서비스 계정 구성(Analysis Services)Configure Service Accounts (Analysis Services)

적용 대상:예SQL Server Analysis Services아니요Azure Analysis ServicesAPPLIES TO:yesSQL Server Analysis ServicesnoAzure Analysis Services에 설명 되어 제품 전체의 계정 프로 비전 Windows 서비스 계정 및 권한 구성, 모든에 대 한 포괄적인 서비스 계정 정보를 제공 하는 항목 SQL ServerSQL Server 포함한서비스를 Analysis ServicesAnalysis Services. Product-wide account provisioning is documented in Configure Windows Service Accounts and Permissions, a topic that provides comprehensive service account information for all SQL ServerSQL Server services, including Analysis ServicesAnalysis Services. 올바른 계정 유형, 설치 프로그램에서 할당한 Windows 권한, 파일 시스템 권한, 레지스트리 권한 등에 대한 자세한 내용은 이 항목을 참조하세요.Refer to it to learn about valid account types, Windows privileges assigned by setup, file system permissions, registry permissions, and more.

이 항목에서는 테이블 형식 및 클러스터형 설치에 필요한 추가 사용 권한을 비롯하여 Analysis ServicesAnalysis Services에 대한 추가 정보를 제공합니다.This topic provides supplemental information for Analysis ServicesAnalysis Services, including additional permissions necessary for tabular and clustered installations. 또한 서버 작업을 지원하는 데 필요한 사용 권한도 다룹니다.It also covers permissions needed to support server operations. 예를 들어 처리 및 쿼리 작업이 서비스 계정에서 실행되도록 구성할 수 있습니다. 이렇게 하려면 추가 사용 권한을 부여해야 합니다.For example, you can configure processing and query operations to execute under the service account ─ in which case you will need to grant additional permissions to get this to work.

로그온 계정 권장 사항Logon account recommendations

장애 조치(failover) 클러스터에서 Analysis Services의 모든 인스턴스는 Windows 도메인 사용자 계정을 사용하도록 구성되어야 합니다.In a failover cluster, all instances of Analysis Services should be configured to use a Windows domain user account. 모든 인스턴스에 동일한 계정을 할당합니다.Assign the same account to all instances. 자세한 내용은 Analysis Services를 클러스터링하는 방법 을 참조하세요.See How to Cluster Analysis Services for details.

독립 실행형 인스턴스는 기본 가상 계정 NT Service\MSSQLServerOLAPService (기본 인스턴스의 경우) 또는 NT Service\MSOLAP$instance-name (명명된 인스턴스의 경우)을 사용해야 합니다.Standalone instances should use the default virtual account, NT Service\MSSQLServerOLAPService for the default instance, or NT Service\MSOLAP$instance-name for a named instance. 이 권장 사항은 운영 체제가 Windows Server 2008 R2 이상이고 SQL Server 2012 이상의 Analysis Services가 실행된다고 가정할 때 모든 서버 모드의 Analysis Services 인스턴스에 적용됩니다.This recommendation applies to Analysis Services instances in all server modes, assuming Windows Server 2008 R2 and later for the operating system, and SQL Server 2012 and later for Analysis Services.

Analysis Services에 권한 부여Granting permissions to Analysis Services

이 섹션에서는 Analysis Services에서 로컬 내부 작업(예: 실행 파일 시작, 구성 파일 읽기, 데이터 디렉터리에서 데이터베이스 로드)을 수행하는 데 필요한 권한에 대해 설명합니다.This section explains the permissions that Analysis Services requires for local, internal operations, such as starting the executable, reading the configuration file, and loading databases from the data directory. 외부 데이터 액세스를 위한 권한 설정 방법과 다른 서비스 및 응용 프로그램과의 상호 운용성에 대한 지침은 이 항목의 뒤에 나오는 특정 서버 작업에 대한 추가 권한 부여 를 참조하세요.If instead you're looking for guidance on setting permissions for external data access and interoperability with other services and applications, see Granting additional permissions for specific server operations further on in this topic.

내부 작업의 경우 Analysis Services의 권한 소유자가 로그인 계정이 아니고 서비스별 SID를 포함하는 설치 프로그램에서 생성된 로컬 Windows 보안 그룹입니다.For internal operations, the permission holder in Analysis Services is not the logon account, but a local Windows security group created by Setup that contains the per-service SID. 보안 그룹에 권한을 할당하는 방법은 이전 버전의 Analysis Services와 일치합니다.Assigning permissions to the security group is consistent with previous versions of Analysis Services. 또한 로그온 계정은 시간에 따라 변경될 수 있지만 서비스별 SID와 로컬 보안 그룹은 서버 설치 수명 기간 동안 지속됩니다.Also, logon accounts can change over time, but the per-service SID and local security group are constant for the lifetime of the server installation. Analysis Services에서는 권한 보유를 위해 로그온 계정 대신 보안 그룹을 선택하는 것이 좋습니다.For Analysis Services, this makes the security group, rather than the logon account, a better choice for holding permissions. 파일 시스템 권한 또는 Windows 권한에 상관없이 서비스 인스턴스에 수동으로 권한을 부여할 경우 항상 서버 인스턴스에 대해 만들어진 로컬 보안 그룹에 권한을 부여해야 합니다.Whenever you manually grant rights to the service instance, whether file system permissions or Windows privileges, be sure to grant permissions to the local security group created for the server instance.

보안 그룹의 이름은 패턴을 따릅니다.The name of the security group follows a pattern. 접두사는 항상 SQLServerMSASUser$이고 그 뒤에 컴퓨터 이름이 오고 마지막에 인스턴스 이름이 옵니다.The prefix is always SQLServerMSASUser$, followed by the computer name, ending with the instance name. 기본 인스턴스는 MSSQLSERVER입니다.The default instance is MSSQLSERVER. 명명된 인스턴스는 설정 중에 지정된 이름입니다.A named instance is the name given during set up.

로컬 보안 설정에서 이 보안 그룹을 확인할 수 있습니다.You can see this security group in the local security settings:

  • Compmgmt.msc 실행 | 로컬 사용자 및 그룹 | 그룹 | SQLServerMSASUser$<서버 이름 >$MSSQLSERVER (기본 인스턴스의 경우)에 대 한 합니다.Run compmgmt.msc | Local Users and Groups | Groups | SQLServerMSASUser$<server-name>$MSSQLSERVER (for a default instance).

  • 구성원을 볼 보안 그룹을 두 번 클릭합니다.Double-click the security group to view its members.

    그룹의 유일한 구성원은 서비스별 SID입니다.The sole member of the group is the per-service SID. 오른쪽에 로그온 계정이 있습니다.Right next to it is the logon account. 로그온 계정 이름은 cosmetic이고, 서비스별 SID에 컨텍스트를 제공합니다.The logon account name is cosmetic, there to provide context to the per-service SID. 이후에 로그온 계정을 변경한 다음 이 페이지로 돌아가면 보안 그룹과 서비스별 SID는 변경되지 않고 로그온 계정 레이블이 다른 것을 알 수 있습니다.If you subsequently change the logon account and then return to this page, you'll notice that the security group and per-service SID do not change, but the logon account label is different.

Analysis Services 서비스 계정에 할당된 Windows 권한Windows privileges assigned to the Analysis Services service account

Analysis Services는 서비스를 시작하고 시스템 리소스를 요청하는 데 운영 체제의 사용 권한이 필요합니다.Analysis Services needs permissions from the operating system for service startup and to request system resources. 서버 모드 및 인스턴스가 클러스터링되었는지 여부에 따라 요구 사항이 다릅니다.Requirements vary by server mode and whether the instance is clustered. Windows 권한에 익숙하지 않은 경우 자세한 내용은 권한권한 상수(Windows) 를 참조하세요.If you are unfamiliar with Windows privileges, see Privileges and Privilege Constants (Windows) for details.

Analysis Services의 모든 인스턴스에는 서비스로 로그온 (SeServiceLogonRight) 권한이 필요합니다.All instances of Analysis Services require the Log on as a service (SeServiceLogonRight) privilege. SQL Server 설치 프로그램에서 설치 중 지정된 서비스 계정에 이 권한을 자동으로 할당합니다.SQL Server Setup assigns the privilege for you on the service account specified during installation. 다차원 및 데이터 마이닝 모드에서 실행되는 서버의 경우 이 권한이 Analysis Services 서비스 계정에서 독립 실행형 서버 설치에 필요한 유일한 Windows 권한이며, 이 권한이 설치 프로그램에서 Analysis Services에 대해 구성하는 유일한 권한입니다.For servers running in Multidimensional and Data Mining mode, this is the only Windows privilege required by the Analysis Services service account for standalone server installations, and it is the only privilege that Setup configures for Analysis Services. 클러스터형 및 테이블 형식 인스턴스의 경우 추가 Windows 권한을 수동으로 추가해야 합니다.For clustered and tabular instances, additional Windows privileges must be added manually.

장애 조치(Failover) 클러스터 인스턴스는 테이블 형식 또는 다차원 모드에서 예약 우선 순위 높임 (SeIncreaseBasePriorityPrivilege) 권한을 가져야 합니다.Failover cluster instances, in either Tabular or Multidimensional mode, must have Increase scheduling priority (SeIncreaseBasePriorityPrivilege).

테이블 형식 인스턴스는 인스턴스가 설치된 이후에 수동으로 부여해야 하는 다음과 같은 세 가지 추가 권한을 사용합니다.Tabular instances use the following three additional privileges, which must be granted manually after the instance is installed.

프로세스 작업 집합 향상 (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege) 이 권한은 기본적으로 사용자 보안 그룹을 통해 모든 사용자가 사용할 수 있습니다.This privilege is available to all users by default through the Users security group. 이 그룹의 권한을 제거하여 서버를 잠근 경우 Analysis Services가 "클라이언트에 필수 권한이 없습니다." 오류를 로깅하며 시작하지 못할 수 있습니다.If you lock down a server by removing privileges for this group, Analysis Services might fail to start, logging this error: "A required privilege is not held by the client." 이 오류가 발생하는 경우 해당 Analysis Services 보안 그룹에 권한을 부여하여 Analysis Services에 대한 권한을 복원합니다.When this error occurs, restore the privilege to Analysis Services by granting it to the appropriate Analysis Services security group.
프로세스에 대한 메모리 할당량 조정 (SeIncreaseQuotaSizePrivilege)Adjust memory quotas for a process (SeIncreaseQuotaSizePrivilege) 이 권한은 프로세스가 실행을 완료하기에 충분한 리소스를 보유하지 못한 경우 인스턴스용으로 설정된 메모리 임계값에 따라 추가 메모리를 요청하는 데 사용됩니다.This privilege is used to request more memory if a process has insufficient resources to complete its execution, subject to the memory thresholds established for the instance.
메모리의 페이지 잠금 (SeLockMemoryPrivilege)Lock pages in memory (SeLockMemoryPrivilege) 이 권한은 페이징이 완전히 해제된 경우에만 필요합니다.This privilege is needed only when paging is turned off entirely. 기본적으로 테이블 형식 서버 인스턴스는 Windows 페이징 파일을 사용하지만 VertiPaqPagingPolicy 를 0으로 설정하면 해당 인스턴스의 Windows 페이징 사용을 방지할 수 있습니다.By default, a tabular server instance uses the Windows paging file, but you can prevent it from using Windows paging by setting VertiPaqPagingPolicy to 0.

VertiPaqPagingPolicy 를 1(기본값)로 설정하면 테이블 형식 서버 인스턴스가 Windows 페이징 파일을 사용합니다.VertiPaqPagingPolicy to 1 (default), instructs the tabular server instance to use the Windows paging file. 할당은 잠기지 않으므로 필요에 따라 Windows에서 페이지 아웃할 수 있습니다.Allocations are not locked, allowing Windows to page out as needed. 페이징을 사용하기 때문에 메모리에서 페이지를 잠글 필요가 없습니다.Because paging is being used, there is no need to lock pages in memory. 따라서 기본 구성( VertiPaqPagingPolicy = 1)의 경우 테이블 형식 인스턴스에 메모리의 페이지 잠금 권한을 부여할 필요가 없습니다.Thus, for the default configuration (where VertiPaqPagingPolicy = 1), you do not need to grant the Lock pages in memory privilege to a tabular instance.

VertiPaqPagingPolicy 를 0으로 설정하면VertiPaqPagingPolicy to 0. Analysis Services에 대한 페이징을 해제한 경우 할당이 잠기며, 메모리의 페이지 잠금 권한이 테이블 형식 인스턴스에 부여된 것으로 가정합니다.If you turn off paging for Analysis Services, allocations are locked, assuming the Lock pages in memory privilege is granted to the tabular instance. 이 설정 및 메모리의 페이지 잠금 권한이 지정된 경우 시스템의 메모리가 부족할 때 Analysis Services에 할당된 메모리를 Windows에서 페이지 아웃할 수 없습니다.Given this setting and the Lock pages in memory privilege, Windows cannot page out memory allocations made to Analysis Services when the system is under memory pressure. Analysis Services는 VertiPaqPagingPolicy = 0이면 메모리의 페이지 잠금 권한을 적용합니다.Analysis Services relies on the Lock pages in memory permission as the enforcement behind VertiPaqPagingPolicy = 0. Windows 페이징을 해제하지 않는 것이 좋습니다.Note that turning off Windows paging is not recommended. 페이징을 해제하면 페이징이 허용된 경우에 제대로 수행될 수도 있는 작업의 메모리 부족 오류 비율이 증가합니다.It will increase the rate of out-of-memory errors for operations that might otherwise succeed if paging were allowed. VertiPaqPagingPolicy 에 대한 자세한 내용은 Memory Properties항목을 참조하세요.See Memory Properties for more information about VertiPaqPagingPolicy.

서비스 계정에서 Windows 권한을 보거나 추가하려면To view or add Windows privileges on the service account

  1. GPEDIT.msc | 로컬 컴퓨터 정책 | 컴퓨터 구성 | Windows 설정 | 보안 설정 | 로컬 정책 | 사용자 권한 지정을 실행합니다.Run GPEDIT.msc | Local Computer Policy | Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignments.

  2. SQLServerMSASUser$가 포함된 기존 정책을 검토합니다.Review existing policies that include SQLServerMSASUser$. 이 계정은 Analysis Services가 설치된 컴퓨터에 있는 로컬 보안 그룹입니다.This is a local security group found on computers having an Analysis Services installation. Windows 권한과 파일 폴더 사용 권한이 모두 이 보안 그룹에 부여됩니다.Both Windows privileges and file folder permissions are granted to this security group. 서비스로 로그온 정책을 두 번 클릭하여 시스템에서 보안 그룹이 어떻게 지정되어 있는지 확인합니다.Double-click Log on as a service policy to see how the security group is specified on your system. 보안 그룹의 전체 이름은 Analysis Services를 명명된 인스턴스로 설치했는지 여부에 따라 다릅니다.The full name of the security group will vary depending on whether you installed Analysis Services as a named instance. 계정 권한을 추가할 경우 실제 서비스 계정을 사용하지 않고 이 보안 그룹을 사용합니다.Use this security group, rather than the actual service account, when adding account privileges.

  3. GPEDIT에서 계정 권한을 추가하려면 프로세스 작업 집합 향상 을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.To add account privileges in GPEDIT, right-click Increase a process working set and select Properties.

  4. 사용자 또는 그룹 추가를 클릭합니다.Click Add User or Group.

  5. Analysis Services 인스턴스의 사용자 그룹을 입력합니다.Enter the user group for the Analysis Services instance. 서비스 계정은 로컬 보안 그룹의 구성원이며, 로컬 컴퓨터 이름을 계정의 도메인으로 추가해야 합니다.Remember that the service account is a member of a local security group, requiring that you prepend the local computer name as the domain of the account.

    다음 목록은 컴퓨터의 이름이 로컬 도메인인 "SQL01-WIN12" 컴퓨터에 있는 기본 인스턴스와 "Tabular"로 명명된 인스턴스에 대한 두 가지 예를 보여 줍니다.The following list shows two examples for a default instance and named instance called "Tabular" on a machine called "SQL01-WIN12", where the machine name is the local domain.

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVERSQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER

    • SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULARSQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR

  6. 프로세스의 메모리 할당량 조정에 대해 반복하고 필요에 따라 메모리의 페이지 잠금 또는 예약 우선 순위 높임에 대해서도 반복합니다.Repeat for Adjust memory quotas for a process, and optionally, for Lock pages in memory or Increase scheduling priority.

참고

이전 버전의 설치 프로그램에서는 성능 로그 사용자 그룹에 Analysis Services 서비스 계정이 실수로 추가되었습니다.Previous versions of Setup inadvertently added the Analysis Services service account to the Performance Log Users group. 이 결함이 해결되었지만 기존 설치에는 이 불필요한 그룹 멤버 자격이 있을 수도 있습니다.Although this defect has been fixed, existing installations might have this unnecessary group membership. Analysis ServicesAnalysis Services 서비스 계정에 Performance Log Users 그룹의 멤버 자격이 필요하지 않기 때문에 이 그룹에서 서비스 계정을 제거할 수 있습니다.Because the Analysis ServicesAnalysis Services service account does not require membership in the Performance Log Users group, you can remove it from the group.

Analysis Services 서비스 계정에 할당된 파일 시스템 권한File System Permissions assigned to the Analysis Services service account

참고

각 프로그램 폴더와 관련된 권한 목록은 Windows 서비스 계정 및 권한 구성 을 참조하세요.See Configure Windows Service Accounts and Permissions for a list of permissions associated with each program folder.

IIS 구성에 관련된 파일 권한 정보 및 Analysis ServicesAnalysis Services에 대한 자세한 내용은 IIS(인터넷 정보 서비스) 8.0에서 Analysis Services에 대한 HTTP 액세스 구성을 참조하세요.See Configure HTTP Access to Analysis Services on Internet Information Services (IIS) 8.0 for file permission information related to IIS configuration and Analysis ServicesAnalysis Services.

지정된 데이터 폴더에서 데이터베이스를 로드 또는 언로드하는 데 필요한 사용 권한을 비롯하여 서버 작업에 필요한 모든 파일 시스템 권한은 SQL Server 설치 프로그램에서 설치 중 할당합니다.All file system permissions required for server operations─ including permissions needed for loading and unloading databases from a designated data folder─ are assigned by SQL Server Setup during installation.

데이터 파일, 프로그램 실행 파일, 구성 파일, 로그 파일 및 임시 파일에 대한 사용 권한 소유자는 SQL Server 설치 프로그램에서 만든 로컬 보안 그룹입니다.The permission holder on data files, program file executables, configuration files, log files, and temporary files is a local security group created by SQL Server Setup.

설치하는 인스턴스마다 하나의 보안 그룹이 있습니다.There is one security group created for each instance that you install. 보안 그룹 인스턴스 하거나 이름은 SQLServerMSASUser$ MSSQLSERVER 기본 인스턴스에 대 한 또는 SQLServerMSASUser$<서버 이름 >$< 인스턴스 이름 > 명명 된 인스턴스에 대 한 합니다.The security group is named after the instance ─ either SQLServerMSASUser$MSSQLSERVER for the default instance, or SQLServerMSASUser$<servername>$<instancename> for a named instance. 설치 프로그램은 서버 작업 수행에 필요한 파일 권한으로 이 보안 그룹을 프로비전합니다.Setup provisions this security group with the file permissions required to perform server operations. \MSAS13.MSSQLSERVER\OLAP\BIN 디렉터리에서 보안 권한을 확인하면 보안 그룹(서비스 계정 또는 서비스별 SID가 아님)이 해당 디렉터리에 대한 권한 보유지임을 알 수 있습니다.If you check the security permissions on the \MSAS13.MSSQLSERVER\OLAP\BIN directory, you will see that the security group (not the service account or its per-service SID) is the permission holder on that directory.

보안 그룹에는 Analysis ServicesAnalysis Services 인스턴스 시작 계정의 서비스별 SID(보안 식별자)만 멤버로 포함되어 있습니다.The security group contains one member only: the per-service Security Identifier (SID) of the Analysis ServicesAnalysis Services instance startup account. 설치 프로그램에서 서비스별 SID를 로컬 보안 그룹에 추가합니다.Setup adds the per-service SID to the local security group. SID 멤버 자격이 있는 로컬 보안 그룹을 사용할 경우 데이터베이스 엔진과 비교하여 SQL Server 설치 프로그램이 Analysis Services를 프로비전하는 방식에서 작지만 분명한 차이점이 있습니다.The use of a local security group, with its SID membership, is a small but noticeable difference in how SQL Server Setup provisions Analysis Services, as compared to the Database Engine.

파일 권한이 손상되었다고 생각되는 경우 다음 단계에 따라 서비스가 계속해서 올바르게 프로비전되는지 확인하세요.If you believe that file permissions are corrupted, follow these steps to verify the service is still correctly provisioned:

  1. 서비스 제어 명령줄 도구(sc.exe)를 사용하여 기본 서비스 인스턴스의 SID를 가져옵니다.Use the Service Control command line tool (sc.exe) to obtain the SID of a default service instance.

    SC showsid MSSqlServerOlapService

    명명된 인스턴스의 경우(여기서는 인스턴스 이름이 Tabular임) 다음 구문을 사용합니다.For a named instance (where the instance name is Tabular), use this syntax:

    SC showsid MSOlap$Tabular

  2. 사용 하 여 컴퓨터 관리자 | 로컬 사용자 및 그룹 | 그룹 SQLServerMSASUser$의멤버자격을검사하려면<서버 이름 >$<인스턴스 이름 > 보안 그룹입니다.Use Computer Manager | Local Users and Groups | Groups to inspect the membership of the SQLServerMSASUser$<servername>$<instancename> security group.

    구성원 SID가 1단계의 서비스별 SID와 일치해야 합니다.The member SID should match the per-service SID from step 1.

  3. Windows 탐색기 | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin 을 사용하여 2단계의 보안 그룹에 보안 속성이 부여된 폴더를 확인합니다.Use Windows Explorer | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin to verify folder Security properties are granted to the security group in step 2.

참고

SID를 제거하거나 수정하지 마세요.Never remove or modify a SID. 실수로 삭제한 서비스별 SID를 복원하려면 http://support.microsoft.com/kb/2620201을 참조하세요.To restore a per-service SID that was inadvertently deleted, see http://support.microsoft.com/kb/2620201.

서비스별 SID에 대한 추가 정보More about per-service SIDs

모든 Windows 계정에는 연결된 SID가 있지만, 서비스에도 SID가 있으므로 서비스별 SID라고도 합니다.Every Windows account has an associated SID, but services can also have SIDs, hence referred to as per-service SIDs. 서비스별 SID는 서비스 인스턴스가 설치될 때 서비스의 고유하고 영구적인 부분으로 생성됩니다.A per-service SID is created when the service instance is installed, as a unique, permanent fixture of the service. 서비스별 SID는 서비스 이름에서 생성되는 로컬 컴퓨터 수준 SID입니다.The per-service SID is a local, machine-level SID generated from the service name. 기본 인스턴스에서 사용자 이름은 NT SERVICE\MSSQLServerOLAPService입니다.On a default instance, its user friendly name is NT SERVICE\MSSQLServerOLAPService.

서비스별 SID의 이점은 파일 권한에 영향을 미치지 않고 매우 광범위하게 표시할 수 있는 로그온 계정을 임의로 변경할 수 있다는 것입니다.The benefit of a per-service SID is that it allows the more widely-visible logon account to be changed arbitrarily, without affecting file permissions. 예를 들어 Analysis Services 인스턴스를 두 개 설치한 경우, 기본 인스턴스와 명명된 인스턴스가 동일한 Windows 사용자 계정에서 실행되면For example, suppose you installed two instances of Analysis Services, a default instance and named instance, both running under the same Windows user account. 로그온 계정이 공유되는 동안 각 서비스 인스턴스는 고유한 서비스별 SID를 갖습니다.While the logon account is shared, each service instance will have a unique per-service SID. 이 SID는 로그온 계정의 SID와는 완전히 다릅니다.This SID is distinct from the SID of the logon account. 서비스별 SID는 파일 권한 및 Windows 권한에 사용됩니다.The per-service SID is used for file permissions and Windows privileges. 반면에 로그온 계정 SID는 인증 및 권한 부여 시나리오에 사용되며 용도에 따라 다른 SID가 사용됩니다.In contrast, the logon account SID is used for authentication and authorization scenarios ─ different SIDS, used for different purposes.

SID는 변경이 불가능하므로 서비스 설치 중 생성된 파일 시스템 ACL을 서비스 계정의 변경 빈도와 상관없이 무제한으로 사용할 수 있습니다.Because the SID is immutable, file system ACLs created during service installation can be used indefinitely, regardless of how often you change the service account. 추가된 보안 조치로, SID를 통해 권한을 지정하는 ACL은 다른 서비스가 동일한 계정에서 실행되더라도 프로그램 실행 파일 및 데이터 폴더가 서비스의 단일 인스턴스에서만 액세스되도록 합니다.As an added security measure, ACLs that specify permissions via a SID ensure that program executables and data folders are accessed only by a single instance of a service, even if other services run under the same account.

특정 서버 작업에 대한 추가 Analysis Services 권한 부여Granting additional Analysis Services permissions for specific server operations

Analysis ServicesAnalysis ServicesAnalysis ServicesAnalysis Services를 시작하는 데 사용되는 서비스 계정 또는 로그온 계정의 보안 컨텍스트에서 일부 태스크를 실행하고 태스크를 요청하는 사용자의 보안 컨텍스트에서 나머지 태스크를 실행합니다. executes some tasks in the security context of the service account (or logon account) that is used to start Analysis ServicesAnalysis Services, and executes other tasks in the security context of the user who is requesting the task.

다음 표에서는 서비스 계정으로 실행되는 태스크를 지원하는 데 필요한 추가 권한에 대해 설명합니다.The following table describes additional permissions required to support tasks executing as the service account.

서버 작업Server Operation 작업 항목Work Item 이유Justification
외부 관련 데이터 원본에 원격 액세스Remote access to external relational data sources 서비스 계정의 데이터베이스 로그인 생성Create a database login for the service account 처리는 외부 데이터 원본(일반적으로 관계형 데이터베이스)에서 데이터를 검색하는 단계를 의미합니다. 검색된 데이터는 이후에 Analysis ServicesAnalysis Services 데이터베이스에 로드됩니다.Processing refers to data retrieval from an external data source (usually a relational database), which is subsequently loaded into an Analysis ServicesAnalysis Services database. 외부 데이터를 검색하기 위한 자격 증명 옵션 중 하나는 서비스 계정을 사용하는 것입니다.One of the credential options for retrieving external data is to use the service account. 이 자격 증명 옵션은 서비스 계정에 대한 데이터베이스 로그인을 만들고 원본 데이터베이스에 대한 읽기 권한을 부여하는 경우에만 작동합니다.This credential option works only if you create a database login for the service account and grant read permissions on the source database. 이 태스크에 서비스 계정 옵션이 사용되는 방법은 가장 옵션 설정(SSAS - 다차원)을 참조하세요.See Set Impersonation Options (SSAS - Multidimensional) for more information about how the service account option is used for this task. 이와 마찬가지로 ROLAP가 저장소 모드로 사용되는 경우 동일한 가장 옵션을 사용할 수 있습니다.Similarly, if ROLAP is used as the storage mode, the same impersonation options are available. 이 경우에는 계정에 원본 데이터에 대한 쓰기 권한도 있어야 ROLAP 파티션 처리(집계 저장)가 가능합니다.In this case, the account must also have write access to the source data to process the ROLAP partitions (that is, to store aggregations).
DirectQueryDirectQuery 서비스 계정의 데이터베이스 로그인 생성Create a database login for the service account DirectQuery는 테이블 형식 모델에 들어가기에는 너무 크거나 기본 메모리 내 저장소 옵션보다 DirectQuery를 적합하게 만드는 다른 특징이 있는 외부 데이터 집합을 쿼리하는 데 사용되는 테이블 형식 기능입니다.DirectQuery is a tabular feature used to query external datasets that are either too large to fit inside the tabular model or have other characteristics that make DirectQuery a better fit than the default in-memory storage option. DirectQuery 모드에서 사용할 수 있는 연결 옵션 중 하나는 서비스 계정을 사용하는 것입니다.One of the connection options available in DirectQuery mode is to use the service account. 이 옵션도 서비스 계정에 대상 데이터 원본에 대한 읽기 권한 및 데이터베이스 로그인이 있는 경우에만 작동합니다.Once again, this option works only when the service account has a database login and read permissions on the target data source. 이 태스크에 서비스 계정 옵션이 사용되는 방법은 가장 옵션 설정(SSAS - 다차원)을 참조하세요.See Set Impersonation Options (SSAS - Multidimensional) for more information about how the service account option is used for this task. 또는 현재 사용자의 자격 증명을 사용하여 데이터를 검색할 수 있습니다.Alternatively, the credentials of the current user can be used to retrieve data. 대부분의 경우 이 옵션은 더블홉 연결을 필요로 하므로 서비스 계정이 다운스트림 서버에 ID를 위임할 수 있도록 Kerberos 제한 위임에 대한 서비스 계정을 구성해야 합니다.In most cases this option entails a double-hop connection, so be sure to configure the service account for Kerberos constrained delegation so that the service account can delegate identities to a downstream server. 자세한 내용은 Configure Analysis Services for Kerberos constrained delegation을 참조하세요.For more information, see Configure Analysis Services for Kerberos constrained delegation.
다른 SSAS 인스턴스에 대한 원격 액세스Remote access to other SSAS instances 원격 서버에서 정의한 Analysis Services 데이터베이스 역할에 서비스 계정 추가Add the service account to Analysis Services database roles defined on the remote server 원격 파티션 및 다른 원격 Analysis ServicesAnalysis Services 인스턴스의 연결된 개체 참조는 원격 컴퓨터 또는 장치에 대한 권한이 필요한 시스템 기능입니다.Remote partitions and referencing linked objects on other remote Analysis ServicesAnalysis Services instances are both system capabilities requiring permissions on a remote computer or device. 사용자가 원격 파티션을 만들고 채우거나 연결된 개체를 설정할 때 해당 작업은 현재 사용자의 보안 컨텍스트에서 실행됩니다.When a person creates and populates remote partitions, or sets up a linked object, that operation runs in the security context of the current user. 이후에 이러한 작업을 자동화하는 경우 Analysis ServicesAnalysis Services 는 서비스 계정의 보안 컨텍스트에서 원격 인스턴스에 액세스합니다.If you subsequently automate these operations, Analysis ServicesAnalysis Services will access remote instances in the security context of its service account. 원격 Analysis ServicesAnalysis Services인스턴스의 연결된 개체에 액세스하려면 로그온 계정이 특정 차원에 대한 읽기 권한과 같이 원격 인스턴스의 해당 개체를 읽을 수 있는 권한을 가져야 합니다.In order to access linked objects on a remote instance of Analysis ServicesAnalysis Services, the logon account must have permission to read the appropriate objects on the remote instance, such as Read access to certain dimensions. 이와 마찬가지로 원격 파티션을 사용하려면 서비스 계정에 원격 인스턴스에 대한 관리 권한이 있어야 합니다.Similarly, using remote partitions requires that the service account have administrative rights on the remote instance. 이러한 권한은 허용된 작업을 특정 개체와 연결하는 역할을 사용하여 원격 Analysis Services 인스턴스에 대해 부여됩니다.Such permissions are granted on the remote Analysis Services instance, using roles that associate permitted operations with a specific object. 처리 및 쿼리 작업을 허용하는 모든 권한을 부여하는 방법은 데이터베이스 권한 부여(Analysis Services)를 참조하세요.See Grant database permissions (Analysis Services) for instructions on how to grant Full Control permissions that allow processing and query operations. 원격 파티션에 대한 자세한 내용은 원격 파티션 만들기 및 관리(Analysis Services)를 참조하세요.See Create and Manage a Remote Partition (Analysis Services) for more information about remote partitions.
쓰기 저장(writeback)Writeback 원격 서버에서 정의한 Analysis Services 데이터베이스 역할에 서비스 계정 추가Add the service account to Analysis Services database roles defined on the remote server 클라이언트 응용 프로그램에서 사용되는 경우 쓰기 저장은 데이터 분석 중에 새로운 데이터 값을 만들 수 있도록 허용하는 다차원 모델의 기능입니다.When enabled in client applications, writeback is a feature of multidimensional models that allows the creation of new data values during data analysis. 차원이나 큐브 내에서 쓰기 저장이 사용되는 경우 Analysis ServicesAnalysis Services 서비스 계정은 원본 SQL ServerSQL Server 관계형 데이터베이스에서 쓰기 저장 테이블에 대한 쓰기 권한을 가져야 합니다.If writeback is enabled within any dimension or cube, the Analysis ServicesAnalysis Services service account must have write permissions to the writeback table in the source SQL ServerSQL Server relational database. 이 테이블이 없어 새로 만들어야 하는 경우에는 지정된 Analysis ServicesAnalysis Services 데이터베이스 내에서 SQL ServerSQL Server 서비스 계정에 CREATE TABLE 권한도 있어야 합니다.If this table does not already exist and needs to be created, the Analysis ServicesAnalysis Services service account must also have create table permissions within the designated SQL ServerSQL Server database.
SQL ServerSQL Server 관계형 데이터베이스의 쿼리 로그 테이블에 쓰기Write to a query log table in a SQL ServerSQL Server relational database 서비스 계정의 데이터베이스 로그인 생성 및 쿼리 로그 테이블에 대한 쓰기 권한 할당Create a database login for the service account and assign write permissions on the query log table 이후 분석을 위해 데이터베이스 테이블에서 사용 현황 데이터를 수집하기 위해 쿼리 로깅을 사용하도록 설정할 수 있습니다.You can enable query logging to collect usage data in a database table for subsequent analysis. Analysis ServicesAnalysis Services 서비스 계정은 지정된 SQL ServerSQL Server 데이터베이스에서 쿼리 로그 테이블에 대한 쓰기 권한을 가져야 합니다.The Analysis ServicesAnalysis Services service account must have write permissions to the query log table in the designated SQL ServerSQL Server database. 이 테이블이 없어 새로 만들어야 하는 경우에는 지정된 Analysis ServicesAnalysis Services 데이터베이스 내에서 SQL ServerSQL Server 로그온 계정에 CREATE TABLE 권한도 있어야 합니다.If this table does not already exist and needs to be created, the Analysis ServicesAnalysis Services logon account must also have create table permissions within the designated SQL ServerSQL Server database. 자세한 내용은 사용 빈도 기반 최적화 마법사를 사용하여 SQL Server Analysis Services 성능 향상(블로그)Analysis Services의 쿼리 로깅(블로그)을 참조하세요.For more information, see Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) and Query Logging in Analysis Services (Blog).

관련 항목:See Also

Windows 서비스 계정 및 권한 구성 Configure Windows Service Accounts and Permissions
SQL Server 서비스 계정 및 서비스별 SID (블로그) SQL Server Service Account and Per-Service SID (Blog)
SQL Server 서비스 SID를 사용 하 여 서비스 격리 (KB 문서) SQL Server uses a service SID to provide service isolation (KB Article)
액세스 토큰 (MSDN) Access Token (MSDN)
보안 식별자 (MSDN) Security Identifiers (MSDN)
액세스 토큰 (Wikipedia) Access Token (Wikipedia)
액세스 제어 목록 (Wikipedia)Access Control Lists (Wikipedia)