使用“服务帐户”页指定报表服务器服务在其中运行的帐户。 此帐户最初是在安装过程中配置的。 如果要更改帐户或密码,可以对其进行修改。 报表服务器 Web 服务、报表管理器和后台处理应用程序都在此页上指定的服务标识下运行。
适用于: Reporting Services 本机模式。
为报表服务器服务指定的帐户需要有权访问注册表、报表服务器程序文件和报表服务器数据库。 使用 Reporting Services Configuration Manager 设置帐户时,会自动为帐户配置所有权限。 如果使用服务帐户连接到报表服务器数据库,Configuration Manager 将为该帐户创建数据库登录名,并通过将帐户分配给承载报表服务器数据库的 SQL Server 实例上的 RSExecRole 来配置数据库权限。 报表服务器数据库是报表服务器写入的唯一数据存储。 服务帐户不需要任何其他数据存储的权限。
若要打开此页面,请启动 Reporting Services 配置管理器,然后选择导航窗格中的链接。 有关详细信息,请参阅 Reporting Services 配置管理器(本机模式)。
重要
每当需要更新帐户或密码时,强烈建议使用 Reporting Services Configuration Manager。 使用 Configuration Manager 更新帐户可确保同时自动更新依赖于服务标识的其他内部设置。
选项
使用内置帐户
从列表中选择 网络服务、 本地系统或 本地服务 。 仅建议 使用网络服务 ;但是,可以将帐户配置为使用任何可用的帐户。
使用另一个帐户
选择此选项可指定 Windows 用户帐户。 可以输入本地 Windows 用户帐户或域用户帐户。 以以下格式指定域帐户: <domain>\<user>。 以以下格式指定本地 Windows 用户帐户: <计算机名称>\<用户>。 只能选择现有帐户;无法在 Reporting Services 配置中创建新帐户。
帐户的最大字符限制为 20 个字符。
如果网络使用 Kerberos 身份验证并将报表服务器配置为在域用户帐户下运行,则必须将服务注册到用户帐户。 有关详细信息,请参阅 为报表服务器注册服务主体名称(SPN)。
如果切换帐户类型(例如,将一个 Windows 帐户替换为另一个 Windows 帐户,或者将内置帐户替换为 Windows 域帐户),系统将提示你创建加密密钥的备份副本。 选择新帐户时,将自动还原备份副本。
注释
每当修改服务帐户时,Reporting Services 配置管理器会提示你备份和还原加密密钥。 这些步骤是确保加密数据仍然可用于报表服务器所必需的。 有关这些操作的详细信息,请参阅加密密钥(SSRS 本机模式)。
此外,如果报表服务器配置为在 SharePoint 集成模式下运行,并且你使用 Reporting Services 配置管理器更改服务帐户,则还必须打开 SharePoint 管理中心并使用 Reporting Services 授予数据库访问权限 页重新应用报表服务器和实例设置。 此步骤将授予对 SharePoint 数据库的新服务帐户访问权限,这是将 Reporting Services 与 SharePoint 产品或技术集成所必需的。 有关如何在 SharePoint 管理中心授予数据库访问权限的详细信息,请参阅 报表服务器(Reporting Services SharePoint 模式) 和 Reporting Services SharePoint 模式安装(SharePoint 2010 和 SharePoint 2013)的配置和管理。
选择帐户
为获得最佳结果,请指定具有网络连接权限的帐户,该帐户有权访问网络域控制器和公司 SMTP 服务器或网关。 下表总结了这些帐户,并提供了使用帐户的建议。
| 帐户 | 说明 |
|---|---|
| 域用户帐户 | 如果您有一个拥有报表服务器操作所需的最小权限的 Windows 域用户帐户,则应使用此帐户。 建议使用域用户帐户,因为它将报表服务器服务与其他应用程序隔离开来。 在共享帐户(如网络服务)下运行多个应用程序会增加恶意用户控制报表服务器的风险,因为任何一个应用程序的安全漏洞都可以轻松地扩展到在同一帐户下运行的所有应用程序。 如果要为报表服务器配置约束委派,或在 SharePoint 2010 产品中配置 SharePoint 集成模式(这些产品需要域用户帐户而非内置机器帐户),则需要域用户帐户。 请注意,如果使用域用户帐户,则必须在组织强制实施密码过期策略时定期更改密码。 您可能还需要使用此用户帐户注册服务。 有关详细信息,请参阅 为报表服务器注册服务主体名称(SPN)。 避免使用本地 Windows 用户帐户。 本地帐户通常没有足够的权限访问其他计算机上的资源。 有关如何使用本地帐户限制报表服务器功能的详细信息,请参阅本主题中的 “使用本地帐户的注意事项 ”。 |
| 网络服务 |
网络服务 是具有网络登录权限的内置最低特权帐户。 如果没有可用的域用户帐户,或者想要避免密码过期策略可能导致的任何服务中断,则建议使用此帐户。 如果您选择 Network Service,请尝试将使用同一帐户运行的其他服务的数量降到最低。 任何一个应用程序的安全漏洞都会损害在同一帐户下运行的其他所有应用程序的安全性。 |
| 本地服务 | 本地服务 是一个内置帐户,类似于经过身份验证的本地 Windows 用户帐户。 以 “Local Service” 帐户运行的服务将以一个没有凭据的 Null 会话形式访问网络资源。 此帐户不适用于 Intranet 部署方案,报表服务器必须连接到远程报表服务器数据库或网络域控制器,以便在打开报表或处理订阅之前对用户进行身份验证。 |
| 本地系统 | 本地系统 是一个高特权帐户,但运行报表服务器无需使用它。 请勿将此帐户用于报表服务器的安装。 此时应选择域帐户或 Network Service 。 |
使用本地帐户的注意事项
使用本地帐户的主要考虑因素是报表服务器是否需要访问远程数据库服务器、邮件服务器和域控制器。 如果将报表服务器配置为以本地 Windows 用户帐户、本地服务或本地系统运行,则需要考虑如何调整其他配置设置,以及如何处理订阅创建和传递过程中的相关事项。
在本地帐户下运行服务会限制您的选项,特别是在配置与远程报表服务器数据库的连接时。 具体而言,如果使用远程报表服务器数据库,则必须将连接配置为使用有权登录到远程 SQL Server 实例的域用户帐户或 SQL Server 数据库用户。
在本地帐户下运行服务将引入有关订阅创建的新要求。 报表服务器存储创建订阅的用户的信息。 如果用户在登录域帐户时创建订阅,报表服务器服务将尝试连接到域控制器,以便在处理订阅时对用户进行身份验证。 如果服务在本地帐户下运行,则报表服务器尝试将请求发送到远程域控制器时,身份验证请求将失败。 若要消除此限制,可以使用基于窗体的自定义身份验证扩展插件或让所有用户使用本地用户帐户连接到报表服务器。
在本地帐户下运行服务将引入订阅传递的新要求。 某些传递扩展插件在订阅定义中包含有用户帐户信息。 如果要将报表发送到基于域用户帐户的电子邮件地址,并且你在本地帐户下运行报表服务器服务,则无法访问远程域控制器来解析目标电子邮件帐户。
作为域控制器的计算机上的报表服务器服务帐户,不支持内置 Windows 服务帐户(本地服务或网络服务)。
另请参阅
配置报表服务器服务帐户(SSRS 配置管理器)
配置服务帐户 (SSRS 配置管理器)
Reporting Services Configuration Manager F1 帮助主题 (SSRS 原生模式)