数据库、多维数据集和挖掘模型角色
角色也称为安全性角色)定义了一组 Microsoft® Windows NT® 4.0 或 Windows® 2000 用户帐户和组,它们对于 Microsoft SQL Server™ 2000 Analysis Services 数据具有相同的访问权限。角色是用来实现最终用户安全性的,实现方法是通过从客户应用程序连接的用户来控制对分析服务器上数据的访问。Analysis Services 包括三类角色:数据库角色、多维数据集角色和挖掘模型角色。
数据库角色可以被指派给数据库中多个多维数据集或挖掘模型,因此授予角色中的用户访问这些多维数据集或挖掘模型的权限。这样的指派创建和数据库角色同名的多维数据集角色或挖掘模型角色。数据库角色将为同名的多维数据集或挖掘模型角色提供默认值。虽然在数据库角色中可以指定对多维数据集的维度成员访问的类型和作用域,但是直到将数据库角色指派给多维数据集之后,这种访问权限才真正授予。数据库角色是在 Analysis Services 数据库级别上定义的,并且在数据库角色管理器中进行维护。
默认情况下,一个数据库角色仅指定读取权限,并且不限制最终用户可见的维度成员或多维数据集单元。把这样的数据库角色指派给多维数据集后,角色中的用户能查看整个多维数据集。但是,无论在数据库角色还是在多维数据集角色中,都可以指定读/写权限并且限制可见和可更新的维度成员。在多维数据集角色中,可以限制可见和可更新的多维数据集单元。另一方面,挖掘模型角色提供了对模型内容的只读访问权限。
多维数据集角色只应用于单个多维数据集。多维数据集角色中的默认值是从同名的数据库角色中派生的,但这些默认值中的一部分可在多维数据集角色中用其它值替代。多维数据集角色包含一些数据库角色中没有的额外选项,例如单元安全性。当将数据库角色指派给多维数据集时,则在多维数据集级别上创建多维数据集角色,并且在多维数据集角色管理器中维护多维数据集角色。
在多维数据集角色中,可以指明角色中的最终用户是否可以钻取到单元的数据源。该功能还要求对多维数据集或它的至少一个分区启用钻取。有关更多信息,请参见指定钻取选项。
挖掘模型角色应用在单个挖掘模型中。挖掘模型角色中的默认成员资格是从同名的数据库角色中派生的,但是默认成员资格在挖掘模型角色中可被替代。当将数据库角色指派给模型时,则在模型级别上创建挖掘模型角色,并且在挖掘模型角色管理器中维护挖掘模型角色。
一个最终用户可以包含在分析服务器的多个角色中。在这种情况下,用户就具有了在这些角色中指定的组合访问权限。如果角色中任一角色允许用户访问某个对象,用户就具有对该对象的访问权。例外情况是维度安全性中的自定义规则。来自多个角色的自定义规则组合并非都是可以解析的。有关更多信息,请参见适用于最终用户的多重维度自定义规则。
当最终用户通过客户应用程序连接到分析服务器时,由角色提供的安全性强制必须在该最终用户的身份验证成功之前进行。如果身份验证不成功,用户将无法访问分析服务器上的数据,这与用户在那台服务器上角色中的成员资格以及那些角色的定义无关。有关更多信息,请参见服务器安全性和身份验证。
(