Monitoring Server 应用程序池帐户

更新: 2009-04-30

Monitoring Server 应用程序进程以应用程序池标识配置指定的帐户运行。

除了内置的 Local System、Local Service 和 Network Service 帐户,还可以指定本地或网络帐户。该帐户需要具有对应用数据库和全部所需数据源的访问权限。如果将服务器配置为“根据用户身份验证连接”,这意味着使用单个最终用户的凭据进行身份验证,此时应用程序池帐户只需要具有对应用数据库的访问权限。但是,必须向所有用户授予对任何数据源的访问权限。

只要可能,就应使用具有低特权的域帐户运行 监控服务器。除了应用程序所需的资源之外,该标识不应具有对任何其他资源的访问权限。

Monitoring Server 应用程序池标识在 监控服务器配置管理器指定的帐户下运行。应使用同一帐户设置在其下运行 SharePoint 网站的应用程序池标识。但是,监控服务器配置管理器不会更改当前设置,应由用户手动更改此设置。我们建议将域帐户用作应用程序池标识。应仅将该域帐户分配给已安装 监控服务器 的计算机上的 IIS_WPG 组。

监控服务器配置管理器支持指定域帐户,这是建议的部署。监控服务器配置管理器还支持指定内置帐户。监控服务器配置管理器会自动向所选帐户分配对应用数据库中存储的元数据的访问权限。默认情况下,需要手动向此帐户分配对计划使用的每个数据源的权限。

数据源身份验证

Monitoring Server 数据源通常要求 Monitoring Server 通过身份验证才能访问数据。默认情况下,Monitoring Server 始终使用应用程序池标识来连接到任何数据源,但仅有允许管理员指定连接字符串(包含访问凭据)的数据源例外。在 仪表板设计器 中,用于创建 SQL Server 2005 Analysis Services 数据源的向导允许您指定一组角色以保护到 Analysis Services 的连接。

以单个用户向数据源进行身份验证可能不足以控制对组织的业务数据的访问。监控服务器 提供了两个选项以更好地进行访问控制。

第一个选项是使用 Analysis Services 连接字符串中的 CustomData 字段。监控服务器 可以将向服务器进行身份验证的帐户的域名和用户名指定为连接字符串的 CustomData。然后,可以将 Analysis Services 配置为根据包含 监控服务器 所提供用户名的字符串来限制访问。

第二个选项是通过在 Web.config 文件中启用 Bpm.ServerConnectionPerUser 属性以使 监控服务器 支持 Kerberos 委派。委派可向任何已注册的数据源提供当前经过身份验证的用户的模拟令牌。使用 Kerberos 委派时,每个用户都需要具有对该数据源的访问权限。这种每用户数据源访问权限必须同时在 监控服务器 和用户将连接到的服务中注册。这种方法的优点在于您可以使用适用于每个已注册数据源的应用程序安全模型。

分析报表和数据源安全

支持在 Analysis Services 报表上导航使用户能够了解静态报表所传达的信息以外的业务情况。编辑角色成员和读者角色成员的报表级安全设置使用户可以和一组特定人群共享相关数据。对分析报表的编辑角色或读者角色权限不会阻止用户查看预期视图允许的范围以外的数据。在这种情况下,数据源的安全设置是限制对多维数据集数据的访问的唯一方法。如果用户有权访问引用 Analysis Services OLAP 多维数据集的数据源,则除非在 Analysis Services 中限制访问权限,否则该用户可以查看该多维数据集中的所有数据。默认情况下,监控服务器 以单个用户身份连接所有数据源。

数据源连接字符串

监控服务器 使用户能够为许多支持的数据源类型指定自己的连接字符串。如果您选择将一组凭据指定为连接字符串的一部分,则需要注意这些凭据不会加密并可直接存储在任何有权访问该数据源的用户的工作区中。

警告小心:

我们建议您不要将凭据指定为连接字符串的一部分。

部署 SharePoint 产品和技术

我们建议 Monitoring Server 应用程序池标识帐户与 Monitoring Server 网站相匹配。这样可确保在使用默认配置时,报表和记分卡在同一用户上下文中执行。如果您选择使用 Bpm.ServerConnectionPerUser 属性,我们仍然建议您简化 Kerberos 的配置。请注意,运行 SharePoint 产品和技术部署的过程将具有 Monitoring Server 元数据存储库的访问权限。请确保该部署对可发布内容的用户进行限制,因为这些用户也许能够访问 Monitoring Server 数据。

IIS 配置

除了配置应用程序池标识和 Web.config 文件之外,还必须为所有相关网站启用 SSL 以进一步保护 Monitoring Server。我们不建议使用集成 Windows 身份验证以外的任何其他方法,也不建议使用非默认端口。我们建议您使用集成 Windows 身份验证和默认端口。