Sql-Server

SSRS 報告管理器安全配置

  • December 10, 2013

我碰巧正在從頭開始設置一個報告伺服器。幾乎沒有 sql server 管理經驗,我發現為報告管理器配置安全設置真的很困難。

我確實了解所有將訪問報告管理器的使用者都需要兩個級別的權限

1 – 從 sql server 訪問數據的權限。(為此,經過一些研究,我決定使用 datareader 角色。

2- 訪問 Reports Manager 的權限,我可以從中選擇 Reports Manager 角色,例如(瀏覽器、內容管理器等)

對於報告經理,我創建了一個僅具有查看報告權限的新角色。

問題

當我將域使用者帳戶添加到報告管理器時,所有這些安全過濾器都已到位,使用者可以在報告管理器上的任何位置導航(可以訪問他們沒有權限的文件夾、數據源和報告)。

我不希望使用者查看他們沒有權限的數據源或任何其他文件夾或報告。

到目前為止我已經嘗試過什麼

1- 將使用者添加到報告管理器上的一個文件夾,但他們可以導航到報告管理器上的任何其他文件夾。

2-將使用者添加到一個報告中,他們可以再次導航到報告管理器上的任何其他文件夾。

3-我使用的是 SSRS 服務帳戶的虛擬帳戶,將其刪除並嘗試了服務帳戶、LocalService、LocalNetwork 和 LocalSystem 的所有其他 3 個內置帳戶。(不確定這是否會有所作為)。

所有這些努力都是徒勞的,只要將使用者添加到任何一個報表或文件夾,他們就可以導航到所有其他文件夾和報表,並且可以實際執行報表。

使用者在 Sql Server 中分配了 datareader 角色,並在 Reports Manager 上具有自定義角色,該角色僅具有查看報告的權限。

我已將報告服務設置為使用預設的 Windows 身份驗證。它是 Sql

伺服器 2008 R2 報告服務。數據中心版。

請任何建議或任何方向都會有很大幫助。我一直在閱讀 BOL,但目前還沒有任何幫助。

通常在 SSRS 中,您將使用 SSRS 管理界面 (/ReportsManager IIRC) 按文件夾設置使用者角色/權限。它們通常由子文件夾繼承,儘管您可以覆蓋它。“瀏覽器”角色最適合最終使用者,因為它允許他們執行/查看報告,但僅此而已。如果您授予使用者對文件夾而不是 B 的“瀏覽器”訪問權限,那麼他們將無法訪問文件夾 B,除非它是 A 的子文件夾(預設情況下授予與 A 相同的權限)或除非 B 是子文件夾- 使用者具有“瀏覽器”訪問權限的另一個文件夾的文件夾。

您可能不應該在 SQL Server 中直接授予域使用者任何權限。SQL Server 本身使用的各種帳戶以及管理帳戶都應在 SQL Server 中進行配置。最終使用者對 SSRS 的訪問由 SSRS 根據輸入 SSRS 的規則進行控制。

引用自:https://dba.stackexchange.com/questions/54145