Определения ролей — стандартные роли
Область применения:
SQL Server 2016 (13.x) Reporting Services и более поздних версий Сервер отчетов Power BI
Reporting Services устанавливаются с набором стандартных ролей, которые можно использовать для предоставления доступа к операциям сервера отчетов. Каждой стандартной ролью описывается набор взаимосвязанных задач. Можно назначить учетные записи групп и пользователей для стандартных ролей, чтобы обеспечить немедленный доступ к операциям сервера отчетов.
Как использовать стандартные роли
Ознакомьтесь со списком стандартных ролей и определите, допустимо ли использовать их без изменений. Если вам нужно настроить задачи или определить другие роли, перед началом назначения пользователей определенным ролям необходимо настроить их. Чтобы создать или изменить пользовательские роли, используйте СРЕДУ SQL Server Management Studio. Дополнительные сведения см. в статье "Создание, удаление" или изменение роли (Management Studio).
Выясните, каким пользователям и группам требуется доступ к серверу отчетов и на каком уровне. Большинству пользователей следует назначить роль Браузер или роль Построитель отчетов . Меньшему числу пользователей следует назначить роль Издатель . Несколько пользователей должны быть назначены диспетчеру содержимого.
Когда вы будете готовы назначить учетные записи пользователей и групп определенным ролям, используйте веб-портал. Дополнительные сведения см. в статье Предоставление пользователям доступа к серверу отчетов.
Предопределенные определения ролей
Предопределенные роли определяют задачи, которые они поддерживают. Эти роли можно изменить или заменить их пользовательскими ролями.
Область определяет границы, в пределах которых используются роли. Ролями на уровне элементов обеспечиваются различные уровни доступа к элементам сервера отчетов и операциям, выполняемым с этими элементами. Роли на уровне элементов определяются в корневом узле (Home) и во всех элементах иерархии папок сервера отчетов. Ролями на уровне системы регламентируется доступ на уровне веб-сайта. Роли на уровне элементов и на уровне системы являются взаимоисключающими, однако используются совместно, чтобы обеспечить возможность гибкой настройки разрешений для содержимого и операций сервера отчетов.
В следующей таблице описаны стандартные области для ролей:
| Стандартная роль | Scope | Description |
|---|---|---|
| Роль «Диспетчер содержимого» | Товар | Возможность управлять содержимым на сервере отчетов. Этот доступ включает папки, отчеты и ресурсы. |
| Роль «Издатель» | Товар | Возможность публиковать отчеты и связанные отчеты на сервере отчетов. |
| Роль «Браузер» | Товар | Возможность просматривать папки, отчеты и подписываться на отчеты. |
| Роль «Построитель отчетов» | Товар | Возможность просматривать определения отчетов. |
| Роль «Мои отчеты» | Товар | Возможность публиковать отчеты и связанные отчеты; управление папками, отчетами и ресурсами в папке "Мои отчеты" пользователей. |
| Роль «Системный администратор» | Системные | Просмотр и изменение назначений системных ролей, определений системных ролей, свойств системы и общих расписаний, а также возможность создания определений ролей и управления заданиями в среде Management Studio. |
| Роль «Пользователь системы» | Системные | Просмотр системных свойств, общих расписаний, предоставление разрешения на использование построителя отчетов или других клиентов, выполняющих определения отчетов. |
Роль диспетчера содержимого
Роль Диспетчер содержимого — это стандартная роль, предусматривающая задания для пользователя, который может управлять отчетами и веб-содержимым, но не являться автором отчетов или администратором веб-сервера либо экземпляра SQL Server. Диспетчер содержимого разворачивает отчеты, управляет моделями отчетов и соединениями с источниками данных, а также принимает решения о способе использования отчетов. Для определения роли Диспетчер содержимого по умолчанию выбраны все задачи уровня элемента.
Роль Диспетчер содержимого часто используется вместе с ролью Системный администратор . Вместе определения этих двух ролей обеспечивают полный набор задач для пользователей, которым требуется полный доступ ко всем элементам на сервере отчетов. Хотя роль Диспетчер содержимого обеспечивает полный доступ к отчетам, моделям отчетов, папкам и другим элементам в иерархии папок, она не дает доступа к элементам или операциям на уровне сайта. Такие задачи, как создание общих расписаний и управление ими, настройка свойств сервера и управление определениями ролей, являются задачами системного уровня, которые включены в роль Системный администратор . По этой причине рекомендуется создавать второе назначение роли на уровне сайта, которое обеспечит доступ к общим расписаниям.
Задачи диспетчера содержимого
В следующей таблице перечислены задачи роли Диспетчер содержимого:
| Задача | Description |
|---|---|
| Комментарии к отчетам | Создавайте, просматривайте, изменяйте и удаляйте комментарии к отчетам. |
| Использование отчетов | Считывание определений отчетов. |
| Создание связанных отчетов | Создайте связанные отчеты, основанные на несоединяемом отчете. |
| Управление всеми подписками | Просмотр, изменение и удаление любой подписки для отчетов и связанных отчетов, независимо от владельца подписки. Эта задача поддерживает создание управляемых данными подписок. Она также поддерживает изменение и выполнение запланированного обновления для Power BI (PBIX-файлов) на сервере отчетов Power BI. |
| Управление комментариями | Удаляйте комментарии других пользователей к отчетам. |
| Управление источниками данных | Создание и удаление общих элементов источника данных, просмотр и изменение свойств и содержимого источника данных. |
| Управление папками | Создание, просмотр и удаление папок; просмотр и изменение их свойств. |
| Управление отдельными подписками | Создание, просмотр и удаление принадлежащих пользователям подписок на отчеты и связанные отчеты. Эта задача также поддерживает изменение и выполнение запланированного обновления для Power BI (PBIX-файлов) на сервере отчетов Power BI. |
| Manage models in the repository (Управление моделями в репозитории) | Создание, просмотр и удаление моделей, а также просмотр и изменение свойств моделей. |
| Управление журналом отчета | Создание, просмотр и удаление журнала отчетов и просмотр свойств журнала отчетов. Также включает в себя параметры просмотра и изменения, определяющие ограничения журнала моментальных снимков и способы кэширования. |
| Управление отчетами | Добавление и удаление отчетов, изменение параметров отчета, просмотр и изменение свойств отчета. Также включает в себя просмотр и изменение источников данных, которые предоставляют содержимое отчета, просматривают и изменяют определения отчетов, а также задают политики безопасности на уровне отчета. |
| Управление ресурсами | Создание, изменение и удаление ресурсов; просмотр и изменение их свойств. |
| Установка безопасности для отдельных элементов | Определение политики безопасности для отчетов, связанных отчетов, папок, ресурсов и источников данных. Дополнительные сведения см. в разделе Защищаемые элементы. |
| Просмотреть источники данных | Просмотр общих элементов источника данных в иерархии папок. |
| Просмотр папок | Просмотр содержимого папок и навигация по иерархии папок. |
| Просмотр моделей | Просмотр моделей в иерархии папок, использование моделей как источников данных для отчета и выполнение запросов по модели для получения данных. |
| Просмотр отчетов | Выполнение отчетов и просмотр их свойств. |
| Просмотр ресурсов | Просмотр ресурсов и их свойств. |
Настройка роли "Диспетчер содержимого"
Данная роль предназначена для доверенных пользователей, обладающих общей ответственностью за управление и обслуживание содержимого сервера отчетов. Вы можете удалить задачи из этого определения, но это может привести к неоднозначности в том, что можно управлять. Например, удаление задачи «Просмотр отчетов» из определения этой роли не позволит диспетчеру содержимого просматривать содержимое отчетов и, следовательно, он не сможет проверять изменения настроек параметров и учетных данных.
Роль Диспетчер содержимого используется в настройках безопасности по умолчанию.
Роль издателя
Роль Издатель — это встроенное определение роли, содержащее задачи, позволяющие пользователям добавлять содержимое на сервер отчетов. Эта роль предопределена для удобства. Он не используется, пока не создадите назначения ролей, которые включают его. Эта роль предназначена для пользователей, создающих отчеты или модели в конструкторе отчетов или моделей и публикующих их на сервере отчетов.
Внимание
Разрешение на публикацию отчетов на сервере отчетов следует предоставлять только доверенным пользователям. Роль «Издатель» предоставляет широкие права, позволяющие пользователям передавать на сервер отчетов файлы любого типа. Если отправленный отчет или HTML-файл содержит вредоносный скрипт, любой пользователь, который выбирает отчет или HTML-документ, будет запускать скрипт под его учетными данными.
Определения отчетов могут включать скрипты и другие элементы, уязвимые для атак в момент преобразования отчета в формат HTML в процессе выполнения. Если опубликованный отчет содержит вредоносный скрипт, любой пользователь, который запускает этот отчет, может случайно вызвать запуск скрипта при открытии отчета. Если у пользователя есть повышенные разрешения, скрипт запускается с этими разрешениями.
Чтобы снизить риск случайного запуска вредоносных скриптов, ограничьте количество пользователей, имеющих разрешение на публикацию содержимого. Кроме того, убедитесь, что пользователи публикуют только документы и отчеты, поступающие из доверенных источников. Если вы не уверены, является ли определение отчета безопасным для публикации, необходимо открыть RDL-файл в текстовом редакторе и найти теги скрипта. Вредоносный скрипт может быть скрыт в выражениях и URL-адресах (например, в URL-адресе действия, связанного с перемещением).
Задачи роли "Издатель"
В следующей таблице приведены задачи роли Издатель:
| Задача | Description |
|---|---|
| Создание связанных отчетов | Создание связанных отчетов и их публикация в папке сервера отчетов. |
| Управление комментариями | Удаляйте комментарии других пользователей к отчетам. |
| Управление источниками данных | Создание и удаление общих элементов источника данных, просмотр и изменение свойств и содержимого источника данных. |
| Управление папками | Создание, просмотр и удаление папок; просмотр и изменение их свойств. |
| Manage models in the repository (Управление моделями в репозитории) | Создание, просмотр и удаление моделей отчетов; просмотр и изменение свойств моделей. |
| Управление отчетами | Добавление и удаление отчетов, изменение параметров отчета, просмотр и изменение свойств отчета. Также включает в себя просмотр и изменение источников данных, которые предоставляют содержимое отчета, представления и изменения определений отчетов. |
| Управление ресурсами | Создание, просмотр и удаление ресурсов; просмотр и изменение их свойств. |
Настройка роли "Издатель"
Роль Издатель можно изменять в соответствии со своими потребностями. Например, можно удалить задачу "Создать связанные отчеты", если вы не хотите, чтобы пользователи могли создавать и публиковать связанные отчеты. Кроме того, можно добавить задачу "Просмотреть папки", чтобы пользователи могли перемещаться по иерархии папок при выборе расположения для нового элемента.
Пользователям, публикующим отчеты в конструкторе отчетов, как минимум необходима задача «Управление отчетами», позволяющая добавлять отчет на сервер отчетов. Включите параметр "Управление источниками данных" и "Управление ресурсами, если пользователь должен публиковать отчеты, использующие общие источники данных или внешние файлы. Если пользователю необходима возможность создания папки в процессе публикации, следует добавить «Управление папками».
Роль браузера
Роль браузера — это предопределенная роль, которая включает задачи, полезные для пользователя, который просматривает отчеты, но не обязательно создает или управляет ими. Эта роль обеспечивает основные возможности прямого использования сервера отчетов, Без этих задач пользователям может быть трудно использовать сервер отчетов.
Роль Браузер должна использоваться вместе с ролью Системный пользователь . Вместе определения этих двух ролей обеспечивают полный набор задач для пользователей, которые взаимодействуют с элементами на сервере отчетов. Хотя роль браузера предоставляет доступ к отчетам, моделям отчетов, папкам и другим элементам в иерархии папок, он не предоставляет доступ к элементам уровня сайта, таким как общие расписания, которые полезны при создании подписок. По этой причине рекомендуется создавать второе назначение роли на уровне сайта, которое обеспечит доступ к общим расписаниям.
Задачи роли "Браузер"
В следующей таблице описаны задачи роли Браузер:
| Задача | Description |
|---|---|
| Комментарии к отчетам | Создавайте, просматривайте, изменяйте и удаляйте комментарии к отчетам. |
| Управление отдельными подписками | Создание, просмотр, изменение и удаление принадлежащих пользователю подписок на отчеты и связанные отчеты, а также создание расписаний для поддержки этих подписок. |
| Просмотр папок | Просмотр содержимого папки и перемещение по иерархии папок. |
| Просмотр моделей | Просмотр моделей в иерархии папок, использование моделей как источников данных для отчета и выполнение запросов по модели для получения данных. |
| Просмотр отчетов | Запуск отчета и просмотр его свойств. |
| Просмотр ресурсов | Просмотр ресурсов и их свойств. |
Настройка роли "Браузер"
Роль Браузер можно изменить в соответствии с имеющимися потребностями. Например, можно удалить задачу "Управление отдельными подписками", если вы не хотите поддерживать подписки. Кроме того, можно удалить задачу "Просмотреть ресурсы", если пользователи не хотят, чтобы пользователи могли просматривать документацию по обеспечению обеспечения или другие элементы, которые могут быть отправлены на сервер отчетов.
Как минимум, эта роль должна поддерживать задачи «Просмотр отчетов» и «Просмотр папок», чтобы обеспечить просмотр и перемещение между папками. Не следует удалять задачу "Просмотр папок", если вы не хотите исключить навигацию по папкам. Аналогичным образом не следует удалять задачу "Просмотр отчетов", если вы не хотите запретить пользователям просматривать отчеты. Эти виды изменений предполагают определение пользовательской роли, применяемой выборочно к особой группе пользователей.
роль построитель отчетов
Роль построитель отчетов — это предопределенная роль, которая включает задачи для загрузки отчетов в построитель отчетов и просмотра и навигации по иерархии папок. У вас также должно быть назначение системной роли, включающее задачу "Выполнение определений отчетов" для создания и изменения отчетов в построитель отчетов. Эта задача необходима для локальной обработки отчетов в построитель отчетов.
Задачи построителя отчетов
В следующей таблице описаны задачи роли Построитель отчетов:
| Задача | Description |
|---|---|
| Комментарии к отчетам | Создавайте, просматривайте, изменяйте и удаляйте комментарии к отчетам. |
| Использование отчетов | Считывание определений отчетов. |
| Управление отдельными подписками | Создание, просмотр, изменение и удаление принадлежащих пользователю подписок на отчеты и связанные отчеты, а также создание расписаний для поддержки этих подписок. |
| Просмотр папок | Просмотр содержимого папки и перемещение по иерархии папок. |
| Просмотр моделей | Просмотр моделей в иерархии папок, использование моделей как источников данных для отчета и выполнение запросов по модели для получения данных. |
| Просмотр отчетов | Запуск отчета и просмотр его свойств. |
| Просмотр ресурсов | Просмотр ресурсов и их свойств. |
Настройка роли "Построитель отчетов"
Роль Построитель отчетов можно изменить в соответствии со своими потребностями. Рекомендации обычно совпадают с ролью браузера :
- Удалите задачу "Управление отдельными подписками", если вы не хотите поддерживать подписки.
- Удалите задачу "Просмотр ресурсов", если вы не хотите, чтобы пользователи видели ресурсы.
- Сохраните задачу "Просмотр отчетов" и задачи "Просмотр папок" для поддержки просмотра и навигации по папкам.
Наиболее важной задачей в этом определении роли является "Использование отчетов", которая позволяет пользователю загружать определение отчета с сервера отчетов в локальный экземпляр построитель отчетов. Если вы не хотите поддерживать эту задачу, вы можете удалить это определение роли и использовать роль браузера для поддержки общего доступа к серверу отчетов.
Роль "Мои отчеты"
Стандартная роль Мои отчеты включает в себя набор задач, полезных для пользователей, использующих возможность «Мои отчеты». Это определение роли включает в себя задачи, предоставляющие пользователям административные разрешения на папку «Мои отчеты», которой они владеют.
Хотя вы можете выбрать другую роль для использования с функцией "Мои отчеты", вы должны выбрать роль, которая используется исключительно для безопасности "Мои отчеты". Дополнительные сведения см. в разделе Обеспечение безопасности "Моих отчетов".
Задачи роли "Мои отчеты"
Следующая таблица содержит задачи роли Мои отчеты:
| Задача | Description |
|---|---|
| Комментарии к отчетам | Создавайте, просматривайте, изменяйте и удаляйте комментарии к отчетам. |
| Создание связанных отчетов | Создание связанных отчетов, основанных на отчетах, сохраненных в папке пользователя «Мои отчеты». |
| Управление комментариями | Удаляйте комментарии других пользователей к отчетам. |
| Управление источниками данных | Создание и удаление общих элементов источника данных, просмотр и изменение свойств и содержимого источника данных. |
| Управление папками | Создание, просмотр и удаление папок; просмотр и изменение их свойств. |
| Управление отдельными подписками | Создание, просмотр, изменение и удаление подписок для отчетов и связанных отчетов. |
| Управление журналом отчета | Создание, просмотр и удаление журнала отчетов, просмотр свойств журнала отчетов. Также включает в себя параметры просмотра и изменения, определяющие ограничения журнала моментальных снимков и способы кэширования. |
| Управление отчетами | Добавление и удаление отчетов, изменение параметров отчета, просмотр и изменение свойств отчета. Также включает в себя просмотр и изменение источников данных, которые предоставляют содержимое отчета, просматривают и изменяют определения отчетов, а также задают политики безопасности на уровне отчета. |
| Управление ресурсами | Создание, изменение и удаление ресурсов; просмотр и изменение их свойств. |
| Просмотреть источники данных | Просмотр общих элементов источника данных в иерархии папок. |
| Просмотр папок | Просмотр содержимого папок. |
| Просмотр отчетов | Запуск отчетов, сохраненных в папке пользователя «Мои отчеты», и просмотр свойств отчетов. |
| Просмотр ресурсов | Просмотр ресурсов и их свойств. |
Настройка роли "Мои отчеты"
Можно изменять эту роль, чтобы она соответствовала текущим нуждам. Однако необходимо сохранить задачу "Управление отчетами" и задачей "Управление папками", чтобы включить базовое управление содержимым. В дополнение эта роль должна поддерживать все основанные на представлениях задачи, чтобы пользователи могли видеть содержимое папок и запускать управляемые ими отчеты.
Хотя задача "Задать безопасность для отдельных элементов" не является частью определения роли по умолчанию, эту задачу можно добавить в роль "Мои отчеты ", чтобы пользователи могли настраивать параметры безопасности для вложенных папок и отчетов.
Роль системного администратора
Роль Системный администратор является стандартной ролью, которая включает задачи, необходимые администратору сервера отчетов, отвечающему за сервер отчетов в целом, но необязательно за его содержимое.
Чтобы создать назначение роли, включающее эту роль, воспользуйтесь страницей "Параметры сайта" на веб-портале или командами, появляющимися при правом щелчке мышью узла сервера отчетов в среде Management Studio.
Роль system Администратор istrator не передает тот же полный спектр разрешений, которые может иметь локальный администратор на компьютере. Скорее, роль Администратор системы включает операции, которые выполняются на уровне веб-сайта, а не элемента. Для пользователей, которым необходим доступ к операциям уровня веб-сайта и элементам, хранимым на сервере отчетов, создайте второе назначение ролей на корневую папку, включающее роль Диспетчер содержимого . Вместе определения этих двух ролей обеспечивают полный набор задач для пользователей, которым требуется полный доступ ко всем элементам на сервере отчетов.
Задачи роли "Системный администратор"
В следующей таблице приводится список задач роли Системный администратор:
| Задача | Description |
|---|---|
| Выполнение определений отчета | Запуск выполнения определения отчета без публикации на сервере отчетов. |
| Управление заданиями | Просмотр и отмена работающих заданий. Дополнительные сведения см. в разделе "Управление запущенным процессом". |
| Управление свойствами сервера отчетов | Просмотр и изменение свойств, относящихся к серверу отчетов и к элементам, которыми управляет сервер отчетов. Эта задача позволяет переименовывать веб-портал, включать "Мои отчеты" и устанавливать настройки журнала отчета по умолчанию. |
| Управление безопасностью сервера отчетов | Просмотр и изменение назначений ролей в масштабе системы |
| Управление ролями | Создание, просмотр, изменение и удаление определений ролей. Члены роли Системный администратор могут управлять ролями через страницу «Настройки сайта». |
| Управление общими расписаниями | Создание, просмотр, изменение и удаление общих расписаний, используемых для выполнения или обновления отчетов. |
Роль Системный администратор используется в настройках безопасности по умолчанию.
Роль системного пользователя
Пользователь системы — это стандартная роль, которая содержит задачи, позволяющие пользователям просматривать основные сведения о сервере отчетов. Кроме того, эта роль поддерживает выгрузку отчетов в построитель отчетов. Построитель отчетов — это клиентское приложение, которое может обрабатывать отчеты независимо от сервера отчетов. Задача «Выполнение определений отчета» предназначена для использования в построителе отчетов. Если вы не используете построитель отчетов, эту задачу можно удалить из роли системного пользователя .
В следующей таблице перечислены задачи, включенные в определение роли Пользователь системы:
Задачи системного пользователя
| Задача | Description |
|---|---|
| Выполнение определений отчета | Запуск отчета без публикации на сервере отчетов. |
| Просмотр свойств сервера отчетов | Просмотр таких свойств сервера отчетов, как имя приложения, состояние параметра "Мои отчеты", а также параметров по умолчанию для журнала отчета. Если удалить эту задачу из роли "Системный пользователь", страница Параметры сайта недоступна. Кроме того, название приложения не отображается в верхней части каждой страницы. По умолчанию на веб-портале используется заголовок "SQL Server Reporting Services". |
| Просмотр общих расписаний | Просмотр общих расписаний, по которым запускаются отчеты или их обновления. Если удалить эту задачу из роли системного пользователя , пользователи не могут выбирать общие расписания для использования с подписками и другими запланированными операциями. |
Роль System User можно использовать в качестве дополнения к мерам безопасности по умолчанию. Можно включать эту роль в новые назначения ролей, позволяющие пользователям отчетов получить доступ к серверу отчетов. Дополнительные сведения см. в статье Предоставление разрешений на сервер отчетов в собственном режиме.
Связанный контент
Создание, удаление и изменение ролей (среда Management Studio)
Предоставление пользователям доступа к серверу отчетов
Изменение или удаление назначения ролей (веб-портал SSRS)
Предоставление разрешений на сервер отчетов в собственном режиме
Задачи и разрешения f
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по