《Microsoft SQL Server 2008 MDX Step by Step》学习笔记十二：动态安全

玩龙天子 · 发表于 2016-11-8 07:57:51

　　
SQL Server 2008中SQL应用系列及BI学习笔记系列--目录索引
　　导读:本文主要介绍Analysis Service的安全问题，特别是账号的权限分配，包括：
　　■1、创建一个本地测试账号和基本数据库角色
　　■2、限制标准属性层次结构（Attribute-Hierarchy Restrictions）
　　■3、限制父子层次结构（Restricting Parent-Child Hierarchies）
　　■4、实施Cell级别的限制（Implementing Cell-Level Restrictions）
　　本文所用数据库和所有源码，请到微软官网下载

　　
　　1、创建一个本地测试账号和基本数据库角色
　　创建本地账号的步骤如下：
　　假定账号为MdxUser，属于用户组MdxUserGroup。

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pLmKUGB-FvCAFI5bsOJazaStqSDbU10ZX1uG0FWtAALQKJwPpYat-oKnBponZAJKtstCrSxmEpY5QmKh6dQFtSw/2011-12-2%2012-01-09.png?psid=1

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pdIYAENdxxzH_AVCY5A51aVJzv7qx-x7J9HWs99IU1BUjkuv357PHHe5HAS-Vge0qoiX-GFU-DpAvm9jv8GPZEw/2011-12-2%2013-07-17.png?psid=1

　　创建数据库的角色如下：Role

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pIQvvx8-u9RWLOOTKO00vxOtsj2q3youRJE-64cpSgmdMo0qllEQKIUEAsX91-trD-WVDUivWHlm_qqSlVQUdBw/2011-12-2%2013-37-20.png?psid=1

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pb2uy234GfQWhPqt-E9XS55xmlZlP_kkal4kwXD7RjnrTu55PTJMh_NDcs0uBoZ7HFBmjAlGRN58ALVXNnxJo0A/2011-12-2%2013-39-23.png?psid=1

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pb2uy234GfQXJRmmVv91d4ThJmUZ5CuSEkVkGeJjTbL_8bEKNuJe3154yTYpz8u0YOU4yiWAhIs3yyVH2BDHN1A/2011-12-2%2013-41-27.png?psid=1

　　
　　下来检验我们上面的设置是否生效。我们使用UserName函数（http://msdn.microsoft.com/zh-cn/library/ms146016.aspx）
　　在cmd中输入:
　　Set ComputerName
　　rem ‘获取机器名为AP4
　　RunAs /user:computername\MdxUser "ssms"
　　此时提示输入mdxuser账号的密码：
　　输入成功后，即可以MdxUser登录Analysis Service

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1p77bjeG3qGZtg2WK7GP0hh0MANrts-LyK_wCBt5GSKyK4JpNghzVu7Hjikzs-EEOvOVwh9iiaE3x35TNQE_46sg/2011-12-2%2013-58-34.png?psid=1

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pSwo46zynyDf4iEAaL8bYuSwn2PyxH_K6qx7MHxivpZLMdq96Pbv4MiTJq64BykP_gYJYm5jqwAgcK2GZMFBV4Q/2011-12-2%2014-05-59.png?psid=1

　　例11-1
　　WITH
MEMBER [Measures].[Current User] AS
UserName()
SELECT
{[Measures].[Current User]} ON COLUMNS
FROM [Step-by-Step]
;
　　

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pSwo46zynyDfIikYG2ZPICjk3sWH3eqZS3rkASH9vrn1BBG4ZgnaxvwlOJnl39Lmw952jkm2vV77bcTBnMK9jhg/2011-12-2%2014-09-01.png?psid=1

　　
　　修正以仅返回当前登录的用户名
　　例11-2
　　WITH
MEMBER [Measures].[Current User] AS
VBAMDX!Right(
UserName(),
VBAMDX!Len(UserName()) -
VBAMDX!Instr(UserName(),"\")
)
SELECT
{[Measures].[Current User]} ON COLUMNS
FROM [Step-by-Step]
;

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pU_4N6oJ6pOlLDPclOT7bYTTBpJY6BueY22srFizyZB2m6UkS6lmsRR8Xs0zc5v0u26SQzIoCoBVzQGx-7mxsaw/2011-12-2%2014-17-01.png?psid=1

　　顺便我们介绍一个技巧，我们在查询时不知道列或者仅想作测试时，可以用empty Sets来代替，其作用类似于SQL查询中的“*”。
　　例11-3
　　SELECT
{} ON COLUMNS,
{[Product].[Product].[Product].Members} ON ROWS
FROM [Step-by-Step]
　　http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pt6Se3kM58er--o2QcFyjrtfF3tBKK8eQOmt6mh4_kGSPuf99mBxlEsQ5SbtnitJvB0zyVMkv5K6PUs2vD8TDUw/2011-12-2%2014-58-47.png?psid=1
　　
　　2、限制标准属性层次结构（Attribute-Hierarchy Restrictions）
　　第一步设计允许集，在此之前我们先看一个基本示例：
　　
　　例11-4
　　SELECT
{} ON COLUMNS,
{[User].[User].[User].Members} ON ROWS
FROM [Step-by-Step]
;

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pRE8aao3CDPHBslgRPVWpcCTEkL-zSpiMBlbZs7-SykCf3_ZEq_2iD7lhHSSfRKZT6VIslC_W2I7IPDKsXNjjCA/2011-12-2%2015-06-17.png?psid=1

　　如果不希望MdxOtherUser出现在这个查询结果中，那么如下：
　　例11-5
　　SELECT
{} ON COLUMNS,
StrToSet(
"{([User].[User].[User].[" +
VBAMDX!Right(
UserName(),
VBAMDX!Len(UserName()) -
VBAMDX!Instr(UserName(),"\")
) + "])}"
) ON ROWS
FROM [Step-by-Step]
;

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1plMpXZq0V8LSYi363kr2PldnskEwN6F209d8VgT3YOXiH6qqO_jBln2w3hBo5DNUjIB-_l6WUWM7la1dt4pNelQ/2011-12-2%2015-10-37.png?psid=1

　　注意上例中使用了StrToSet（http://msdn.microsoft.com/zh-cn/library/ms144782.aspx），类似的还有
　　StrToValue（http://msdn.microsoft.com/zh-cn/library/ms144951.aspx）
　　StrtoTuples（http://msdn.microsoft.com/zh-cn/library/ms146079.aspx）
　　
　　在例11－3中执行结果切换到Message视图产，可以看到有397个成员。

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1p-N6hYAom2xsWX6niMaS4G1gWOkh1wc3Dm4pO1gCRERq_mI0R8egvP5Z-BX60N6cBuAAxO5wXyVTHmhX-qjw3jQ/2011-12-2%2015-17-46.png?psid=1

　　我们作个限制：
　　例11-6
　　SELECT
{} ON COLUMNS,
Exists(
{[Product].[Product].[Product].Members},
{[User].[User].[User].[MdxUser]},
'User Product Relationship'
) ON ROWS
FROM [Step-by-Step]
;

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1p-N6hYAom2xs3b7vHbyRt4K6NChn1B9kMjaPEpUcqwOBDwttXLr4ZNgG-2UvFz8Nh1ML4qcki_MXRPgOxBEBCrA/2011-12-2%2015-18-58.png?psid=1

　　第二步实施允许集：

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pMMryJ49YkOQknK7XuL9l8cf7Hwrm6U5apXFre1S76TouAVI4KPH8gt5Z9m7VsU5bZHMBLlFxgWU-iZNErgIPpw/2011-12-2%2015-39-02.png?psid=1

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pMMryJ49YkOTrU4dmpCi2qck71P5HX6GEGTTvtSK6Q7MOMevRxCtb4_aB3pYLyMJaZSvM2TD3moqNtb1kSSVo8g/2011-12-2%2015-44-10.png?psid=1

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pP3vn4nYirtYIHG_gko_45OZC1afiempfJfVWk--K_6ftmOLqV0utO9_bPAr66EKtTxce2Ag9sqMSUXqnEmEcXQ/2011-12-2%2015-55-41.png?psid=1

　　
　　设置完成，我们第三步检验设置效果：

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pw5mnkBmkUOza1f3xbN9-VStxc_NbfxiEikYbSf0S907jWQqEP4TsMjAEUpmMM4duqAz6kELFI6A2L6_1cUFWEw/2011-12-2%2015-57-29.png?psid=1

　　
　　有人会注意到这个结果109与刚才的108不一致，其实，限制集并不关心是否与MdxUser有关联，所以是109。
　　此时，再重新执行例11-4，结果只有MdxUser一项。
　　3、限制父子层次结构（Restricting Parent-Child Hierarchies）
　　在一个维度中，如果引用自身，比如最典型的父子层次关系是员工和账户。一个员工出于业务需要可能有多个账户。第一步设计允许集
　　我们看一个查询实例：
　　例11-7
　　SELECT
{} ON COLUMNS,
{[Employee].[Employees].Members} ON ROWS
FROM [Step-by-Step]
;

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pvQj0BQPieGF6TRXAQgc538NJSd03uziBjTyJIxHFd3F2RvMoPjpzcc-uOyITTvTZviNr3kiXFwLpsFBT5tuRsw/2011-12-2%2016-12-32.png?psid=1

　　例11-8
　　WITH
MEMBER [Measures].[User] AS
[Employee].[Employees].CurrentMember.Properties("User")
SELECT
{([Measures].[User])} ON COLUMNS,
{[Employee].[Employees].Members} ON ROWS
FROM [Step-by-Step]
;
　　
　　注意到Stephen Y.Jiang对应的windows用户为MdxUser

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1p8A6TJ6tRE6y0Q0fZmm90wv1IsHjV7v7VWEt1BxxqBY5ywvvFhtfuwA3zoCGRrVaZAhpbe6wVvVesY9pB_Pv2hw/2011-12-2%2016-18-27.png?psid=1

　　我们修改查询如下：
　　例11-9
　　WITH
MEMBER [Measures].[User] AS
[Employee].[Employees].CurrentMember.Properties("User")
SELECT
{([Measures].[User])} ON COLUMNS,
Filter(
{[Employee].[Employees].Members},
[Employee].[Employees].CurrentMember.Properties("User")=
VBAMDX!Right(
UserName(),
VBAMDX!Len(UserName()) -
VBAMDX!Instr(UserName(),"\")
)
) ON ROWS
FROM [Step-by-Step]
;
　　第二步实施允许集

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1p8MiX2xpL5GFj_a-FN65cUK5oGtUwyX-kNJmDdqfCQ0r7zPo2oVnjq8lStI0xLHbvm1ddQdjwMNBxSFk0gvHlDw/2011-12-2%2016-31-03.png?psid=1

　　第三步检验允许集：

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pPxl_7WCh1cl2h6JNVAVYjPK-31yJD7tow3BmUBaU5xyuRXcuZRREG5CcOEd-IOGy-o_KFpmRmUB20Nh9huZEtg/2011-12-2%2016-36-12.png?psid=1

　　这个结果的意义是：当你用MdxUser账户登录后，你可以访问这14个层次关系的成员，包括直接的和间接的。
　　
　　4、实施Cell级别的限制（Implementing Cell-Level Restrictions）
　　重要：本段内容以上段内容为基础，因此，对应的MdxUser限制也基于上例。如果没有完成上例，请先完成第3部分的操作。
　　第一步：设计逻辑表达式
　　例11-10
　　SELECT
{([Measures].[Reseller Sales Amount])} ON COLUMNS,
{[Employee].[Employees].Members} ON ROWS
FROM [Step-by-Step]
;

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pbg884pvppZWMDK1A6Lr9ANohEm4erQakJh2N9w6Z7FuSXiQVjBCU2lbPtAeXDo171ESRsxKlOFhr24YBtJH93Q/2011-12-2%2016-50-48.png?psid=1

　　例11-11
　　WITH
MEMBER [Measures].[Is Accessible] AS
Count(
Intersect(
Ascendants([Employee].[Employees].CurrentMember),
Filter(
{[Employee].[Employees].Members},
[Employee].[Employees].CurrentMember.Properties("User")=
VBAMDX!Right(
UserName(),
VBAMDX!Len(UserName()) -
VBAMDX!Instr(UserName(),"\")
)
)
)
) > 0
SELECT
{
([Measures].[Reseller Sales Amount]),
([Measures].[Is Accessible])
} ON COLUMNS,
{[Employee].[Employees].Members} ON ROWS
FROM [Step-by-Step]
;
　　http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pbg884pvppZWFcHJWSbpNpdUlIM_sMYAdJYRX6Puvt3sT_9C1wQGJY_7miSmMaawqIQVarRhdoAH2DraredxGCw/2011-12-2%2016-52-10.png?psid=1
　　第二步：实施设计
　　Count(
Intersect(
Ascendants([Employee].[Employees].CurrentMember),
Filter(
{[Employee].[Employees].Members},
[Employee].[Employees].CurrentMember.Properties("User")=
VBAMDX!Right(
UserName(),
VBAMDX!Len(UserName()) -
VBAMDX!Instr(UserName(),"\")
)
)
)
) > 0

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1pZirhrbGKPR5zYesLpSoYuLX8qsTk4nrLFG_Hswzb9M1MRD8UkJ5q1fK3VogiLHzWlGKzyo7TsxtrqbbV2QC28g/2011-12-2%2016-56-29.png?psid=1

　　第三步：验证限制
　　再次执行例11-10

http://onexin.iyunv.com/source/plugin/onexin_bigdata/https://public.bay.livefilestore.com/y1p9hqJgY23csN4gUFsZ3fWWyn_tCsrPTeL8RFMo8CwFTKRGhlzbaJdFDQBlqkV4X0mTHO0FzOEixQSZnrTfyrOyw/2011-12-2%2017-00-17.png?psid=1

　　
　　重要：完成本例后请务必删除MdxUser和MdxUserGroup用户组。
　　
　　小结：
　　本文介绍动态安全的相关内容，主要包括限制标准属性层次结构，限制父子层次结构、实施Cell级别的限制。下文将继续学习创建报表，也是本书的最后一部分内容。
　　参考资源：
　　1、MDX官方教程（http://msdn.microsoft.com/zh-cn/library/ms145506.aspx）
　　

　　
邀月注：本文版权由邀月和CSDN共同所有，转载请注明出处。
助人等于自助! 3w@live.cn

　　

账号		自动登录	找回密码
密码			立即注册

Centos6.5×64安装配置openmeetings3.0.3详

大疆运维招人啦，

C++ :try 语句块和异常处理

C++的多态

Red Hat RHCE 8 (EX294) Cert Guide

Java/C++ 区别：看完这一篇，就够用！

别再用过时库了！这 13 个顶级 C++ 库才是

[经验分享] 《Microsoft SQL Server 2008 MDX Step by Step》学习笔记十二：动态安全

浏览过的版块

扫码加入运维网微信交流群