unter Erteilen von Datenbankberechtigungen (Analysis Services).See Grant database permissions (Analysis Services) for instructions on how to grant Full Control permissions that allow processing and query operations. Informationen zu Remotepartitionen finden Sie unter Erstellen und Verwalten einer Remotepartition (Analysis Services).See Create and Manage a Remote Partition (Analysis Services) for more information about remote partitions.
RückschreibenWriteback Hinzufügen des Dienstkontos zu Analysis Services-Datenbankrollen, die auf dem Remoteserver definiert sindAdd the service account to Analysis Services database roles defined on the remote server Wenn die in mehrdimensionalen Modellen verwendbare Rückschreibefunktion in Clientanwendungen aktiviert ist, können während der Datenanalyse neue Datenwerte erstellt werden.When enabled in client applications, writeback is a feature of multidimensional models that allows the creation of new data values during data analysis. Wenn das Rückschreiben in einer Dimension oder einem Cube aktiviert ist, muss das Analysis ServicesAnalysis Services -Dienstkonto über Schreibberechtigungen für die Rückschreibetabelle in der relationalen SQL ServerSQL Server -Quelldatenbank verfügen.If writeback is enabled within any dimension or cube, the Analysis ServicesAnalysis Services service account must have write permissions to the writeback table in the source SQL ServerSQL Server relational database. Wenn diese Tabelle noch nicht vorhanden ist und erstellt werden muss, erfordert das Analysis ServicesAnalysis Services -Dienstkonto außerdem die Berechtigung zum Erstellen von Tabellen in der festgelegten SQL ServerSQL Server -Datenbank.If this table does not already exist and needs to be created, the Analysis ServicesAnalysis Services service account must also have create table permissions within the designated SQL ServerSQL Server database.
Schreiben in eine Abfrageprotokolltabelle in einer relationalen SQL ServerSQL Server -DatenbankWrite to a query log table in a SQL ServerSQL Server relational database Erstellen eines Datenbankanmeldenamens für das Dienstkonto und Zuweisen von Schreibrechten für die AbfrageprotokolltabelleCreate a database login for the service account and assign write permissions on the query log table Sie können die Abfrageprotokollierung aktivieren, um in einer Datenbanktabelle Verwendungsdaten für nachfolgende Analysen zu sammeln.You can enable query logging to collect usage data in a database table for subsequent analysis. Das Analysis ServicesAnalysis Services -Dienstkonto muss über Schreibberechtigungen für die Abfrageprotokolltabelle in der festgelegten SQL ServerSQL Server -Datenbank verfügen.The Analysis ServicesAnalysis Services service account must have write permissions to the query log table in the designated SQL ServerSQL Server database. Wenn diese Tabelle noch nicht vorhanden ist und erstellt werden muss, erfordert das Analysis ServicesAnalysis Services -Anmeldekonto außerdem die Berechtigung zum Erstellen von Tabellen in der festgelegten SQL ServerSQL Server -Datenbank.If this table does not already exist and needs to be created, the Analysis ServicesAnalysis Services logon account must also have create table permissions within the designated SQL ServerSQL Server database. Weitere Informationen finden Sie unter Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) (Verbessern der Leistung von SQL Server Analysis Services mit dem Assistenten für die verwendungsbasierte Optimierung) und Query Logging in Analysis Services (Blog)(Abfrageprotokollierung in Analysis Services).For more information, see Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) and Query Logging in Analysis Services (Blog).

Weitere InformationenSee Also

Konfigurieren von Windows-Dienst Konten und-Berechtigungen Configure Windows Service Accounts and Permissions
SQL Server-Dienst Konto und pro-Dienst-sid (Blog) SQL Server Service Account and Per-Service SID (Blog)
SQL Server eine Dienst-SID verwendet, um die Dienst Isolation bereitzustellen (KB-Artikel) SQL Server uses a service SID to provide service isolation (KB Article)
Zugriffs Token (MSDN) Access Token (MSDN)
Sicherheits-IDs (MSDN) Security Identifiers (MSDN)
Zugriffs Token (Wikipedia) Access Token (Wikipedia)
Zugriffssteuerungslisten (Wikipedia)Access Control Lists (Wikipedia)