预定义角色
Reporting Services 中安装了预定义角色,您可以使用它们授予对报表服务器操作的访问权限。 每个预定义角色都描述了一个相关任务的集合。 可以向预定义角色分配组帐户和用户帐户,以提供对报表服务器操作的立即访问。
如何使用预定义角色
检查预定义角色,以确定是否可以按原样使用它们。 如果需要调整任务或额外定义角色,应该在开始向用户分配特定角色之前执行这些操作。
明确需要访问报表服务器的用户和组以及访问级别。 应该为大多数用户分配**“浏览者”角色或“报表生成者”角色。 应该为少量用户分配“发布者”角色。 应该只为极少数用户分配“内容管理员”**角色。
准备好向用户帐户和组帐户分配特定角色后,请使用报表管理器。 有关详细信息,请参阅授予用户对报表服务器的访问权限(报表管理器)。
预定义角色定义
预定义角色都由其所支持的任务定义。 您可以修改这些角色,也可以用自定义角色替换它们。
“作用域”定义了使用角色的边界。 项级角色提供对报表服务器项和影响这些项的操作的不同等级访问。 对根节点(主文件夹)和整个报表服务器文件夹层次结构中的所有项可以定义项级角色。 系统级角色授予站点级别的访问权限。 项级角色和系统级角色是互斥的,但是可共同用来提供对报表服务器内容和操作的丰富权限。
下表对预定义角色、作用域以及如何使用进行了说明。
预定义角色 |
范围 |
说明 |
|---|---|---|
“内容管理员”角色 |
项 |
包含所有项级任务。 分配了此角色的用户具有管理报表服务器内容的完全权限,这些权限包括向其他用户授予权限以及定义用于存储报表和其他项的文件夹结构。 |
“发布者”角色 |
项 |
分配了此角色的用户可以向报表服务器添加项,包括能够创建和管理包含这些项的文件夹。 |
“浏览者”角色 |
项 |
分配了此角色的用户可以运行报表、订阅报表和在文件夹结构中导航。 |
“报表生成者”角色 |
项 |
分配了此角色的用户可以在报表生成器中创建和编辑报表。 |
“我的报表”角色 |
项 |
分配了此角色的用户可以管理用于存储和使用报表和其他项的个人工作区。 |
“系统管理员”角色 |
系统 |
分配了此角色的用户可以启用功能并设置默认值、设置站点范围的安全性、在 Management Studio 中创建角色定义以及管理作业。 |
“系统用户”角色 |
系统 |
分配了此角色的用户可以查看有关报表服务器的基本信息,例如某个共享计划中的计划信息。 |
“内容管理员”角色
“内容管理员”角色是一种预定义角色,它包含用户用来管理报表和 Web 内容的任务,但不一定包含用来制作报表或管理 Web 服务器或 SQL Server 实例的任务。 内容管理员可部署报表、管理报表模型和数据源连接,并制定有关如何使用报表的决策。 默认情况下,“内容管理员”角色定义将选中所有项级任务。
“内容管理员”角色通常与“系统管理员”角色一起使用。 这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。 虽然“内容管理员”角色提供对报表、报表模型、文件夹及文件夹层次结构中其他项的完全访问权限,但它不提供对站点级项或操作的访问权限。 创建和管理共享计划、设置服务器属性和管理角色定义之类的任务是系统级任务,这些任务包含在“系统管理员”角色中。 因此,建议您在站点级创建另一个角色分配以提供对共享计划的访问权限。
.gif "用于“返回首页”链接的箭头图标")
List of Role Definitions
内容管理员任务
下表列出了“内容管理员”角色中包含的任务:
任务 |
说明 |
|---|---|
使用报表 |
读取报表定义。 |
创建链接报表 |
创建基于非链接报表的链接报表。 |
管理所有订阅 |
查看、修改和删除报表和链接报表的所有订阅,而不论拥有此订阅的为何人。 此任务还支持创建数据驱动订阅。 |
管理数据源 |
创建和删除共享数据源项,以及查看和修改数据源的属性及内容。 |
管理文件夹 |
创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
管理模型 |
创建、查看和删除模型,以及查看和修改模型属性。 |
管理单独的订阅 |
创建、查看、修改和删除用户拥有的对报表和链接报表的订阅。 |
管理报表历史记录 |
创建、查看和删除报表历史记录,查看报表历史记录的属性,以及查看和修改确定快照历史记录限值以及缓存工作方式的设置。 |
管理报表 |
添加和删除报表,修改报表参数,查看和修改报表属性,查看和修改为报表提供内容的数据源,查看和修改报表定义,以及设置报表级安全策略。 |
管理资源 |
创建、修改和删除资源,以及查看和修改资源属性。 |
设置项的安全策略 |
定义报表、链接报表、文件夹、资源和数据源的安全策略。 有关详细信息,请参阅安全对象。 |
查看数据源 |
查看文件夹层次结构中的共享数据源项。 |
查看报表 |
运行报表和查看报表属性。 |
查看模型 |
在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
查看资源 |
查看资源和资源属性。 |
查看文件夹 |
查看文件夹内容以及在文件夹层次结构中导航。 |
List of Role Definitions
自定义“内容管理员”角色
此角色适用于全面负责管理和维护报表服务器内容的可信用户。 您可以删除此定义中的任务,但这样做可能会导致要管理的内容不明确。 例如,如果删除此角色定义中的“查看报表”任务,“内容管理员”将无法查看报表内容,因而无法验证对参数和凭据设置所做的更改。
“内容管理员”角色在默认安全性中使用。 有关详细信息,请参阅预定义角色。
“发布者”角色
“发布者”角色是一种内置的角色定义,包含用户向报表服务器添加内容时所需的任务。 预定义此角色的目的是为了便于使用。 创建包括此角色的角色分配之后,才能使用此角色。 此角色适用于在报表设计器或模型设计器中制作报表或模型,然后将这些项发布到报表服务器。
.gif "注意事项") 注意 |
|---|
应当仅向受信任的用户授予将项发布到报表服务器的权限。 “发布者”角色可授予广泛的权限,允许用户将任何类型的文件上载到报表服务器。 如果上载的报表或 HTML 文件包含恶意脚本,则在报表或 HTML 文档中单击的任何用户都将在其凭据下运行该脚本。 |
报表定义可以包括在运行时以 HTML 格式呈现报表时容易受到 HTML 注入攻击的脚本和其他元素。 如果已发布的报表包含恶意脚本,则运行该报表的任何用户都会在打开该报表时意外导致该脚本运行。 如果用户具有提升权限,则脚本将使用这些权限运行。
若要降低用户意外运行恶意脚本的风险,请限制有权发布内容的用户数目,并确保用户仅发布来自受信任源的文档和报表。 如果您不确定报表定义的发布是否安全,则应该在文本编辑器中打开 .rdl 文件并搜索脚本标签。 恶意脚本可以隐藏在表达式和 URL(例如,导航操作中的 URL)中。
List of Role Definitions
发布者任务
下表列出了“发布者”角色包含的任务。
任务 |
说明 |
|---|---|
创建链接报表 |
创建链接报表,并将其发布到报表服务器文件夹中。 |
管理数据源 |
创建和删除共享数据源项,以及查看和修改数据源的属性和内容。 |
管理文件夹 |
创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
管理报表 |
添加和删除报表,修改报表参数,查看和修改报表属性,查看和修改为报表提供内容的数据源,查看和修改报表定义,以及设置报表级安全策略。 |
管理模型 |
创建、查看和删除报表模型,以及查看和修改报表模型属性。 |
管理资源 |
创建、修改和删除资源,以及查看和修改资源属性。 |
List of Role Definitions
自定义“发布者”角色
您可以修改“发布者”角色,以满足您的需要。 例如,如果您不希望用户具有创建和发布链接报表的权限,则可以删除“创建链接报表”任务;您也可以添加“查看文件夹”任务,以便用户在为新项选择位置时可以在整个文件夹层次结构中导航。
从报表设计器发布报表的用户至少需要“管理报表”任务才能将报表添加到报表服务器。 如果用户必须发布使用共享数据源或外部文件的报表,则还应该包含“管理数据源”和“管理资源”任务。如果还需要用户能够在发布过程中创建文件夹,则还必须包含“管理文件夹”任务。
List of Role Definitions
“浏览者”角色
“浏览者”角色是一种预定义角色,对于需要查看报表但不需要创建或管理报表的用户,该角色包含了此类用户所需的任务。 此角色提供了通常使用报表服务器实现的基本功能。 如果没有这些任务,用户使用报表服务器时可能会比较困难。
“浏览者”角色应该与“系统用户”角色一起使用。 这两种角色定义共同为与报表服务器上的项进行交互的用户提供完整的任务集。 虽然“浏览者”角色提供对报表、报表模型、文件夹及文件夹层次结构中其他项的查看访问权限,但它不提供对站点级项(例如共享计划)的访问权限,在创建订阅时这些项将很有用。 因此,建议您在站点级创建另一个角色分配以提供对共享计划的访问权限。
浏览者任务
下表对“浏览者”角色定义中所包含的任务进行了说明。
任务 |
说明 |
|---|---|
查看报表 |
运行报表和查看报表属性。 |
查看资源 |
查看资源和资源属性。 |
查看文件夹 |
查看文件夹内容以及在文件夹层次结构中导航。 |
查看模型 |
在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
管理单独的订阅 |
创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅,以及创建支持这些订阅的计划。 |
List of Role Definitions
自定义“浏览者”角色
您可以修改“浏览者”角色以满足您的需要。 例如,如果不想支持订阅,则可以删除“管理单独的订阅”任务,或者如果不希望用户看到可能会上载到报表服务器的附属文档或其他项,则可以删除“查看资源”任务。
此角色至少应包含“查看报表”任务和“查看文件夹”任务,以支持查看和文件夹导航。 除非要取消文件夹导航,否则不应删除“查看文件夹”任务。 同样,除非要禁止用户查看报表,否则不应删除“查看报表”任务。 进行此类修改时,建议使用自定义角色定义,然后有选择性地将其应用于特定的用户组。
List of Role Definitions
“报表生成者”角色
“报表生成者”角色是一种预定义角色,它包括在报表生成器中加载报表以及查看和导航文件夹层次结构所需的任务。 若要在报表生成器中创建和修改报表,还必须具有包括“执行报表定义”任务的系统角色分配,这是在报表生成器中本地处理报表所必需的。
报表生成者任务
下表对“报表生成者”角色定义中所包含的任务进行了说明。
任务 |
说明 |
|---|---|
使用报表 |
读取报表定义。 |
查看报表 |
运行报表和查看报表属性。 |
查看资源 |
查看资源和资源属性。 |
查看文件夹 |
查看文件夹内容以及在文件夹层次结构中导航。 |
查看模型 |
在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
管理单独的订阅 |
创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅,以及创建支持这些订阅的计划。 |
List of Role Definitions
自定义“报表生成者”角色
您可以修改“报表生成者”角色以满足您的需要。 通常,其建议与“浏览者”角色相同:如果不想支持订阅,则可以删除“管理各个订阅”任务;如果不希望用户查看资源,则可以删除“查看资源”任务;保留“查看报表”任务和“查看文件夹”任务以支持查看和文件夹导航。
此角色定义中最重要的任务是“使用报表”,该任务允许用户将报表定义从报表服务器加载到本地报表生成器实例中。 如果不希望支持此任务,可以删除此角色定义,并使用“浏览者”角色来支持对报表服务器的常规访问。
List of Role Definitions
“我的报表”角色
“我的报表”角色是一个预定义角色,其中包括的一组任务对用户使用“我的报表”功能十分有用。 利用此角色定义包括的任务,可以向用户授予对其所拥有的“我的报表”文件夹的管理权限。
虽然您可以选择其他角色来使用“我的报表”功能,但建议您专门通过一个角色来使用该功能,以保证“我的报表”的安全性。 有关详细信息,请参阅保护“我的报表”。
List of Role Definitions
“我的报表”任务
下表列出了“我的报表”角色中包括的任务:
任务 |
说明 |
|---|---|
创建链接报表 |
创建基于用户的“我的报表”文件夹中所存储报表的链接报表。 |
管理文件夹 |
创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
管理数据源 |
创建和删除共享数据源项,以及查看和修改数据源的属性及内容。 |
管理单独的订阅 |
创建、查看、修改和删除报表及链接报表的订阅。 |
管理报表 |
添加和删除报表,修改报表参数,查看和修改报表属性,查看和修改为报表提供内容的数据源,查看和修改报表定义,以及设置报表级安全策略。 |
管理资源 |
创建、修改和删除资源,以及查看和修改资源属性。 |
查看报表 |
运行用户的“我的报表”文件夹中存储的报表并查看报表属性。 |
查看数据源 |
查看文件夹层次结构中的共享数据源项。 |
查看资源 |
查看资源和资源属性。 |
查看文件夹 |
查看文件夹内容。 |
List of Role Definitions
自定义“我的报表”角色
您可以修改此角色,以满足您的需求。 不过,建议您保留“管理报表”任务和“管理文件夹”任务,以实现基本的内容管理。 此外,此角色还应该支持所有基于视图的任务,这样,用户就可以查看文件夹内容并运行所管理的报表。
虽然在默认情况下“设置各项的安全策略”任务不属于该角色定义,但您可以将此任务添加到“我的报表”角色中,这样,用户就可以自定义子文件夹和报表的安全设置。
List of Role Definitions
“系统管理员”角色
“系统管理员”角色是一种预定义角色。对于对报表服务器全面负责、但不必对其中的内容全面负责的报表服务器管理员来说,该角色中所包含的任务非常有用。
若要创建包含此角色的角色分配,请使用报表管理器中的“站点设置”页,或在 Management Studio 中右键单击报表服务器节点并选择相应命令。
“系统管理员”角色不提供本地管理员可能拥有的对计算机的全部权限。 确切地说,“系统管理员”角色包含了在站点级而非项级所执行的操作。 如果用户既需要访问整个站点的操作,又需要访问存储在报表服务器上的项,则需要在主文件夹上再创建一个包含“内容管理员”角色的角色分配。 这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。
List of Role Definitions
系统管理员任务
下表列出了“系统管理员”角色中包含的任务。
任务 |
说明 |
|---|---|
执行报表定义 |
开始执行报表定义,而不将定义发布到报表服务器。 |
管理作业 |
查看和取消正在运行的作业。 有关详细信息,请参阅管理运行中的进程。 |
管理报表服务器属性 |
查看和修改应用于报表服务器及其所管理的项的属性。 该任务支持重命名报表管理器、启用“我的报表”以及设置报表历史默认值。 |
管理角色 |
创建、查看、修改和删除角色定义。 “系统管理员”角色的成员可以使用“站点设置”页来管理角色。 |
管理共享计划 |
创建、查看、修改和删除用于运行或刷新报表的共享计划。 |
管理报表服务器安全性 |
查看和修改系统范围内的角色分配 |
“系统管理员”角色在默认安全性中使用。 有关详细信息,请参阅预定义角色。
List of Role Definitions
“系统用户”角色
“系统用户”角色是一种预定义角色,该角色包含的任务允许用户查看有关报表服务器的基本信息。 该角色还支持在报表生成器中加载报表。 报表生成器是可以独立于报表服务器进行报表处理的客户端应用程序。 “执行报表定义”任务适用于报表生成器。 如果不使用报表生成器,也可以从“系统用户”角色中删除此任务。 下表列出了“系统用户”角色定义中包含的任务。
List of Role Definitions
系统用户任务
任务 |
说明 |
|---|---|
执行报表定义 |
运行报表但不将其发布到报表服务器。 |
查看报表服务器属性 |
查看应用于报表服务器的属性,如应用程序名称,是否启用“我的报表”功能以及报表历史记录默认值。 如果从“系统用户”角色中删除此任务,将无法访问“站点设置”页。 而且,在每页的顶部也不显示应用程序标题。 默认情况下,报表管理器的标题是“SQL Server Reporting Services”。 |
查看共享计划 |
查看用于运行报表或刷新报表的共享计划。 如果从“系统用户”角色中删除此任务,用户将不能选择用于订阅和其他计划操作的共享计划。 |
“系统用户”角色可用作对默认安全性的补充。 在用来向报表用户扩展报表服务器访问权限的新角色分配中,您可以加入此角色。 有关详细信息,请参阅预定义角色。
List of Role Definitions
请参阅
任务
创建、删除或修改角色 (Management Studio)