在 Reporting Services中,“角色分配” 确定对报表服务器上的存储项和报表服务器自身的访问权限。 角色分配由以下几部分组成:
要控制其访问权限的安全对象。 安全对象的示例包括文件夹、报表和资源。
可由 Windows 安全性或其他身份验证机制进行身份验证的用户或组帐户。
定义一组任务的角色定义。 角色定义的示例包括 系统管理员、 内容管理器和 发布服务器。
角色分配在文件夹层次结构中继承。 为文件夹定义的角色分配由该文件夹中包含的所有报表、共享数据源、资源和子文件夹自动继承。 您可以通过为各项分别定义角色分配来覆盖继承的安全性。 文件夹层次结构的所有部分都必须由至少一个角色分配进行保护。 不能以生成不安全项的方式创建不安全的项或作设置。
下图显示了一个角色分配,它将一个组和一个特定用户映射到文件夹 B 的“发布者” 角色:
角色分配关系图
System-Level 和 Item-Level 角色分配
Reporting Services 中基于角色的安全性归为以下级别:
项级角色分配控制对报表服务器文件夹层次结构中报表、文件夹、报表模型、共享数据源和资源的访问权限。 在特定项目或首页文件夹上创建角色分配时,定义项目级别角色分配。
系统角色分配授权在整个服务器范围内的操作(例如,能够管理作业的能力是系统级操作)。 系统角色分配与系统管理员不相等。 它不会授予完全控制报表服务器的高级权限。
系统角色分配不授权访问文件夹层次结构中的项目。 系统安全性和项安全性是互斥的。 对于任何给定的用户或组,可能需要创建系统级角色分配和项级角色分配,以提供对报表服务器的足够访问权限。
角色分配中的用户与组
您在角色分配中指定的用户帐户或组帐户都是域帐户。 报表服务器引用但不创建或管理Microsoft Windows 域的用户和组(如果使用自定义安全扩展插件,则为另一个安全模型)。
在应用于任何给定项的所有角色分配中,任意两个角色分配所指定的用户或组都不得相同。 如果某个用户帐户也是组帐户的成员,而您为该用户和组都指定了角色分配,那么,该用户将可以使用这两个角色分配的任务。
将用户添加到已属于角色分配的组时,必须重置 Internet Information Services (IIS),以便新角色分配对该用户生效。
预定义的角色分配
默认情况下,将实现预定义角色分配,以允许本地管理员管理报表服务器。 必须添加其他角色分配才能授予其他用户的访问权限。
有关提供默认安全性的预定义角色分配的详细信息,请参阅 “预定义角色”。
另请参阅
创建、删除或修改角色(Management Studio)
授予用户对报表服务器(报表管理器)的访问权限
修改或删除角色分配(报表管理器)
在 SharePoint 站点上设置报表服务器项的权限(SharePoint 集成模式下的 Reporting Services)
授予对本机模式报表服务器的权限