Поделиться через


Учетная запись службы (настройка служб Reporting Services)

На странице «Учетная запись службы» укажите учетную запись, от которой будет запускаться служба сервера отчетов. Начальная конфигурация этой учетной записи выполняется программой установки. Ее можно изменить, если необходимо изменить учетную запись или пароль. Веб-служба сервера отчетов, диспетчер отчетов и приложение фоновой обработки будут запускаться с удостоверением службы, заданным на этой странице.

Учетная запись, указанная для службы сервера отчетов, должна иметь разрешение на доступ к реестру, а также программным файлам и базе данных сервера отчетов. Все разрешения настраиваются для учетной записи автоматически, если его задание выполняется при помощи программы настройки служб Reporting Services. Если подключение к базе данных сервера отчетов производится от имени учетной записи службы, программа создаст для нее имя входа базы данных и настроит в базе данных разрешения, сделав эту учетную запись членом роли RSExecRole на том экземпляре SQL Server, где находится база данных сервера отчетов. База данных сервера отчетов является единственным хранилищем данных, в которую производит запись сервер отчетов. Учетной записи службы не требуются разрешения на какие бы то ни было другие хранилища данных.

Чтобы открыть эту страницу, запустите программу настройки служб Reporting Services и выберите ссылку в области переходов. Дополнительные сведения см. в разделе Как запустить настройку служб Reporting Services.

Важное примечаниеВажно!

При необходимости обновления учетной записи или пароля настоятельно рекомендуется использовать программу настройки служб Reporting Services. Это гарантирует, что при обновлении учетной записи службы все остальные зависящие от нее внутренние параметры будут автоматически обновлены.

Параметры

  • Использовать встроенную учетную запись
    Выберите из списка значение Сетевая служба, Локальная система или Локальная служба. Рекомендуется выбирать значение Сетевая служба, хотя может быть использована любая доступная учетная запись.

  • Использовать другую учетную запись
    Выберите этот параметр, чтобы указать учетную запись Windows. Можно ввести учетную запись либо локального пользователя Windows, либо пользователя домена. Определите учетную запись домена в формате: <домен>\<пользователь>. Укажите локальную учетную запись пользователя Windows в таком формате: <имя компьютера>\<пользователь>. Программа настройки служб Reporting Services не позволяет создавать новые учетные записи, поэтому может быть выбрана только существующая.

    Максимальная длина учетной записи составляет 20 символов.

    Если в сети применяется проверка подлинности по протоколу Kerberos, а сервер отчетов настроен для запуска от имени учетной записи пользователя домена, необходимо зарегистрировать службу под этой учетной записью. Дополнительные сведения см. в разделе Как зарегистрировать имя участника-службы для сервера отчетов.

При переключении типа учетной записи (например, при замене одной учетной записи Windows на другую или при замене встроенной учетной записи на учетную запись домена Windows) будет предложено создать резервную копию ключа шифрования. Резервная копия будет восстановлена автоматически при выборе новой учетной записи.

ПримечаниеПримечание

Программа настройки служб Reporting Services при каждом изменении учетной записи службы напоминает о необходимости создания резервной копии и восстановления ключа шифрования. Эти шаги необходимы для того, чтобы обеспечить доступность для сервера отчетов зашифрованных данных. Дополнительные сведения об этих действиях см. в разделе Ключи шифрования (конфигурация служб Reporting Services).

Кроме того, если сервер отчетов настроен для работы в режиме интеграции с SharePoint, а учетная запись службы была изменена с помощью программы настройки служб Reporting Services, необходимо также открыть центр администрирования SharePoint и на странице Reporting ServicesGrant Database Access повторно применить параметры сервера отчетов и экземпляра. На этом шаге новой учетной записи службы предоставляется доступ к базам данных SharePoint, необходимый для интеграции служб Reporting Services с Windows SharePoint Services (WSS) или MicrosoftOffice SharePoint Server (MOSS). Дополнительные сведения о предоставлении доступа в центре администрирования SharePoint см. в разделе Как настроить интеграцию сервера отчетов в центре администрирования SharePoint.

Выбор учетной записи

Чтобы получить наилучший результат, укажите учетную запись, обладающую разрешениями сетевого подключения и имеющую доступ к контроллерам домена, шлюзам и SMTP-серверам предприятия. В следующей сводной таблице перечислены учетные записи и рекомендации по их использованию.

Учетная запись

Объяснение

Учетная запись пользователя домена

При наличии учетной записи пользователя домена Windows, обладающей минимумом разрешений, необходимым для работы сервера отчетов, лучше пользоваться ей.

Рекомендуется пользоваться учетной записью пользователя домена, поскольку она изолирует службу сервера отчетов от других приложений. Запуск нескольких приложений от имени общей учетной записи (например, «Сетевая служба») увеличивает риск получения возможности управления над сервером отчетов, так как в случае нарушения защиты в одном из приложений злоумышленнику станут доступны все приложения, запускаемые от имени той же учетной записи.

Применение учетной записи пользователя домена является обязательным в том случае, если сервер отчетов настроен для ограниченного делегирования или имеет определенную конфигурацию в режиме интеграции с SharePoint, когда сервер отчетов, его база данных, конфигурация SharePoint и базы данных содержимого находятся на одном компьютере, а веб-приложение SharePoint — на другом.

Обратите внимание, что при использовании учетной записи пользователя домена придется периодически менять пароль, если в организации действует политика истечения срока действия паролей. Может также потребоваться регистрация службы под учетной записью пользователя. Дополнительные сведения см. в разделе Как зарегистрировать имя участника-службы для сервера отчетов.

Избегайте применения учетных записей локальных пользователей Windows. Как правило, они не предоставляют разрешений, необходимых для доступа к ресурсам на других компьютерах. Дополнительные сведения о том, каким образом применение локальных учетных записей ограничивает функции сервера отчетов, см. в подразделе Вопросы применения учетных записей локальных пользователей далее в этом разделе.

Сетевая служба

Сетевая служба — это встроенная учетная запись, обладающая наименьшими правами доступа, которая имеет разрешение на вход в сеть. Использование этой учетной записи рекомендуется в случае отсутствия учетной записи пользователя домена, если желательно избежать перерывов в обслуживании, вызванных применением политики истечения срока действия паролей.

Выбрав учетную запись Сетевая служба, постарайтесь уменьшить число других запускаемых от нее служб. Нарушение защиты одного из приложений приведет к компрометации всех остальных приложений, запускаемых от имени той же учетной записи.

Локальная служба

Локальная служба — это встроенная учетная запись, похожая на учетную запись локального пользователя Windows, прошедшего проверку подлинности. Службы, запущенные с учетной записью Локальная служба, получают доступ к сетевым ресурсам в форме неопределенного сеанса без учетных данных. Эта учетная запись не подходит для развертывания в интрасети, когда сервер отчетов перед открытием отчета и обработкой подписки производит соединение со своей базой данных и контроллером домена, чтобы выполнить проверку подлинности пользователя.

Локальная система

Локальная система — это учетная запись с широким набором прав доступа, которые не нужны для запуска сервера отчетов. Избегайте использования данной учетной записи при установках сервера отчетов. Лучше вместо нее использовать учетную запись Сетевая служба.

Вопросы применения учетных записей локальных пользователей

Использование локальных учетных записей главным образом обосновано в тех случаях, когда серверу отчетов требуется доступ к удаленным серверам баз данных, почтовым серверам и контроллеру домена. Если сервер отчетов настроен для запуска от имени учетной записи локального пользователя Windows, «Локальная служба» или «Локальная система», следует исходить в первую очередь из установки других параметров настройки, а также методов создания и доставки подписки.

  • Запуск службы от имени локальной учетной записи может привести к ограничению параметров настройки позже, во время установления соединения с удаленной базой данных сервера отчетов. В частности, если используется удаленная база данных сервера отчетов, для настройки подключения будет необходимо использовать учетную запись пользователя домена или пользователя базы данных SQL Server, которая обладает разрешением на подключение к удаленному экземпляру SQL Server.

  • Работа службы под локальной учетной записью накладывает новые требования на создание подписок. Сервер отчетов хранит сведения о пользователе, который создал подписку. Если пользователь создает подписку во время того, как он подключен под учетной записью домена, то служба сервера отчетов будет пытаться подключиться к контроллеру домена для проверки подлинности пользователя при обработке подписки. Если служба запущена от имени локальной учетной записи, то запрос проверки подлинности окажется неуспешным при попытке сервера отчета отправить запрос на удаленный контроллер домена. Чтобы обойти это ограничение, можно использовать модуль проверки подлинности на основе пользовательских форм или подключить всех пользователей к серверу отчета под локальной учетной записью пользователя.

  • Работа службы под локальной учетной записью накладывает новые требования на доставку подписок. Некоторые модули доставки имеют сведения об учетных записях пользователя в определении подписок. Если служба сервера отчетов запущена от имени локальной учетной записи, при отправке отчета по адресам электронной почты, основанным на учетных записях пользователей домена, служба сервера отчетов не может получить доступ к удаленному контроллеру домена и найти целевую учетную запись электронной почты.