Compartir a través de

Concesión de permisos de base de datos (Analysis Services)

Si se está aproximando a la administración de bases de datos de Analysis Services con una experiencia en bases de datos relacionales, lo primero que debe comprender es que, en términos de acceso a datos, la base de datos no es el principal objeto de seguridad en Analysis Services.

La estructura de consulta principal de Analysis Services es un cubo (o un modelo tabular), con permisos de usuario establecidos en esos objetos concretos. En contraste con el motor de base de datos relacional, donde las credenciales de la base de datos y los permisos de usuario (a menudo db_datareader) se establecen en la propia base de datos, una base de datos de Analysis Services es principalmente un contenedor para los objetos de consulta principales de un modelo de datos. Si el objetivo inmediato es habilitar el acceso a datos para un modelo tabular o cubo, puede omitir los permisos de base de datos por ahora y ir directamente a este tema: Conceder permisos de cubo o modelo (Analysis Services) .

Los permisos de base de datos de Analysis Services habilitan funciones administrativas; en general, como sucede con el permiso de base de datos Control total, o de una naturaleza más granular si va a delegar operaciones de procesamiento. Los niveles de permisos para una base de datos de Analysis Services se especifican en el panel General del cuadro de diálogo Crear rol , que se muestra en la ilustración siguiente y se describe a continuación.

No hay inicios de sesión en Analysis Services. Solo tiene que crear roles y asignar cuentas de Windows en el panel Pertenencia . Todos los usuarios, incluidos los administradores, se conectan a Analysis Services mediante una cuenta de Windows.

Cuadro de diálogo de creación de roles mostrando los permisos de la base de datos

Hay tres tipos de permisos especificados en el nivel de base de datos.

Control total (administrador) ─ Control total es un permiso integral que transmite amplios poderes sobre una base de datos de Analysis Services, como la capacidad de consultar o procesar cualquier objeto dentro de la base de datos y administrar la seguridad de roles. Control total es sinónimo de estado de administrador de base de datos. Al seleccionar Full Control, también se seleccionan los Process Database permisos y Read Definition y no se pueden quitar.

Nota:

Los administradores de servidores (miembros del rol Administrador del servidor) también tienen control total implícito sobre todas las bases de datos del servidor.

Process Database — Este permiso se usa para delegar el procesamiento en el nivel de base de datos. Como administrador, puede descargar esta tarea mediante la creación de un rol que permita a otra persona o servicio invocar operaciones de procesamiento para cualquier objeto de la base de datos. Como alternativa, también puede crear roles que habilitan el procesamiento en objetos específicos. Para obtener más información, consulte Concesión de permisos de proceso (Analysis Services).

Read Definition : este permiso concede la capacidad de leer metadatos de objeto, menos la capacidad de ver los datos asociados. Normalmente, este permiso se usa en roles creados para el procesamiento dedicado, agregando la capacidad de usar herramientas como SQL Server Data Tools o SQL Server Management Studio para procesar una base de datos de forma interactiva. Sin Read Definition, el permiso Process Database solo es válido en escenarios con scripts. Si planea automatizar el procesamiento, quizás a través de SSIS u otro planificador, probablemente quiera crear un rol que tenga Process Database sin Read Definition. De lo contrario, considere la posibilidad de combinar las dos propiedades en el mismo rol para admitir el procesamiento desatendido e interactivo a través de herramientas de SQL Server que visualizan el modelo de datos en una interfaz de usuario.

Permisos de control total (administrador)

En Analysis Services, un administrador de bases de datos es cualquier identidad de usuario de Windows asignada a un rol que incluya permisos de control total (administrador). Un administrador de bases de datos puede realizar cualquier tarea dentro de la base de datos, entre las que se incluyen:

  • Procesar objetos

  • Leer datos y metadatos para todos los objetos de la base de datos, incluidos cubos, dimensiones, grupos de medida, perspectivas y modelos de minería de datos

  • Crear o modificar roles de base de datos mediante la adición de usuarios o permisos, incluida la adición de usuarios a roles que también tienen permisos de Control total

  • Eliminación de roles de base de datos o pertenencia a roles

  • Registre ensamblados (o procedimientos almacenados) para la base de datos.

Tenga en cuenta que un administrador de bases de datos no puede agregar ni eliminar bases de datos en el servidor o conceder derechos de administrador a otras bases de datos en el mismo servidor. Ese privilegio pertenece solo a los administradores del servidor. Consulte Conceder permisos de administrador del servidor (Analysis Services) para obtener más información sobre este nivel de permisos.

Dado que todos los roles están definidos por el usuario, se recomienda crear un rol dedicado para este propósito (por ejemplo, un rol denominado "dbadmin") y, a continuación, asignar cuentas de usuario y grupo de Windows en consecuencia.

Creación de roles en SSMS

  1. En SQL Server Management Studio, conéctese a la instancia de Analysis Services, abra la carpeta Bases de datos, seleccione una base de datos y haga clic con el botón derecho en Roles | Nuevo rol.

  2. En el panel General , escriba un nombre, como DBAdmin.

  3. Active la casilla Control total (administrador) del cubo. Observe que Process Database y Read Definition se seleccionan automáticamente. Ambos permisos siempre se incluyen en roles que incluyen Full Control.

  4. En el panel Pertenencia , escriba las cuentas de usuario y grupo de Windows que se conectan a Analysis Services con este rol.

  5. Haga clic en Aceptar para terminar de crear el rol.

Procesar base de datos

Al definir un rol que concede permisos de base de datos, puede omitir Full Control y elegir solo Process Database. Este permiso, establecido en el nivel de base de datos, permite el procesamiento en todos los objetos de la base de datos. Consulte Otorgar permisos de proceso (Analysis Services)

Leer definición

Al igual que Process Database, establecer Read Definition permisos en el nivel de base de datos tiene un efecto en cascada en otros objetos de la base de datos. Si desea establecer permisos de Definición de lectura en un nivel más granular, debe desmarcar Definición de lectura como una propiedad de base de datos en la pestaña General. Consulte Concesión de permisos de definición de lectura en metadatos de objeto (Analysis Services) para obtener más información.

Véase también

Conceder permisos de administrador del servidor (Analysis Services)Conceder permisos de proceso (Analysis Services)

  • Last updated on