Reporting Services 中安装了预定义角色,可以使用它们授予对报表服务器操作的访问权限。 每个预定义角色都描述了一个相关任务的集合。 可以向预定义角色分配组帐户和用户帐户,以提供对报表服务器操作的立即访问。
如何使用预定义角色
查看预定义的角色,以确定是否可以按原样使用它们。 如果需要调整任务或定义其他角色,应在开始将用户分配到特定角色之前执行此作。
确定哪些用户和组需要访问报表服务器,以及哪个级别。 大多数用户应分配到 浏览器 角色或 报表生成器 角色。 应将少量用户分配到 发布者 角色。 应将极少数用户分配到 内容管理器。
准备好将用户和组帐户分配到特定角色时,请使用报表管理器。 有关详细信息,请参阅 授予用户对报表服务器(报表管理器)的访问权限。
预定义角色定义
预定义角色由它支持的任务定义。 您可以修改这些角色,也可以用自定义角色替换它们。
“作用域” 定义了使用角色的边界。 项级角色提供对报表服务器项和影响这些项的操作的不同等级访问。 对根节点(主文件夹)和整个报表服务器文件夹层次结构中的所有项可以定义项级角色。 系统级角色授予站点级别的访问权限。 项级角色和系统级角色是互斥的,但是可共同用来提供对报表服务器内容和操作的丰富权限。
下表描述了预定义的角色、范围以及它们的使用方式。
| 预定义角色 | 范围 | DESCRIPTION |
|---|---|---|
| “内容管理员”角色 | 条目 | 包括所有项级任务。 分配给此角色的用户具有管理报表服务器内容的完整权限,包括向其他用户授予权限的能力,以及定义用于存储报表和其他项的文件夹结构。 |
| “发布者”角色 | 条目 | 分配给此角色的用户可以将项添加到报表服务器,包括创建和管理包含这些项的文件夹的功能。 |
| “浏览者”角色 | 条目 | 分配到此角色的用户可以运行报表、订阅报表并浏览文件夹结构。 |
| “报表生成者”角色 | 条目 | 分配到此角色的用户可以在报表生成器中创建和编辑报表。 |
| “我的报表”角色 | 条目 | 分配到此角色的用户可以管理用于存储和使用报表和其他项的个人工作区。 |
| “系统管理员”角色 | 系统 | 分配到此角色的用户可以启用功能和设置默认值、设置站点范围安全性、在 Management Studio 中创建角色定义以及管理作业。 |
| “系统用户”角色 | 系统 | 分配到此角色的用户可以查看有关报表服务器的基本信息,例如共享计划中的计划信息。 |
内容管理器角色
内容管理器角色是预定义的角色,其中包括对管理报表和 Web 内容的用户有用的任务,但不一定创作报表或管理 Web 服务器或 SQL Server 实例。 内容管理员可部署报表、管理报表模型和数据源连接,并制定有关如何使用报表的决策。 默认情况下,“内容管理员”角色定义将选中所有项级任务。
“内容管理员” 角色通常与“系统管理员” 角色一起使用。 这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。 尽管 内容管理器 角色提供对文件夹层次结构中报表、报表模型、文件夹和其他项的完全访问权限,但它不提供对站点级项目或作的访问权限。 创建和管理共享计划、设置服务器属性和管理角色定义之类的任务是系统级任务,这些任务包含在“系统管理员” 角色中。 出于此原因,我们建议在站点级别创建第二个角色分配,该分配提供对共享计划的访问权限。
内容管理器任务
下表列出了 内容管理器 角色中包含的任务。
| 任务 | DESCRIPTION |
|---|---|
| 使用报表 | 读取报表定义。 |
| 创建链接报表 | 创建基于非链接报告的链接报告。 |
| 管理所有订阅 | 查看、修改和删除报表和链接报表的所有订阅,而不论拥有此订阅的为何人。 此任务还支持创建数据驱动的订阅。 |
| 管理数据源 | 创建和删除共享数据源项,查看和修改数据源属性和内容。 |
| 管理文件夹 | 创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
| 管理模型 | 创建、查看和删除模型,以及查看和修改模型属性。 |
| 管理单独的订阅 | 创建、查看、修改和删除用户拥有的对报表和链接报表的订阅。 |
| 管理报表历史记录 | 创建、查看和删除报表历史记录、查看报表历史记录属性,以及查看和修改确定快照历史记录限制的设置以及缓存的工作原理。 |
| 管理报表 | 添加和删除报表、修改报表参数、查看和修改报表属性、查看和修改提供报表内容的数据源、查看和修改报表定义,并在报表级别设置安全策略。 |
| 管理资源 | 创建、修改和删除资源,以及查看和修改资源属性。 |
| 设置项目的安全策略 | 定义报表、链接报表、文件夹、资源和数据源的安全策略。 有关详细信息,请参阅 安全对象项。 |
| 查看数据源 | 查看文件夹层次结构中的共享数据源项。 |
| 查看报表 | 运行报表和查看报表属性。 |
| 查看模型 | 在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
| 查看资源 | 查看资源和资源属性。 |
| 查看文件夹 | 查看文件夹内容并浏览文件夹层次结构。 |
自定义内容管理员角色
此角色适用于负责管理和维护报表服务器内容的受信任用户。 可以从此定义中删除任务,但这样做可能会对可以管理的任务造成歧义。 例如,从此角色定义中删除“查看报表”任务会阻止 内容管理器 查看报表内容,因此无法验证对参数和凭据设置的更改。
“内容管理员”角色在默认安全性中使用。 有关详细信息,请参阅 使用默认安全性。
发布者角色
“发布者”角色是一种内置的角色定义,包含用户向报表服务器添加内容时所需的任务。 预定义此角色的目的是为了便于使用。 在创建包含该内容的角色分配之前,不会使用它。 此角色适用于在报表设计器或模型设计器中制作报表或模型,然后将这些项发布到报表服务器。
谨慎
应当仅向受信任的用户授予将项发布到报表服务器的权限。 发布服务器角色授予广泛的权限,允许用户将任何类型的文件上传到报表服务器。 如果上传的报表或 HTML 文件包含恶意脚本,则单击报表或 HTML 文档的任何用户都将在其凭据下运行该脚本。
报表定义可以包括脚本和其他元素,这些元素在运行时以 HTML 形式呈现报表时容易受到 HTML 注入攻击。 如果已发布的报表包含恶意脚本,则运行该报表的任何用户都会在打开报表时意外导致脚本运行。 如果用户具有提升的权限,脚本将使用这些权限运行。
若要降低用户意外运行恶意脚本的风险,请限制有权发布内容的用户数,并确保用户仅发布来自受信任源的文档和报表。 如果不确定报表定义是否安全发布,则应在文本编辑器中打开 .rdl 文件并搜索脚本标记。 恶意脚本可以在表达式和 URL 中隐藏(例如,导航作中的 URL)。
发布者任务
下表列出了 发布者 角色中包含的任务。
| 任务 | DESCRIPTION |
|---|---|
| 创建链接报表 | 创建链接报表,并将其发布到报表服务器文件夹中。 |
| 管理数据源 | 创建和删除共享数据源项,查看和修改数据源属性和内容。 |
| 管理文件夹 | 创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
| 管理报表 | 添加和删除报表、修改报表参数、查看和修改报表属性、查看和修改提供报表内容的数据源、查看和修改报表定义。 |
| 管理模型 | 创建、查看和删除报表模型,以及查看和修改报表模型属性。 |
| 管理资源 | 创建、修改和删除资源,以及查看和修改资源属性。 |
自定义发布者角色
您可以修改“发布者”角色,以满足您的需要。 例如,如果不希望用户能够创建和发布链接报表,则可以删除“创建链接报表”任务,也可以添加“查看文件夹”任务,以便在为新项目选择位置时,用户可以在文件夹层次结构中导航。
从报表设计器发布报表的用户至少需要“管理报表”任务才能将报表添加到报表服务器。 如果用户必须发布使用共享数据源或外部文件的报表,则还应包括“管理数据源”和“管理资源”。如果用户还需要能够在发布过程中创建文件夹,则还必须包括“管理文件夹”。
浏览器角色
浏览器角色是一个预定义的角色,其中包括对查看报表但不一定创作或管理报表的用户有用的任务。 此角色提供了通常使用报表服务器实现的基本功能。 如果没有这些任务,用户可能很难使用报表服务器。
“浏览者” 角色应该与“系统用户” 角色一起使用。 这两种角色定义共同为与报表服务器上的项进行交互的用户提供完整的任务集。 尽管 浏览器 角色提供对文件夹层次结构中报表、报表模型、文件夹和其他项的查看访问权限,但它不提供对网站级项目(如共享计划)的访问权限,这对于创建订阅时很有用。 出于此原因,我们建议在站点级别创建第二个角色分配,该分配提供对共享计划的访问权限。
浏览器任务
下表描述了 浏览器 角色定义中包含的任务。
| 任务 | DESCRIPTION |
|---|---|
| 查看报表 | 运行报表和查看报表属性。 |
| 查看资源 | 查看资源和资源属性。 |
| 查看文件夹 | 查看文件夹内容并导航文件夹层次结构。 |
| 查看模型 | 在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
| 管理单独的订阅 | 创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅,以及创建支持这些订阅的计划。 |
自定义浏览器角色
您可以修改“浏览者”角色以满足您的需要。 例如,如果不想支持订阅,可以删除“管理单个订阅”任务;如果不希望用户查看可能上传到报表服务器的附带文档或其他项目,则可以删除“查看资源”任务。
至少,此角色应同时支持“查看报表”任务和“查看文件夹”任务,以支持查看和文件夹导航。 除非要消除文件夹导航,否则不应删除“查看文件夹”任务。 同样,除非希望阻止用户查看报表,否则不应删除“查看报表任务”。 进行此类修改时,建议使用自定义角色定义,然后有选择性地将其应用于特定的用户组。
报表生成器角色
报表生成器角色是一个预定义角色,包括用于在报表生成器中加载报表以及查看和导航文件夹层次结构的任务。 若要在报表生成器中创建和修改报表,还必须具有一个系统角色分配,其中包括在报表生成器本地处理报表所需的“执行报表定义”任务。
报表生成任务
下表描述了 报表生成器 角色定义中包含的任务。
| 任务 | DESCRIPTION |
|---|---|
| 使用报表 | 读取报表定义。 |
| 查看报表 | 运行报表和查看报表属性。 |
| 查看资源 | 查看资源和资源属性。 |
| 查看文件夹 | 查看文件夹内容并导航文件夹层次结构。 |
| 查看模型 | 在文件夹层次结构中查看模型,将模型用作报表的数据源,以及对模型运行查询以检索数据。 |
| 管理单独的订阅 | 创建、查看、修改和删除用户所拥有的对于报表和链接报表的订阅,以及创建支持这些订阅的计划。 |
自定义报表生成器角色
您可以修改“报表生成者”角色以满足您的需要。 建议通常与 浏览器 角色相同:如果不想支持订阅,请删除“管理单个订阅”任务,如果不希望用户查看资源,请删除“查看资源”任务,并保留“查看报表”任务和“查看文件夹”任务以支持查看和文件夹导航。
此角色定义中最重要的任务是“使用报表”,允许用户将报表定义从报表服务器加载到本地报表生成器实例中。 如果不想支持此任务,可以删除此角色定义,并使用 浏览器 角色支持对报表服务器的常规访问。
我的报表角色
“我的报表” 角色是一个预定义角色,其中包括的一组任务对用户使用“我的报表”功能十分有用。 利用此角色定义包括的任务,可以向用户授予对其所拥有的“我的报表”文件夹的管理权限。
虽然可以选择另一个角色来配合“我的报表”功能使用,但建议选择一个专用于“我的报表”安全性的角色。 有关详细信息,请参阅 保护我的报表。
我的报告任务
下表列出了 “我的报表” 角色中包含的任务。
| 任务 | DESCRIPTION |
|---|---|
| 创建链接报表 | 创建基于存储在用户的“我的报表”文件夹中的报表的链接报表。 |
| 管理文件夹 | 创建、查看和删除文件夹,以及查看和修改文件夹属性。 |
| 管理数据源 | 创建和删除共享数据源项,查看和修改数据源属性和内容。 |
| 管理单独的订阅 | 创建、查看、修改和删除报表及链接报表的订阅。 |
| 管理报表 | 添加和删除报表、修改报表参数、查看和修改报表属性、查看和修改提供报表内容的数据源、查看和修改报表定义,并在报表级别设置安全策略。 |
| 管理资源 | 创建、修改和删除资源,以及查看和修改资源属性。 |
| 查看报表 | 运行存储在用户的“我的报表”文件夹中并查看报表属性的报表。 |
| 查看数据源 | 查看文件夹层次结构中的共享数据源项。 |
| 查看资源 | 查看资源和资源属性。 |
| 查看文件夹 | 查看文件夹内容。 |
自定义“我的报表”角色
您可以修改此角色,以满足您的需求。 但是,建议保留“管理报表”任务和“管理文件夹”任务以启用基本内容管理。 此外,此角色应支持所有基于视图的任务,以便用户可以查看文件夹内容并运行他们管理的报表。
虽然“为项目设置安全策略”任务默认不属于角色定义,但可以将此任务添加到 “我的报表 ”角色,以便用户可以自定义子文件夹和报表的安全设置。
系统管理员角色
“系统管理员”角色是一种预定义角色。对于对报表服务器全面负责、但不必对其中的内容全面负责的报表服务器管理员来说,该角色中所包含的任务非常有用。
若要创建包含此角色的角色分配,请使用报表管理器中的“站点设置”页或使用 Management Studio 中报表服务器节点上的右键单击命令。
系统管理员角色不会传达本地管理员在计算机上可能拥有的相同权限范围。 相反,系统管理员 角色包括那些在站点级别执行的操作,而不是项目级别的操作。 对于需要访问整个站点的操作和报表服务器上存储的项目的用户,请在“主页”文件夹中创建包含内容管理器角色的第二个角色分配。 这两种角色定义共同为需要对报表服务器上所有项的完全访问权限的用户提供完整的任务集。
系统管理员任务
下表列出了 系统管理员 角色中包含的任务。
| 任务 | DESCRIPTION |
|---|---|
| 执行报表定义 | 开始执行报表定义,而不将其发布到报表服务器。 |
| 管理作业 | 查看和取消正在运行的作业。 有关详细信息,请参阅 “管理正在运行的进程”。 |
| 管理报表服务器属性 | 查看和修改应用于报表服务器及其所管理的项的属性。 此任务支持重命名报表管理器、启用“我的报表”和设置报表历史记录默认值。 |
| 管理角色 | 创建、查看和修改和删除角色定义。 系统管理员角色的成员可以使用“站点设置”页来管理角色。 |
| 管理共享计划 | 创建、查看、修改和删除用于运行或刷新报表的共享计划。 |
| 管理报表服务器安全性 | 查看和修改系统范围内的角色分配 |
“系统管理员”角色在默认安全性中使用。 有关详细信息,请参阅 使用默认安全性。
系统用户角色
“系统用户”角色是一种预定义角色,该角色包含的任务允许用户查看有关报表服务器的基本信息。 该角色还支持在报表生成器中加载报表。 报表生成器是可以独立于报表服务器进行报表处理的客户端应用程序。 “执行报表定义”任务适用于报表生成器。 如果不使用 Reporting Builder,则可以从 系统用户 角色中删除此任务。 下表列出了 系统用户 角色定义中包含的任务。
系统用户任务
| 任务 | DESCRIPTION |
|---|---|
| 执行报表定义 | 运行报表但不将其发布到报表服务器。 |
| 查看报表服务器属性 | 查看应用于报表服务器的属性,例如应用程序名称、是否启用“我的报表”和“报表历史记录”默认值。 如果从 “系统用户 ”角色中删除此任务,则“网站设置”页不可用。 此外,应用程序标题不会显示在每个页面的顶部。 默认情况下,报表管理器的标题为“SQL Server Reporting Services”。 |
| 查看共享计划 | 查看用于运行报表或刷新报表的共享计划。 如果将此任务从 系统用户 角色中移除,用户将无法选择共享日程来用于订阅和其他计划操作。 |
“系统用户”角色可用作对默认安全性的补充。 在用来向报表用户扩展报表服务器访问权限的新角色分配中,您可以加入此角色。 有关详细信息,请参阅 授予对本机模式报表服务器的权限。
另请参阅
创建、删除或修改角色(Management Studio)
授予用户对报表服务器(报表管理器)的访问权限
修改或删除角色分配(报表管理器)
授予对本机模式报表服务器的权限
任务和权限