Choix du compte d'ouverture de session
Vous pouvez choisir d'exécuter une instance de Microsoft SQL Server 2005 Analysis Services (SSAS) dans le contexte de sécurité d'un grand nombre de comptes différents. Toutefois, il est recommandé d'utiliser un compte de domaine ou un compte d'utilisateur local comme compte d'ouverture de session pour Analysis Services. Vous utilisez un compte de domaine ou un compte d'utilisateur local selon que Analysis Services doit se connecter ou non aux ressources réseau, comme indiqué ci-dessous :
- Si Analysis Services doit se connecter aux ressources réseau dans le contexte de sécurité de son compte d'ouverture de session, exécutez l'instance Analysis Services dans le contexte de sécurité d'un compte d'utilisateur de domaine dédié.
- Si Analysis Services ne doit pas se connecter aux ressources réseau dans le contexte de sécurité de son compte d'ouverture de session, exécutez l'instance Analysis Services dans le contexte de sécurité d'un compte d'utilisateur local ou d'un compte d'utilisateur de domaine.
Après avoir sélectionné un compte d'ouverture de session, il est recommandé de ne pas utiliser le compte d'ouverture de session à d'autres fins. La limitation de l'utilisation du compte d'ouverture de session permet de protéger le chiffrement des chaînes et des mots de passe de connexion.
Utilisation d'un compte d'utilisateur de domaine dédié comme compte d'ouverture de session
Un compte d'utilisateur de domaine est un compte d'utilisateur créé dans le service d'annuaire Active Directory. Ce compte est membre du groupe des utilisateurs authentifiés du domaine. Un service exécuté dans le contexte de sécurité d'un compte d'utilisateur de domaine présente le ticket Kerberos du compte d'utilisateur de domaine aux serveurs distants. Un service exécuté dans le contexte de sécurité d'un compte d'utilisateur de domaine peut accéder aux ressources du serveur distant sur lequel les utilisateurs authentifiés ou le compte d'utilisateur dispose d'autorisations d'accès.
Utilisation d'un compte d'utilisateur local comme compte d'ouverture de session
Un compte d'utilisateur local est un compte d'utilisateur Windows créé sur l'ordinateur local. Un service exécuté dans le contexte de sécurité d'un compte d'utilisateur local présente le jeton d'accès du compte d'utilisateur local aux serveurs distants. Si un nom d'utilisateur et un mot de passe correspondants sont définis sur le serveur distant, un service qui utilise un compte d'utilisateur local peut accéder aux ressources du serveur distant sur lequel le compte portant le même nom dispose d'autorisations. Bien que ce scénario fonctionne, l'existence de ces deux comptes séparés et la synchronisation de leur mot de passe augmentent les tâches de gestion.
Utilisation d'autres comptes comme compte d'ouverture de session
Outre un compte d'utilisateur de domaine dédié et un compte d'utilisateur local, vous pouvez exécuter une instance Analysis Services dans le contexte des comptes suivants :
- Système local
Il s'agit d'un compte local prédéfini qui dispose de droits d'administration sur l'ordinateur local. Un service exécuté dans le contexte de sécurité du compte Système local présente les informations d'identification de l'ordinateur local aux serveurs distants. Un service exécuté dans le contexte de sécurité du compte Système local ne peut pas établir une session authentifiée, car le compte Système local n'appartient pas au groupe Tout le monde du domaine. Par conséquent, un service qui utilise ce compte peut accéder uniquement aux ressources réseau en utilisant une session NULL.
- LocalService
Il s'agit d'un compte local prédéfini qui dispose de droits d'utilisateur authentifié sur l'ordinateur local. Un service exécuté dans le contexte de sécurité du compte LocalService présente des informations d'identification anonymes aux serveurs distants. Par conséquent, un service qui utilise ce compte peut accéder uniquement aux ressources réseau qui autorisent les accès anonymes.
- NetworkService
Il s'agit d'un compte local prédéfini qui dispose de droits d'utilisateur authentifié sur l'ordinateur local. Un service exécuté dans le contexte de sécurité du compte NetworkService présente les informations d'identification de l'ordinateur local aux serveurs distants comme utilisateur authentifié, c'est-à-dire un utilisateur membre du groupe Tout le monde du domaine. Par conséquent, un service qui utilise ce compte peut accéder aux ressources du serveur distant sur lequel les utilisateurs authentifiés disposent d'autorisations d'accès. Pour permettre à un service qui utilise ce compte d'accéder à une ressource distante, vous pouvez ajouter le nom du serveur qui exécute Analysis Services à la ressource distante.
Lorsque les comptes de la liste précédente, ou tout autre compte, sont utilisés, la meilleure pratique de sécurité consiste à exécuter Analysis Services dans le contexte de sécurité d'un compte qui dispose d'un nombre de droits réduit au minimum. Le compte Système local est adapté à l'environnement de développement, mais ce compte d'administration n'est pas recommandé pour l'environnement de production, car il dispose d'un trop grand nombre de droits. Les comptes LocalService et NetworkService ne sont pas non plus recommandés. Bien que ces comptes puissent être utilisés comme comptes d'ouverture de session de service ayant des droits minimaux, ils ne sont pas recommandés pour Analysis Services, car les chaînes et les mots de passe de connexion chiffrés Analysis Services peuvent être déchiffrés par le compte d'ouverture de session Analysis Services. Ceci implique qu'un autre service Windows exécuté sous le même compte d'ouverture de session que Analysis Services peut déchiffrer ces chaînes et ces mots de passe de connexion.
Définition du compte d'ouverture de session Analysis Services
Après avoir déterminé le contexte de compte d'ouverture de session à utiliser, vous définissez le compte d'ouverture de session lors de la configuration dans la page Compte de service. Le processus de configuration accorde au compte d'ouverture de session spécifié tous les droits nécessaires sur l'ordinateur local, notamment :
- Outrepasser le contrôle de parcours
- Création d'objets-jetons
- Génération d'un audit de sécurité
- Verrouillage des pages en mémoire
- Remplacement d'un jeton de niveau processus
Le compte d'ouverture de session Analysis Services reçoit également les autorisations de contrôle total NTFS sur tous les fichiers de l'instance Analysis Services. Les droits nécessaires sur les serveurs distants, sur les sources de données, par exemple, doivent être accordés spécifiquement au compte d'ouverture de session.
Remarque : |
---|
Le compte d'ouverture de session Analysis Services n'est pas autorisé à se connecter à une instance Analysis Services, bien qu'il dispose d'un accès Contrôle total sur tous les fichiers dans l'instance Analysis Services. |
Voir aussi
Concepts
Octroi au compte d'ouverture de session de droits d'accès aux ressources réseau
Octroi de droits supplémentaires pour certaines tâches