Configurer les comptes de service (Analysis Services)Configure Service Accounts (Analysis Services)

S’APPLIQUE À :ouiSQL Server Analysis ServicesnonAzure Analysis ServicesAPPLIES TO:yesSQL Server Analysis ServicesnoAzure Analysis ServicesL’approvisionnement de comptes à l’échelle du produit est documenté dans configurer les comptes de Service Windows et les autorisations, une rubrique qui fournit des informations de compte de service complet pour tous les SQL ServerSQL Server services, y compris Analysis ServicesAnalysis Services. Product-wide account provisioning is documented in Configure Windows Service Accounts and Permissions, a topic that provides comprehensive service account information for all SQL ServerSQL Server services, including Analysis ServicesAnalysis Services. Reportez-vous à cette rubrique pour en savoir plus sur les types de comptes valides, les privilèges Windows assignés par le programme d'installation, les autorisations du système de fichiers, les autorisations de Registre et bien plus encore.Refer to it to learn about valid account types, Windows privileges assigned by setup, file system permissions, registry permissions, and more.

Cette rubrique fournit des informations complémentaires pour Analysis ServicesAnalysis Services, notamment sur les autorisations supplémentaires nécessaires pour les installations tabulaires et en cluster.This topic provides supplemental information for Analysis ServicesAnalysis Services, including additional permissions necessary for tabular and clustered installations. Elle traite également des autorisations nécessaires pour prendre en charge les opérations de serveur.It also covers permissions needed to support server operations. Par exemple, vous pouvez configurer des opérations de traitement et de requête pour qu'elles s'exécutent sous le compte de service, auquel cas vous devrez accordez des autorisations supplémentaires.For example, you can configure processing and query operations to execute under the service account ─ in which case you will need to grant additional permissions to get this to work.

Recommandations relatives aux comptes d'ouverture de sessionLogon account recommendations

Dans un cluster de basculement, toutes les instances d'Analysis Services doivent être configurées pour utiliser un compte d'utilisateur de domaine Windows.In a failover cluster, all instances of Analysis Services should be configured to use a Windows domain user account. Veuillez assigner le même compte à toutes les instances.Assign the same account to all instances. Pour plus d'informations, consultez Procédure de mise en cluster d'Analysis Services .See How to Cluster Analysis Services for details.

Les instances autonomes doivent utiliser le compte virtuel par défaut, NT Service\MSSQLServerOLAPService pour l’instance par défaut, ou NT Service\MSOLAP$nom-instance pour une instance nommée.Standalone instances should use the default virtual account, NT Service\MSSQLServerOLAPService for the default instance, or NT Service\MSOLAP$instance-name for a named instance. Cette recommandation s'applique aux instances d'Analysis Services dans tous les modes de serveur, en partant du principe que la version du système d'exploitation est Windows Server 2008 R2 et versions ultérieures, et que celle d'Analysis Services est SQL Server 2012 et versions ultérieures.This recommendation applies to Analysis Services instances in all server modes, assuming Windows Server 2008 R2 and later for the operating system, and SQL Server 2012 and later for Analysis Services.

Octroi d'autorisations à Analysis ServicesGranting permissions to Analysis Services

Cette section présente les autorisations requises par Analysis Services pour les opérations locales et internes telles que le démarrage d'un exécutable, la lecture d'un fichier de configuration et le chargement de bases de données à partir du répertoire des données.This section explains the permissions that Analysis Services requires for local, internal operations, such as starting the executable, reading the configuration file, and loading databases from the data directory. Si vous recherchez plutôt des conseils sur la configuration des autorisations pour l'accès aux données externes et l'interopérabilité avec d'autres services et applications, consultez Octroi d'autorisations supplémentaires pour des opérations de serveur spécifiques plus loin dans cette rubrique.If instead you're looking for guidance on setting permissions for external data access and interoperability with other services and applications, see Granting additional permissions for specific server operations further on in this topic.

Pour les opérations internes, le détendeur d'autorisations dans Analysis Services n'est pas le compte d'ouverture de session, mais un groupe de sécurité Windows local créé par le programme d'installation qui contient le SID par service.For internal operations, the permission holder in Analysis Services is not the logon account, but a local Windows security group created by Setup that contains the per-service SID. L'attribution des autorisations au groupe de sécurité est cohérente avec les versions antérieures d'Analysis Services.Assigning permissions to the security group is consistent with previous versions of Analysis Services. De même, les comptes d'ouverture de session peuvent varier avec le temps, mais le SID par service et le groupe de sécurité local ne changent pas à partir de leur installation sur le serveur.Also, logon accounts can change over time, but the per-service SID and local security group are constant for the lifetime of the server installation. Ainsi, pour Analysis Services, le groupe de sécurité constitue un choix plus approprié pour contenir les autorisations.For Analysis Services, this makes the security group, rather than the logon account, a better choice for holding permissions. Si vous octroyez les droits à l'instance de service manuellement, qu'il s'agisse d'autorisations de système de fichiers ou de privilèges Windows, assurez-vous d'octroyer les autorisations au groupe de sécurité local créé pour l'instance de serveur.Whenever you manually grant rights to the service instance, whether file system permissions or Windows privileges, be sure to grant permissions to the local security group created for the server instance.

Le nom du groupe de sécurité doit respecter un modèle précis.The name of the security group follows a pattern. Son préfixe est toujours SQLServerMSASUser$, suivi par le nom de l'ordinateur, et se terminant par le nom de l'instance.The prefix is always SQLServerMSASUser$, followed by the computer name, ending with the instance name. L'instance par défaut est MSSQLSERVER.The default instance is MSSQLSERVER. Une instance nommée correspond au nom donné durant la configuration.A named instance is the name given during set up.

Vous pouvez consulter ce groupe de sécurité dans les paramètres de sécurité locale :You can see this security group in the local security settings:

  • Exécutez compmgmt.msc | Utilisateurs et groupes locaux | groupes | SQLServerMSASUser$<nom-serveur >$MSSQLSERVER (pour une instance par défaut).Run compmgmt.msc | Local Users and Groups | Groups | SQLServerMSASUser$<server-name>$MSSQLSERVER (for a default instance).

  • Double-cliquez sur le groupe de sécurité pour afficher ses membres.Double-click the security group to view its members.

    Le seul membre du groupe est le SID par service.The sole member of the group is the per-service SID. Juste à côté se trouve le compte d'ouverture de session.Right next to it is the logon account. Le nom de compte d'ouverture de session est symbolique, il permet de fournir du contexte au SID par service.The logon account name is cosmetic, there to provide context to the per-service SID. Si vous modifiez ultérieurement le compte d'ouverture de session et que vous revenez ensuite à cette page, vous remarquerez que le groupe de sécurité et le SID par service ne changent pas, mais que l'étiquette du compte d'ouverture de session est différente.If you subsequently change the logon account and then return to this page, you'll notice that the security group and per-service SID do not change, but the logon account label is different.

Privilèges Windows affectés au compte de service Analysis ServicesWindows privileges assigned to the Analysis Services service account

Analysis Services a besoin d'autorisations du système d'exploitation pour le démarrage du service et pour demander des ressources système.Analysis Services needs permissions from the operating system for service startup and to request system resources. Les exigences varient en fonction du mode serveur et selon qu'il s'agit ou non d'une instance en cluster.Requirements vary by server mode and whether the instance is clustered. Si vous souhaitez vous familiariser avec les privilèges Windows, consultez Privileges (Privilèges) et Privilege Constants (Windows) [Constantes de privilèges (Windows)].If you are unfamiliar with Windows privileges, see Privileges and Privilege Constants (Windows) for details.

Toutes les instances d’Analysis Services nécessitent le privilège Ouvrir une session en tant que service (SeServiceLogonRight).All instances of Analysis Services require the Log on as a service (SeServiceLogonRight) privilege. Le programme d'installation de SQL Server assigne automatiquement ce privilège sur le compte de service spécifié durant l'installation.SQL Server Setup assigns the privilege for you on the service account specified during installation. Pour les serveurs qui s'exécutent en mode multidimensionnel et exploration de données, il s'agit du seul privilège Windows requis par le compte de service Analysis Services pour les installations serveur autonome et du seul privilège que le programme d'installation configure pour Analysis Services.For servers running in Multidimensional and Data Mining mode, this is the only Windows privilege required by the Analysis Services service account for standalone server installations, and it is the only privilege that Setup configures for Analysis Services. Pour les instances tabulaires et en cluster, des privilèges Windows supplémentaires doivent être ajoutés manuellement.For clustered and tabular instances, additional Windows privileges must be added manually.

Les instances de cluster de basculement, en mode tabulaire ou multidimensionnel, nécessitent le privilège Augmenter la priorité de planification (SeIncreaseBasePriorityPrivilege).Failover cluster instances, in either Tabular or Multidimensional mode, must have Increase scheduling priority (SeIncreaseBasePriorityPrivilege).

Les instances tabulaires utilisent les trois privilèges supplémentaires suivants, qui doivent être accordés manuellement une fois l'instance installée.Tabular instances use the following three additional privileges, which must be granted manually after the instance is installed.

Augmenter une plage de travail de processus (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege) Ce privilège est accessible par défaut à tous les utilisateurs par l'intermédiaire du groupe de sécurité Utilisateurs .This privilege is available to all users by default through the Users security group. Si vous verrouillez un serveur en supprimant des privilèges pour ce groupe, le démarrage d'Analysis Services risque d'échouer avec l'erreur suivante : « Le client ne dispose pas d'un privilège qui est obligatoire. »If you lock down a server by removing privileges for this group, Analysis Services might fail to start, logging this error: "A required privilege is not held by the client." Lorsque cette erreur se produit, restaurez le privilège à Analysis Services en l'accordant au groupe de sécurité Analysis Services approprié.When this error occurs, restore the privilege to Analysis Services by granting it to the appropriate Analysis Services security group.
Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaSizePrivilege)Adjust memory quotas for a process (SeIncreaseQuotaSizePrivilege) Ce privilège sert à demander davantage de mémoire si un processus dispose de ressources insuffisantes pour terminer son exécution, avec comme limitation les seuils de mémoire établis pour l'instance.This privilege is used to request more memory if a process has insufficient resources to complete its execution, subject to the memory thresholds established for the instance.
Verrouiller les pages en mémoire (SeLockMemoryPrivilege)Lock pages in memory (SeLockMemoryPrivilege) Ce privilège est nécessaire uniquement lorsque la pagination est complètement désactivée.This privilege is needed only when paging is turned off entirely. Par défaut, une instance serveur tabulaire utilise le fichier de pagination Windows, mais vous pouvez l'empêcher d'utiliser la pagination Windows en affectant la valeur 0 au paramètre VertiPaqPagingPolicy .By default, a tabular server instance uses the Windows paging file, but you can prevent it from using Windows paging by setting VertiPaqPagingPolicy to 0.

SiVertiPaqPagingPolicy a la valeur 1 (valeur par défaut), l’instance serveur tabulaire utilise le fichier de pagination Windows.VertiPaqPagingPolicy to 1 (default), instructs the tabular server instance to use the Windows paging file. Les allocations ne sont pas verrouillées, ce qui permet à Windows de paginer selon les besoins.Allocations are not locked, allowing Windows to page out as needed. La pagination étant utilisée, nul besoin de verrouiller les pages en mémoire.Because paging is being used, there is no need to lock pages in memory. Ainsi, pour la configuration par défaut (où VertiPaqPagingPolicy = 1), vous n’avez pas besoin d’accorder le privilège Verrouiller les pages en mémoire à une instance tabulaire.Thus, for the default configuration (where VertiPaqPagingPolicy = 1), you do not need to grant the Lock pages in memory privilege to a tabular instance.

VertiPaqPagingPolicy égal à 0.VertiPaqPagingPolicy to 0. Si vous désactivez la pagination pour Analysis Services, les allocations sont verrouillées, ce qui implique que le privilège Verrouiller les pages en mémoire est accordé à l'instance tabulaire.If you turn off paging for Analysis Services, allocations are locked, assuming the Lock pages in memory privilege is granted to the tabular instance. Étant donné ce paramètre et le privilège Verrouiller les pages en mémoire , Windows ne peut pas paginer les allocations effectuées à Analysis Services lorsque le système est soumis à une sollicitation de la mémoire.Given this setting and the Lock pages in memory privilege, Windows cannot page out memory allocations made to Analysis Services when the system is under memory pressure. Analysis Services compte sur l’autorisation Verrouiller les pages en mémoire pour mettre en œuvre VertiPaqPagingPolicy = 0.Analysis Services relies on the Lock pages in memory permission as the enforcement behind VertiPaqPagingPolicy = 0. La désactivation de la pagination Windows n'est pas recommandée.Note that turning off Windows paging is not recommended. Cela augmente le taux d'erreurs liées à l'insuffisance de mémoire pour les opérations qui réussiraient si la pagination était autorisée.It will increase the rate of out-of-memory errors for operations that might otherwise succeed if paging were allowed. Pour plus d'informations sur VertiPaqPagingPolicy , consultez Memory Properties.See Memory Properties for more information about VertiPaqPagingPolicy.

Pour afficher ou ajouter des privilèges Windows sur le compte de serviceTo view or add Windows privileges on the service account

  1. Exécutez GPEDIT.msc | Stratégie de l'ordinateur local | Configuration ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies locales | Attribution des droits utilisateur.Run GPEDIT.msc | Local Computer Policy | Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignments.

  2. Examinez les stratégies existantes qui contiennent SQLServerMSASUser$.Review existing policies that include SQLServerMSASUser$. Il s'agit d'un groupe de sécurité local présent sur les ordinateurs ayant une installation d'Analysis Services.This is a local security group found on computers having an Analysis Services installation. Les privilèges Windows et les autorisations sur les dossiers de fichiers sont accordés à ce groupe de sécurité.Both Windows privileges and file folder permissions are granted to this security group. Doublez-cliquez sur Ouvrir une session en tant que service pour voir de quelle façon le groupe de sécurité est spécifié sur votre système.Double-click Log on as a service policy to see how the security group is specified on your system. Le nom complet du groupe de sécurité varie selon que vous avez installé Analysis Services comme instance nommée ou non.The full name of the security group will vary depending on whether you installed Analysis Services as a named instance. Utilisez ce groupe de sécurité plutôt que le compte de service lors de l'ajout des privilèges de compte.Use this security group, rather than the actual service account, when adding account privileges.

  3. Pour ajouter des privilèges de compte dans GPEDIT, cliquez avec le bouton droit sur Augmenter une plage de travail de processus et sélectionnez Propriétés.To add account privileges in GPEDIT, right-click Increase a process working set and select Properties.

  4. Cliquez sur Ajouter un groupe ou un utilisateur.Click Add User or Group.

  5. Entrez le groupe d'utilisateurs de l'instance d'Analysis Services.Enter the user group for the Analysis Services instance. N'oubliez pas que le compte de service est membre d'un groupe de sécurité local, ce qui nécessite que vous ajoutiez le nom de l'ordinateur local comme domaine du compte.Remember that the service account is a member of a local security group, requiring that you prepend the local computer name as the domain of the account.

    La liste suivante montre deux exemples pour une instance par défaut et une instance nommée « Tabular » sur un ordinateur « SQL01-WIN12 », où le nom de l'ordinateur est le domaine local.The following list shows two examples for a default instance and named instance called "Tabular" on a machine called "SQL01-WIN12", where the machine name is the local domain.

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVERSQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULARSQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR

  6. Répétez l'opération pour Ajuster les quotas de mémoire pour un processuset, éventuellement, pour Verrouiller les pages en mémoire ou Augmenter la priorité de planification.Repeat for Adjust memory quotas for a process, and optionally, for Lock pages in memory or Increase scheduling priority.

Note

Les versions antérieures du programme d'installation ajoutaient par inadvertance le compte de service Analysis Services au groupe Utilisateurs du journal des performances .Previous versions of Setup inadvertently added the Analysis Services service account to the Performance Log Users group. Bien que ce problème ait été résolu, il est possible que des installations existantes présentent cette appartenance de groupe superflue.Although this defect has been fixed, existing installations might have this unnecessary group membership. Comme le compte de service Analysis ServicesAnalysis Services ne nécessite aucune appartenance au groupe Utilisateurs du journal des performances , vous pouvez le supprimer du groupe.Because the Analysis ServicesAnalysis Services service account does not require membership in the Performance Log Users group, you can remove it from the group.

Autorisations de système de fichiers affectées au compte de service Analysis ServicesFile System Permissions assigned to the Analysis Services service account

Note

Consultez Configurer les comptes de service Windows et les autorisations pour obtenir la liste des autorisations associées à chaque dossier de programme.See Configure Windows Service Accounts and Permissions for a list of permissions associated with each program folder.

Consultez Configurer l’accès HTTP à Analysis Services sur Internet Information Services (IIS) 8.0 pour obtenir des informations sur les autorisations de fichier associées à la configuration IIS et Analysis ServicesAnalysis Services.See Configure HTTP Access to Analysis Services on Internet Information Services (IIS) 8.0 for file permission information related to IIS configuration and Analysis ServicesAnalysis Services.

Toutes les autorisations de système de fichiers requises pour les opérations serveur, y compris celles nécessaires pour charger ou décharger des bases de données à partir d'un dossier de données désigné, sont assignées par le programme d'installation de SQL Server durant l'installation.All file system permissions required for server operations─ including permissions needed for loading and unloading databases from a designated data folder─ are assigned by SQL Server Setup during installation.

Le conteneur des autorisations sur les fichiers de données, les exécutables des fichiers programme, les fichiers de configuration, les fichiers journaux et les fichiers temporaires est un groupe de sécurité local créé par le programme d'installation de SQL Server.The permission holder on data files, program file executables, configuration files, log files, and temporary files is a local security group created by SQL Server Setup.

Un groupe de sécurité est créé pour chaque instance que vous installez.There is one security group created for each instance that you install. Le groupe de sécurité est nommé d’après l’instance : soit SQLServerMSASUser$ MSSQLSERVER pour l’instance par défaut, ou SQLServerMSASUser$<nom_serveur >$<nom_instance > pour une instance nommée.The security group is named after the instance ─ either SQLServerMSASUser$MSSQLSERVER for the default instance, or SQLServerMSASUser$<servername>$<instancename> for a named instance. Le programme d'installation configure ce groupe de sécurité avec les autorisations de fichiers requises pour effectuer les opérations serveur.Setup provisions this security group with the file permissions required to perform server operations. Si vous vérifiez les autorisations de sécurité dans le répertoire \MSAS13.MSSQLSERVER\OLAP\BIN, vous verrez que le groupe de sécurité (et non le compte de service ou son SID par service) est le détenteur des autorisations sur ce répertoire.If you check the security permissions on the \MSAS13.MSSQLSERVER\OLAP\BIN directory, you will see that the security group (not the service account or its per-service SID) is the permission holder on that directory.

Le groupe de sécurité contient un membre uniquement : l'identificateur de sécurité (SID) par service du compte de démarrage de l'instance Analysis ServicesAnalysis Services .The security group contains one member only: the per-service Security Identifier (SID) of the Analysis ServicesAnalysis Services instance startup account. Le programme d'installation ajoute le SID par service au groupe de sécurité local.Setup adds the per-service SID to the local security group. L'utilisation d'un groupe de sécurité local, avec son appartenance au SID, est la différence entre la configuration d'Analysis Services par le programme d'installation de SQL Server et le moteur de base de données.The use of a local security group, with its SID membership, is a small but noticeable difference in how SQL Server Setup provisions Analysis Services, as compared to the Database Engine.

Si vous pensez que les autorisations de fichiers sont corrompues, suivez les étapes ci-après pour vérifier que le service est correctement configuré :If you believe that file permissions are corrupted, follow these steps to verify the service is still correctly provisioned:

  1. Utilisez l'outil en ligne de commande Contrôle du service (sc.exe) pour obtenir le SID d'une instance de service par défaut.Use the Service Control command line tool (sc.exe) to obtain the SID of a default service instance.

    SC showsid MSSqlServerOlapService

    Pour une instance nommée (où le nom de l'instance est Tabular), utilisez la syntaxe suivante :For a named instance (where the instance name is Tabular), use this syntax:

    SC showsid MSOlap$Tabular

  2. Utilisez Computer Manager | utilisateurs et groupes locaux | groupes pour inspecter l’appartenance de SQLServerMSASUser$<nom_serveur >$<instancename > groupe de sécurité.Use Computer Manager | Local Users and Groups | Groups to inspect the membership of the SQLServerMSASUser$<servername>$<instancename> security group.

    Le SID de membre doit correspondre au SID par service obtenu à l'étape 1.The member SID should match the per-service SID from step 1.

  3. Utilisez Explorateur Windows | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin pour vérifier que les propriétés de sécurité des dossiers sont accordées au groupe de sécurité de l’étape 2.Use Windows Explorer | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin to verify folder Security properties are granted to the security group in step 2.

Note

Ne supprimez ni ne modifiez jamais un SID.Never remove or modify a SID. Pour restaurer un SID par service qui a été supprimé par inadvertance, consultez http://support.microsoft.com/kb/2620201.To restore a per-service SID that was inadvertently deleted, see http://support.microsoft.com/kb/2620201.

En savoir plus sur les SID par serviceMore about per-service SIDs

Chaque compte Windows a un SIDassocié, mais les services peuvent également avoir un SID appelé « SID par service ».Every Windows account has an associated SID, but services can also have SIDs, hence referred to as per-service SIDs. Un SID par service est créé lors de l'installation de l'instance du service, en tant que caractéristique fixe et unique du service.A per-service SID is created when the service instance is installed, as a unique, permanent fixture of the service. Le SID par service est un SID local au niveau de l'ordinateur, généré à partir du nom du service.The per-service SID is a local, machine-level SID generated from the service name. Sur une instance par défaut, son nom convivial est NT SERVICE\MSSQLServerOLAPService.On a default instance, its user friendly name is NT SERVICE\MSSQLServerOLAPService.

Le SID par service offre l'avantage de permettre la modification arbitraire du compte d'ouverture de session (plus visible) sans affecter les autorisations de fichiers.The benefit of a per-service SID is that it allows the more widely-visible logon account to be changed arbitrarily, without affecting file permissions. Supposons, par exemple, que vous ayez installé deux instances d'Analysis Services, une instance par défaut et une instance nommée, les deux s'exécutant sous le même compte d'utilisateur Windows.For example, suppose you installed two instances of Analysis Services, a default instance and named instance, both running under the same Windows user account. Bien que le compte d'ouverture de session soit partagé, chaque instance de service a un SID par service unique.While the logon account is shared, each service instance will have a unique per-service SID. Ce SID est distinct du SID du compte d'ouverture de session.This SID is distinct from the SID of the logon account. Le SID par service est utilisé pour les autorisations de fichiers et les privilèges Windows.The per-service SID is used for file permissions and Windows privileges. Le SID de compte d'ouverture de session sert quant à lui aux scénarios d'authentification et d'autorisation. Il s'agit donc de SID différents utilisés à des fins différentes.In contrast, the logon account SID is used for authentication and authorization scenarios ─ different SIDS, used for different purposes.

Le SID étant non modifiable, les listes de contrôle d'accès du système de fichiers créées durant l'installation du service peuvent être utilisées indéfiniment, quelle que soit la fréquence de modification du compte de service.Because the SID is immutable, file system ACLs created during service installation can be used indefinitely, regardless of how often you change the service account. Par mesure de sécurité supplémentaire, les listes de contrôle d'accès (ACL) qui spécifient des autorisations via un SID garantissent que les exécutables de programme et les dossiers de données ne sont accessibles que par une seule instance d'un service, même si d'autres services s'exécutent sous le même compte.As an added security measure, ACLs that specify permissions via a SID ensure that program executables and data folders are accessed only by a single instance of a service, even if other services run under the same account.

Octroi d'autorisations Analysis Services supplémentaires pour des opérations spécifiquesGranting additional Analysis Services permissions for specific server operations

Analysis ServicesAnalysis Services exécute certaines tâches dans le contexte de sécurité du compte de service (ou du compte d’ouverture de session) utilisé pour démarrer Analysis ServicesAnalysis Serviceset exécute d’autres tâches dans le contexte de sécurité de l’utilisateur qui demande la tâche. executes some tasks in the security context of the service account (or logon account) that is used to start Analysis ServicesAnalysis Services, and executes other tasks in the security context of the user who is requesting the task.

Le tableau suivant décrit les autorisations supplémentaires nécessaires pour prendre en charge les tâches s'exécutant en tant que compte de service.The following table describes additional permissions required to support tasks executing as the service account.

Opération du serveurServer Operation Élément de travailWork Item JustificationJustification
Accès à distance aux sources de données relationnelles externesRemote access to external relational data sources Créer un nom d'accès à la base de données pour le compte de serviceCreate a database login for the service account Le traitement fait référence à la récupération de données depuis une source de données externe (généralement une base de données relationnelle), qui est ensuite chargée dans une base de données Analysis ServicesAnalysis Services .Processing refers to data retrieval from an external data source (usually a relational database), which is subsequently loaded into an Analysis ServicesAnalysis Services database. L'une des options d'informations d'identification pour la récupération de données externes consiste à utiliser le compte de service.One of the credential options for retrieving external data is to use the service account. Cette option d'informations d'identification fonctionne uniquement si vous créez une connexion à une base de données pour le compte de service et octroyez des autorisations de lecture sur la base de données source.This credential option works only if you create a database login for the service account and grant read permissions on the source database. Pour plus d’informations sur l’utilisation de l’option de compte de service pour cette tâche, consultez Définir les options d’emprunt d’identité (SSAS - Multidimensionnel).See Set Impersonation Options (SSAS - Multidimensional) for more information about how the service account option is used for this task. De la même manière, si ROLAP est utilisé comme mode de stockage, les mêmes options d'emprunt d'identité sont disponibles.Similarly, if ROLAP is used as the storage mode, the same impersonation options are available. Dans ce cas, le compte doit également disposer d'un accès en écriture aux données sources pour pouvoir traiter les partitions ROLAP (c'est-à-dire pour stocker les agrégations).In this case, the account must also have write access to the source data to process the ROLAP partitions (that is, to store aggregations).
DirectQueryDirectQuery Créer un nom d'accès à la base de données pour le compte de serviceCreate a database login for the service account DirectQuery est une fonctionnalité tabulaire utilisée pour interroger des datasets externes qui sont soit trop volumineux pour s'ajuster à l'intérieur du modèle tabulaire ou qui présentent d'autres caractéristiques qui font de DirectQuery un meilleur choix que l'option de stockage en mémoire par défaut.DirectQuery is a tabular feature used to query external datasets that are either too large to fit inside the tabular model or have other characteristics that make DirectQuery a better fit than the default in-memory storage option. L'une des options de connexion disponibles en mode DirectQuery consiste à utiliser le compte de service.One of the connection options available in DirectQuery mode is to use the service account. Là encore, cette option fonctionne uniquement lorsque le compte de service dispose d'une connexion à une base de données, ainsi que d'autorisations de lecture sur la source de données cible.Once again, this option works only when the service account has a database login and read permissions on the target data source. Pour plus d’informations sur l’utilisation de l’option de compte de service pour cette tâche, consultez Définir les options d’emprunt d’identité (SSAS - Multidimensionnel).See Set Impersonation Options (SSAS - Multidimensional) for more information about how the service account option is used for this task. Les informations d'identification de l'utilisateur actuel peuvent également être utilisées pour récupérer des données.Alternatively, the credentials of the current user can be used to retrieve data. Dans la majorité des cas, cette option implique une connexion à deux tronçons. Par conséquent, veillez à configurer le compte de service pour la délégation Kerberos contrainte afin que ce compte de service puisse déléguer des identités à un serveur en aval.In most cases this option entails a double-hop connection, so be sure to configure the service account for Kerberos constrained delegation so that the service account can delegate identities to a downstream server. Pour plus d'informations, consultez Configure Analysis Services for Kerberos constrained delegation.For more information, see Configure Analysis Services for Kerberos constrained delegation.
Accès à distance à d'autres instances SSASRemote access to other SSAS instances Ajouter le compte de service aux rôles de base de données Analysis Services définis sur le serveur distantAdd the service account to Analysis Services database roles defined on the remote server Les partitions distantes et les objets liés de référencement sur d'autres instances Analysis ServicesAnalysis Services distantes constituent dans les deux cas des fonctions de système nécessitant des autorisations sur un périphérique ou un ordinateur distant.Remote partitions and referencing linked objects on other remote Analysis ServicesAnalysis Services instances are both system capabilities requiring permissions on a remote computer or device. Lorsqu'une personne crée et alimente des partitions distantes ou configure un objet lié, cette opération s'exécute dans le contexte de sécurité de l'utilisateur actuel.When a person creates and populates remote partitions, or sets up a linked object, that operation runs in the security context of the current user. Si, par la suite, vous automatisez ces opérations, Analysis ServicesAnalysis Services accédera aux instances distantes dans le contexte de sécurité de son compte de service.If you subsequently automate these operations, Analysis ServicesAnalysis Services will access remote instances in the security context of its service account. Pour pouvoir accéder aux objets liés d'une instance distante Analysis ServicesAnalysis Services, le compte d'ouverture de session doit être autorisé à lire les objets appropriés sur l'instance distante (accès en lecture sur certaines dimensions, par exemple).In order to access linked objects on a remote instance of Analysis ServicesAnalysis Services, the logon account must have permission to read the appropriate objects on the remote instance, such as Read access to certain dimensions. De même, l'utilisation de partitions distantes implique obligatoirement que le compte de service dispose de droits d'administration sur l'instance distante.Similarly, using remote partitions requires that the service account have administrative rights on the remote instance. De telles autorisations sont octroyées sur l'instance Analysis Services distante, au moyen de rôles qui associent les opérations autorisées à un objet spécifique.Such permissions are granted on the remote Analysis Services instance, using roles that associate permitted operations with a specific object. Pour obtenir des instructions sur l’octroi d’autorisations Contrôle total pour les opérations de traitement et de requête, consultez Octroyer des autorisations de base de données (Analysis Services).See Grant database permissions (Analysis Services) for instructions on how to grant Full Control permissions that allow processing and query operations. Pour plus d’informations sur les partitions distantes, consultez Créer et gérer une partition distante (Analysis Services).See Create and Manage a Remote Partition (Analysis Services) for more information about remote partitions.
Écriture différéeWriteback Ajouter le compte de service aux rôles de base de données Analysis Services définis sur le serveur distantAdd the service account to Analysis Services database roles defined on the remote server Lorsqu'elle est activée dans les applications clientes, l'écriture différée est une fonctionnalité des modèles multidimensionnels qui permet la création de nouvelles valeurs de données au cours de l'analyse des données.When enabled in client applications, writeback is a feature of multidimensional models that allows the creation of new data values during data analysis. Si l'écriture différée est activée dans une dimension ou un cube, le compte de service Analysis ServicesAnalysis Services doit disposer d'autorisations d'écriture dans la table d'écriture différée de la base de données relationnelle SQL ServerSQL Server source.If writeback is enabled within any dimension or cube, the Analysis ServicesAnalysis Services service account must have write permissions to the writeback table in the source SQL ServerSQL Server relational database. Si cette table n'existe pas et doit être créée, le compte de service Analysis ServicesAnalysis Services doit également disposer des autorisations lui permettant de créer la table dans la base de données SQL ServerSQL Server définie.If this table does not already exist and needs to be created, the Analysis ServicesAnalysis Services service account must also have create table permissions within the designated SQL ServerSQL Server database.
Écrire dans une table du journal des requêtes d'une base de données relationnelle SQL ServerSQL ServerWrite to a query log table in a SQL ServerSQL Server relational database Créer une connexion de base de données pour le compte de service et assigner des autorisations d'écriture sur la table du journal des requêtesCreate a database login for the service account and assign write permissions on the query log table Activez la journalisation des requêtes afin de recueillir des données d'utilisation dans une table de base de données, en vue d'une analyse ultérieure.You can enable query logging to collect usage data in a database table for subsequent analysis. Le compte de service Analysis ServicesAnalysis Services doit disposer d'autorisations d'écriture dans la table du journal des requêtes dans la base de données SQL ServerSQL Server définie.The Analysis ServicesAnalysis Services service account must have write permissions to the query log table in the designated SQL ServerSQL Server database. Si la table n'existe pas et doit être créée, le compte d'ouverture de session Analysis ServicesAnalysis Services doit également disposer des autorisations lui permettant de créer la table dans la base de données SQL ServerSQL Server définie.If this table does not already exist and needs to be created, the Analysis ServicesAnalysis Services logon account must also have create table permissions within the designated SQL ServerSQL Server database. Pour plus d’informations, consultez le blog Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Améliorer les performances de SQL Server Analysis Services à l’aide de l’Assistant Optimisation basée sur l’utilisation) et le blog Query Logging in Analysis Services(Journalisation des requêtes dans Analysis Services).For more information, see Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) and Query Logging in Analysis Services (Blog).

Voir aussiSee Also

Configurer les comptes de service Windows et les autorisations Configure Windows Service Accounts and Permissions
Compte de Service SQL Server et le SID par Service (Blog) SQL Server Service Account and Per-Service SID (Blog)
SQL Server utilise un SID de service pour assurer l’isolation de service (Article de la base de connaissances) SQL Server uses a service SID to provide service isolation (KB Article)
Jeton d’accès (MSDN) Access Token (MSDN)
Identificateurs de sécurité (MSDN) Security Identifiers (MSDN)
Jeton d’accès (Wikipedia) Access Token (Wikipedia)
Listes de contrôle d’accès (Wikipedia)Access Control Lists (Wikipedia)