Configurare l'account del servizio del server di report (Gestione configurazione SSRS)Configure the Report Server Service Account (SSRS Configuration Manager)

Reporting ServicesReporting Services viene implementato come singolo servizio contenente un servizio Web ReportServer, portale Webweb portale un'applicazione di elaborazione in background utilizzata per l'elaborazione pianificata di report e il recapito di sottoscrizioni. is implemented as a single service that contains a Report Server Web service, portale Webweb portal, and a background processing application that is used for scheduled report processing and subscription delivery. In questo argomento vengono illustrate la configurazione iniziale dell'account del servizio e la modifica dell'account o della password tramite lo strumento di configurazione di Reporting Services.This topic explains how the service account is initially configured and how to modify the account or password using the Reporting Services Configuration tool.

Configurazione inizialeInitial Configuration

L'account del servizio del server di report viene definito durante l'installazione.The Report Server service account is defined during Setup. È possibile eseguire il servizio usando un account utente di domino o un account predefinito, come un account Servizio virtuale.You can run the service under a domain user account, or a built-in account such as Virtual Service Account. Non esiste alcun account predefinito. L'account specificato nella pagina Account di servizio dell'Installazione guidata diventerà l'account iniziale del servizio del server di report.There is no default account; whatever account you specify in the Service Accounts page of the Installation Wizard becomes the initial account of the Report Server service.

Importante

Anche se il servizio Web ReportServer e portale Webweb portal sono applicazioni ASP.NETASP.NET separate, vengono eseguiti con una sola architettura del servizio all'interno della stessa identità di processo del server di report.Although the Report Server Web service and portale Webweb portal are separate ASP.NETASP.NET applications, they run under a single service architecture within the same Report Server process identity.

Nota

Gli account di servizio Windows predefiniti (Servizio locale o Servizio di rete) non sono supportati come account del servizio del server di report su un computer con funzioni di controller di dominio.Built-in Windows service accounts (Local Service or Network Service) are not supported as report server service accounts on a computer that is a domain controller.

Modifica dell'account del servizioChanging the Service Account

Per visualizzare e riconfigurare le informazioni sull'account del servizio, usare sempre Gestione configurazione di Reporting ServicesReporting Services .To view and reconfigure service account information, always use the Reporting ServicesReporting Services Configuration Manager. Le informazioni sull'identità del servizio sono archiviate internamente in più percorsi.Service identity information is stored internally in multiple locations. L'utilizzo dello strumento garantisce che tutti i riferimenti vengano aggiornati di conseguenza ogni volta che si modifica l'account o la password.Using the tool ensures that all references are updated accordingly whenever you change the account or password. Gestione configurazione di Reporting ServicesReporting Services esegue le operazioni supplementari seguenti per garantire la disponibilità del server di report:The Reporting ServicesReporting Services Configuration Manager performs the following additional steps to ensure the report server remains available:

  • Aggiunta automatica del nuovo account al gruppo di server di report creato nel computer locale.Automatically adds the new account to the report server group created on the local computer. Questo gruppo è specificato negli elenchi di controllo di accesso (ACL) utilizzati per la protezione dei file di Reporting ServicesReporting Services .This group is specified in the access control lists (ACLs) that secure Reporting ServicesReporting Services files.

  • Aggiornamento automatico delle autorizzazioni di accesso nell'istanza del SQL ServerSQL Server Motore di databaseDatabase Engine instance used to host the report server database.Automatically updates the login permissions on the SQL ServerSQL Server Motore di databaseDatabase Engine instance used to host the report server database. Il nuovo account verrà aggiunto a RSExecRole.The new account will be added to the RSExecRole.

    L'account di accesso al database per l'account precedente non verrà rimosso automaticamente.The database login for the old account will not be removed automatically. Assicurarsi di rimuovere gli account non più in uso.Be sure to remove accounts that are no longer in use. Per ulteriori informazioni, vedere amministrare un database del Server di Report ( Modalità nativa SSRS ) nella documentazione Online di SQL Server.For more information, see Administer a Report Server Database (SSRS Native Mode) in SQL Server Books Online.

    Al nuovo account del servizio vengono concesse autorizzazioni per il database solo se la connessione al database del server di report è stata configurata fin dall'inizio per l'uso dell'account del servizio.Granting database permissions to a new service account only occurs if you configured the report server database connection to use the service account in the first place. Se la connessione al database del server di report è stata configurata per l'utilizzo di un account utente di dominio o di un account di accesso al database di SQL ServerSQL Server , l'aggiornamento dell'account del servizio non influisce sulle informazioni di connessione.If you configured the report server database connection to use a domain user account or a SQL ServerSQL Server database login, the connection information is not affected by the service account update.

  • Aggiornamento automatico della chiave di crittografia per includere le informazioni sul profilo del nuovo account.Automatically updates the encryption key to include the profile information of the new account.

    Nota

    Se il server di report fa parte di una distribuzione con scalabilità orizzontale, la modifica interesserà solo il server di report che si sta aggiornando.If the report server is part of the scale-out deployment, only the report server that you are updating is affected. Le chiavi di crittografia per gli altri server di report della distribuzione non sono interessate dalla modifica dell'account del servizio.The encryption keys for other report servers in the deployment are unaffected by the service account change.

Per configurare l'account del servizio del server di reportTo configure the Report Server service account

  1. Avviare Gestione configurazione Reporting ServicesReporting Services e connettersi al server di report.Start the Reporting ServicesReporting Services Configuration manager and connect to the report server.

  2. Nella pagina Account servizio selezionare l'opzione che descrive il tipo di account che si desidera utilizzare.On the Service Account page, select the option that describes the type of account you want to use.

  3. Se è stato selezionato un account utente di Windows, specificare il nuovo account e la password.If you selected a Windows user account, specify the new account and password. Il nome dell'account non può contenere più di 20 caratteri.The account cannot be more than 20 characters.

    Se il server di report viene distribuito in una rete che supporta l'autenticazione Kerberos, è necessario registrare il nome dell'entità servizio del server di report con l'account utente di dominio specificato.If the report server is deployed in a network that supports Kerberos authentication, you must register the report server Service Principal Name (SPN) with the domain user account you just specified. Per altre informazioni, vedere Registrazione di un nome dell'entità servizio (SPN) per un server di report.For more information, see Register a Service Principal Name (SPN) for a Report Server.

  4. Fare clic su Applica.Click Apply.

  5. Quando viene richiesto di eseguire il backup della chiave simmetrica, digitare un nome di file e un percorso per la copia di backup della chiave simmetrica, digitare una password per bloccare e sbloccare il file, quindi scegliere OK.When prompted to back up the symmetric key, type a file name and location for the symmetric key backup, type a password to lock and unlock the file, and then click OK.

  6. Se il server di report utilizza l'account del servizio per connettersi al database del server di report, le informazioni di connessione verranno aggiornate per l'utilizzo del nuovo account o della nuova password.If the report server uses the service account to connect to the report server database, the connection information will be updated to use the new account or password. L'aggiornamento delle informazioni di connessione richiede la connessione al database.Updating the connection information requires that you connect to the database. Se viene visualizzata la finestra di dialogo SQL ServerSQL Server Connessione al database, immettere le credenziali che dispongono dell'autorizzazione necessaria per connettersi al database, quindi scegliere OK.If the SQL ServerSQL Server Database Connection dialog box appears, enter credentials that have permission to connect to the database, and then click OK.

  7. Quando viene richiesto di ripristinare la chiave simmetrica, digitare la password specificata al passaggio 5, quindi scegliere OK.When prompted to restore the symmetric key, type the password you specified in step 5, and then click OK.

  8. Controllare i messaggi di stato nel riquadro Risultati per verificare che tutte le attività siano state completate correttamente.Review the status messages in the Results pane to verify all tasks completed successfully.

Scelta di un accountChoosing an Account

Per ottenere risultati ottimali, specificare un account che dispone delle autorizzazioni necessarie per stabilire connessioni di rete, con accesso ai controller di dominio di rete e ai server o ai gateway SMTP aziendali.For best results, specify an account that has network connection permissions, with access to network domain controllers and corporate SMTP servers or gateways. Nella tabella seguente vengono forniti un riepilogo degli account e alcuni consigli per utilizzarli.The following table summarizes the accounts and provides recommendations for using them.

AccountAccount SpiegazioneExplanation
Account utente di dominioDomain user accounts Se si possiede un account utente di dominio di Windows che dispone delle autorizzazioni minime necessarie per operazioni sul server di report, è consigliabile utilizzarlo.If you have a Windows domain user account that has the minimum permissions required for report server operations, you should use it.

Un account utente di dominio rappresenta la scelta consigliata, in quanto isola il servizio del server di report dalle altre applicazioni.A domain user account is recommended because it isolates the Report Server service from other applications. L'esecuzione di più applicazioni tramite un account condiviso, ad esempio Servizio di rete, aumenta il rischio di esporre il server di report al controllo da parte di utenti malintenzionati, in quanto una violazione della sicurezza di una delle applicazioni può facilmente estendersi a tutte le applicazioni eseguite utilizzando lo stesso account.Running multiple applications under a shared account, such as Network Service, increases the risk of a malicious user taking control of the report server because a security breach for any one application can easily extend to all applications that run under the same account.

Si noti che se si utilizza un account utente di dominio, sarà necessario modificare periodicamente la password se l'organizzazione applica criteri di scadenza delle password.Note that if you use a domain user account, you will have to change the password periodically if your organization enforces a password expiration policy. Potrebbe inoltre essere necessario registrare il servizio con l'account utente.You might also need to register the service with the user account. Per altre informazioni, vedere Registrazione di un nome dell'entità servizio (SPN) per un server di report.For more information, see Register a Service Principal Name (SPN) for a Report Server.

Evitare di utilizzare un account utente locale di Windows.Avoid using a local Windows user account. Gli account locali non dispongono in genere di autorizzazioni sufficienti per accedere alle risorse in altri computer.Local accounts typically do not have sufficient permission to access resources on other computers. Per altre informazioni sulle limitazioni imposte alle funzionalità del server di report quando si utilizza un account locale, vedere Considerazioni sull'utilizzo di account locali in questo argomento.For more information about how using a local account limits report server functionality, see Considerations for Using Local Accounts in this topic.
account Servizio virtualeVirtual Service Account L'account Servizio virtuale rappresenta il servizio di Windows.Virtual Service Account represents the windows service. È un account predefinito con privilegi minimi che dispone di autorizzazioni di accesso alla rete.It is a built-in least-privilege account that has network logon permissions. Tale account è consigliato se non si dispone di un account utente di dominio o se si desidera evitare le possibili interruzioni del servizio provocate dall'applicazione di criteri di scadenza delle password.This account is recommended if you do not have a domain user account available or if you want to avoid any service disruptions that might occur as a result of password expiration policies.
Servizio di reteNetwork Service Servizio di rete è un account predefinito con privilegi minimi che dispone di autorizzazioni di accesso alla rete.Network Service is a built-in least-privilege account that has network logon permissions.

Se si seleziona Servizio di rete, tentare di ridurre al minimo il numero degli altri servizi eseguiti con lo stesso account.If you select Network Service, try to minimize the number of other services that run under the same account. Una violazione della sicurezza di una delle applicazioni può pregiudicare la sicurezza di tutte le altre applicazioni eseguite con lo stesso account.A security breach for any one application will compromise the security of all other applications that run under the same account.
Servizio localeLocal Service Servizio locale è un account predefinito simile a un account utente locale di Windows autenticato.Local Service is a built-in account that is like an authenticated local Windows user account. I servizi eseguiti tramite l'account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali.Services that run as the Local Service account access network resources as a null session with no credentials. Questo account non è adatto per scenari di distribuzione Intranet in cui il server di report deve connettersi a un database del server di report remoto o a un controller di dominio di rete per autenticare un utente prima dell'apertura di un report o dell'elaborazione di una sottoscrizione.This account is not appropriate for intranet deployment scenarios where the report server must connect to a remote report server database or a network domain controller to authenticate a user prior to opening a report or processing a subscription.
Sistema localeLocal System Sistema locale è un account con privilegi elevati, non necessario per l'esecuzione di un server di report.Local System is a highly privileged account that is not required for running a report server. Non utilizzare questo account per le installazioni dei server di report.Avoid this account for report server installations. Scegliere piuttosto un account di dominio o l'account Servizio di rete .Choose a domain account or Network Service instead.

Considerazioni sull'utilizzo di account locali Considerations for Using Local Accounts

La considerazione principale relativa all'utilizzo di account locali consiste nel determinare se il server di report dovrà accedere a server di database remoti, server della posta e controller di dominio.The primary consideration for using local accounts is whether the report server requires access to remote database servers, mail servers, and domain controllers. Se si configura il server di report per l'esecuzione come account utente locale di Windows, Servizio locale o Sistema locale occorrerà tenere conto di alcune considerazioni correlate all'impostazione di altre opzioni di configurazione e alla creazione e al recapito delle sottoscrizioni:If you configure the report server to run as a local Windows user account, Local Service, or Local System, you introduce considerations that must be factored into how you set other configuration settings, and on subscription creation and delivery:

  • Se il servizio viene eseguito utilizzando un account locale e si configura una connessione a un database del server di report remoto, il numero di opzioni disponibili in seguito risulterà limitato.Running the service under a local account will limit your options later if you configure a connection to a remote report server database. In particolare, se si utilizza un database del server di report remoto, sarà necessario configurare la connessione per l'utilizzo di un account utente di dominio o di un account utente di accesso al database di SQL ServerSQL Server che disponga dell'autorizzazione necessaria per accedere all'istanza remota di SQL ServerSQL Server .Specifically, if you are using a remote report server database, you will have to configure the connection to use a domain user account or SQL ServerSQL Server database user that has permission to log on to the remote SQL ServerSQL Server instance.

  • L'esecuzione del servizio tramite un account locale introduce anche nuovi requisiti relativi alla creazione delle sottoscrizioni.Running the service under a local account will introduce new requirements on subscription creation. Il server di report archivia le informazioni relative agli utenti che creano le sottoscrizioni.The report server stores information about the user who creates the subscription. Se un utente crea una sottoscrizione mentre è connesso con un account di dominio, il servizio del server di report tenterà di connettersi a un controller di dominio per autenticare l'utente al momento dell'elaborazione della sottoscrizione.If the user creates the subscription while logged on under a domain account, the Report Server service will try to connect to a domain controller to authenticate the user when the subscription is processed. Se il servizio viene eseguito utilizzando un account locale, la richiesta di autenticazione ha esito negativo quando viene inviata a un controller di dominio remoto dal server di report.If the service runs under a local account, the authentication request will fail when the report server tries to send the request to a remote domain controller. Per ovviare a questa limitazione è possibile utilizzare un'estensione personalizzata per l'autenticazione basata su form oppure fare in modo che tutti gli utenti si connettano al server di report tramite un account utente locale.To work around this limitation, you can use a custom forms-based authentication extension or have all users connect to a report server under a local user account.

  • L'esecuzione del servizio tramite un account locale introduce anche nuovi requisiti relativi al recapito delle sottoscrizioni.Running the service under a local account will introduce new requirements for subscription delivery. Alcune estensioni di recapito includono informazioni sull'account utente nelle definizioni delle sottoscrizioni.Some delivery extensions have user account information in the subscription definition. Se si inviano report a indirizzi di posta elettronica basati su account utente di dominio e il servizio del server di report viene eseguito utilizzando un account locale, il servizio non sarà in grado di accedere a un controller di dominio remoto per risolvere l'account di posta elettronica di destinazione.If you are sending reports to e-mail addresses that are based on domain user accounts and you run the Report Server service under a local account, it cannot access a remote domain controller to resolve the target e-mail account.

  • Gli account di servizio Windows predefiniti (Servizio locale o Servizio di rete) non sono supportati come account del servizio del server di report su un computer con funzioni di controller di dominio.Built-in Windows service accounts (Local Service or Network Service) are not supported as report server service accounts on a computer that is a domain controller.

Per la scelta dell'approccio ottimale per la propria distribuzione, è possibile utilizzare le linee guida e i collegamenti seguenti.The following guidelines and links in this section can help you decide on an approach that is best for your deployment.

Aggiornamento di una password scadutaUpdating an Expired Password

Se il servizio del server di report viene eseguito con un account di dominio e la password scade prima che sia possibile aggiornarla in Gestione configurazione Reporting Services, il servizio non verrà avviato se prima non si specifica una nuova password.If the Report Server service runs under a domain account and the password expires before you can update it in the Reporting Services Configuration Manager, the service will not start until you specify a new password.

Se la password dell'account del servizio per il Motore di databaseDatabase Engine scade, quando si tenterà di connettersi al server di report verrà restituito l'errore rsReportServerDatabaseUnavailable .If the service account password for the Motore di databaseDatabase Engine expires, the rsReportServerDatabaseUnavailable error occurs when you try to connect to the report server. Per risolvere l'errore è necessario reimpostare la password.Resetting the password resolves this error.

Risoluzione degli errori di aggiornamento dell'identità del servizioTroubleshooting Service Identity Update Errors

La modifica dell'identità del servizio avvia una serie di eventi che includono il riavvio del servizio, l'aggiornamento della chiave di crittografia protetta da password, l'aggiornamento delle prenotazioni URL e, se si utilizza l'account del servizio per la connessione al database del server di report, l'aggiornamento delle informazioni di connessione al database del server di report.Changing the service identity initiates a series of events that include restarting the service, updating the password-protected encryption key, updating URL reservations, and updating the report server database connection information if you are using the service account to connect to the report server database. È possibile monitorare lo stato di tali eventi visualizzando le notifiche incluse nel riquadro Risultati nella parte inferiore della pagina.You can monitor the status of these events by viewing the notifications in the Results panel at the bottom of the page. Se durante il processo si verificano errori, è possibile provare a risolverli utilizzando le tecniche seguenti:If errors occur during this process, you can try to resolve them using the following techniques:

  • Se non è possibile ripristinare la chiave simmetrica, tentare di ripristinarla manualmente usando il comando Ripristina nella pagina Chiave di crittografia.If the symmetric key cannot be restored, you can try to restore it manually by using Restore in the Encryption Keys page. Se il problema persiste, valutare l'opportunità di eliminare il contenuto crittografato.If that does not work, consider deleting the encrypted content. In questo caso, sarà necessario ricreare le informazioni di connessione all'origine dati e le sottoscrizioni, ma il resto del contenuto sarà ancora disponibile.You will have to re-create data source connection information and subscriptions, but the rest of your content will still be available. Per altre informazioni, vedere Eseguire il backup e il ripristino delle chiavi di crittografia di Reporting Services.For more information, see Back Up and Restore Reporting Services Encryption Keys.

  • Se non è possibile avviare il servizio, riavviarlo manualmente utilizzando l'applicazione console Servizi in Strumenti di amministrazione.If the service will not start, restart it manually by using the Services console application in Administrator Tools.

  • Quando si aggiorna l'account del servizio, possono verificarsi errori relativi alle prenotazioni URL.URL reservation errors can occur when you update the service account. Ogni prenotazione URL include un descrittore di sicurezza che include a sua volta un elenco di controllo di accesso discrezionale che concede all'account del servizio l'autorizzazione necessaria per accettare richieste nell'URL.Each URL reservation includes a security descriptor that includes a Discretionary Access Control List (DACL) that grants permission to the service account to accept requests on the URL. Quando si aggiorna l'account, è necessario ricreare l'URL per aggiornare l'elenco di controllo di accesso discrezionale con le nuove informazioni sull'account.When you update the account, the URL must be recreated to update the DACL with the new account information. Se non è possibile ricreare la prenotazione URL e si è certi della validità dell'account, provare a riavviare il computer.If the URL reservation cannot be recreated, and you know the account to be valid, try to restart the computer. Se l'errore persiste, provare a utilizzare un account diverso.If the error persists, try to use a different account.

Vedere ancheSee Also

Configurare gli URL del server di report (Gestione configurazione SSRS) Configure Report Server URLs (SSRS Configuration Manager)
Reporting Services di Configuration Manager ( Modalità nativa )Reporting Services Configuration Manager (Native Mode)