적용 대상:
SQL Server Analysis Services 
Azure Analysis Services Fabric/Power BI Premium
제품 전체 계정 프로비전은 SQL Server Analysis Services를 비롯한 모든 SQL Server 서비스에 대한 포괄적인 서비스 계정 정보를 제공하는 항목인 Windows 서비스 계정 및 권한 구성에 설명되어 있습니다. 유효한 계정 유형, 설치 프로그램에서 할당한 Windows 권한, 파일 시스템 권한, 레지스트리 권한 등에 대해 자세히 알아보려면 참조하세요.
이 항목에서는 테이블 형식 및 클러스터형 설치에 필요한 추가 권한을 포함하여 SQL Server Analysis Services에 대한 추가 정보를 제공합니다. 또한 서버 작업을 지원하는 데 필요한 권한도 다룹니다. 예를 들어 서비스 계정에서 실행되도록 처리 및 쿼리 작업을 구성할 수 있습니다. 이 시나리오에서는 추가 권한이 필요합니다.
여기에 문서화되지 않은 또 다른 구성 단계는 SQL Server Analysis Services 인스턴스 및 서비스 계정에 대한 SPN(서비스 사용자 이름)을 등록하는 것입니다. 이 단계를 통해 클라이언트 애플리케이션에서 이중 홉 시나리오의 백 엔드 데이터 원본으로의 통과 인증을 사용할 수 있습니다. 이 단계는 Kerberos 제한 위임에 대해 구성된 서비스에만 적용됩니다. Kerberos 제한 위임을 위한 Analysis Services 구성을 보려면 여기를 참조하세요.
로그온 계정 권장 사항
MSSQLServerOLAPService Windows 서비스의 시작 계정은 Windows 도메인 사용자 계정, 가상 계정, MSA(관리 서비스 계정) 또는 서비스별 SID, NetworkService 또는 LocalSystem과 같은 기본 제공 계정일 수 있습니다. 도메인 사용자 계정을 서비스 로그온 계정으로 사용하면 사용자 계정 형식에 대한 세부 정보가 제공됩니다.
장애 조치(failover) 클러스터에서 Analysis Services의 모든 인스턴스는 Windows 도메인 사용자 계정을 사용하도록 구성해야 합니다. 모든 인스턴스에 동일한 계정을 할당합니다. 자세한 내용은 Analysis Services를 클러스터하는 방법을 참조하세요.
독립 실행형 인스턴스는 기본 인스턴스의 경우 NT Service\MSSQLServerOLAPService 기본 가상 계정을 사용해야 하며, 명명된 인스턴스의 경우에는 NT Service\MSOLAP$instance-name 계정을 사용해야 합니다. 이 권장 사항은 운영 체제의 경우 Windows Server 2008 R2 이상을 가정하고 Analysis Services의 경우 SQL Server 2012 이상을 가정하여 모든 서버 모드의 Analysis Services 인스턴스에 적용됩니다.
Analysis Services에 사용 권한 부여
이 섹션에서는 Analysis Services가 로컬 내부 작업에 필요한 권한을 설명합니다. 이러한 작업에는 실행 파일 시작, 구성 파일 읽기 및 데이터 디렉터리에서 데이터베이스 로드가 포함됩니다. 외부 데이터 액세스에 대한 사용 권한 설정 및 다른 서비스 및 애플리케이션과의 상호 운용성에 대한 지침은 이 항목에서 추가적으로 특정 서버 작업에 대한 추가 권한을 부여하는 데 제공됩니다.
내부 작업의 경우 Analysis Services의 권한 보유자는 로그온 계정이 아니라 서비스별 SID를 포함하는 설치 프로그램에서 만든 로컬 Windows 보안 그룹입니다. 보안 그룹에 권한을 할당하는 것은 이전 버전의 Analysis Services와 일치합니다. 또한 로그온 계정은 시간이 지남에 따라 변경 될 수 있지만 서비스별 SID 및 로컬 보안 그룹은 서버 설치의 수명 동안 일정합니다. Analysis Services의 경우 보안 그룹은 로그온 계정보다 사용 권한을 보유하는 데 더 적합합니다. 파일 시스템 권한 또는 Windows 권한 등 서비스 인스턴스에 대한 권한을 수동으로 부여할 때마다 서버 인스턴스에 대해 만든 로컬 보안 그룹에 권한을 부여해야 합니다.
보안 그룹의 이름은 패턴을 따릅니다. 접두사는 항상 SQLServerMSASUser$이며, 그 뒤에 컴퓨터 이름이 잇고 인스턴스 이름으로 끝납니다. 기본 인스턴스는 MSSQLSERVER입니다. 명명된 인스턴스는 설치 중에 지정된 이름입니다.
로컬 보안 설정에서 이 보안 그룹을 볼 수 있습니다.
compmgmt.msc 실행 | 로컬 사용자 및 그룹 | 그룹 | SQLServerMSASUser$<server-name>$MSSQLSERVER (기본 인스턴스의 경우).
구성원을 보려면 보안 그룹을 두 번 클릭합니다.
그룹의 유일한 멤버는 서비스별 SID입니다. 바로 옆에 로그온 계정이 있습니다. 로그온 계정 이름은 코스메틱이며 서비스별 SID에 컨텍스트를 제공합니다. 로그온 계정을 변경하는 경우 보안 그룹과 서비스별 SID는 변경되지 않습니다. 로그온 계정 레이블만 다릅니다.
Analysis Services 서비스 계정에 할당된 Windows 권한
Analysis Services는 서비스 시작 및 시스템 리소스를 요청하기 위해 운영 체제의 권한이 필요합니다. 요구 사항은 서버 모드 및 인스턴스가 클러스터형인지 여부에 따라 달라집니다.
Analysis Services의 모든 인스턴스에는 서비스로 로그온 (SeServiceLogonRight) 권한이 필요합니다. SQL Server 설치 프로그램은 설치 중에 지정된 서비스 계정에 대한 권한을 할당합니다. 다차원 및 데이터 마이닝 모드에서 실행되는 서버의 경우 독립 실행형 서버 설치에 Analysis Services 서비스 계정에 필요한 유일한 Windows 권한이며 설치 프로그램이 Analysis Services에 대해 구성하는 유일한 권한입니다. 클러스터형 및 테이블 형식 인스턴스의 경우 추가 Windows 권한을 수동으로 추가해야 합니다.
테이블 형식 또는 다차원 모드의 장애 조치 클러스터 인스턴스에는 예약 우선 순위 증가 (SeIncreaseBasePriorityPrivilege)가 필요합니다.
테이블 형식 인스턴스는 인스턴스가 설치된 후 수동으로 부여해야 하는 다음 세 가지 추가 권한을 사용합니다.
| 특권 | 설명 |
|---|---|
| 프로세스의 작업 집합을 늘리기 (SeIncreaseWorkingSetPrivilege) | 이 권한은 기본적으로 사용자 보안 그룹을 통해 모든 사용자가 사용할 수 있습니다. 이 그룹에 대한 권한을 제거하여 서버를 잠그면 Analysis Services가 시작되지 않을 수 있습니다. "클라이언트가 필요한 권한을 보유하지 않습니다."라는 오류를 기록합니다. 이 오류가 발생하면 해당 Analysis Services 보안 그룹에 권한을 부여하여 Analysis Services에 권한을 복원합니다. |
| 프로세스의 메모리 할당량 조정 (SeIncreaseQuotaPrivilege) | 이 권한은 인스턴스에 대해 설정된 메모리 임계값에 따라 프로세스에 실행을 완료할 리소스가 부족한 경우 더 많은 메모리를 요청하는 데 사용됩니다. |
| 메모리의 페이지 잠금 (SeLockMemoryPrivilege) | 이 권한은 페이징이 완전히 해제된 경우에만 필요합니다. 기본적으로 테이블 형식 서버 인스턴스는 Windows 페이징 파일을 사용하지만 VertiPaqPagingPolicy 를 0으로 설정하여 Windows 페이징을 사용하지 못하게 할 수 있습니다. VertiPaqPagingPolicy 를 1(기본값)으로 지정하면 테이블 형식 서버 인스턴스에서 Windows 페이징 파일을 사용하도록 지시합니다. 할당이 잠겨 있지 않으므로 Windows에서 필요에 따라 메모리를 페이지 아웃할 수 있습니다. 페이징이 사용 중이므로 메모리에 페이지를 잠글 필요가 없습니다. 따라서 기본 구성( VertiPaqPagingPolicy = 1)의 경우 테이블 형식 인스턴스에 메모리 권한의 잠금 페이지를 부여할 필요가 없습니다. VertiPaqPagingPolicy을(를) 0으로 설정합니다. Analysis Services에 대한 페이징을 해제하면 할당이 잠기고, 메모리에 페이지 잠금을 설정 권한이 테이블 형식 모델 인스턴스에 부여되었다고 가정합니다. 이 설정과 메모리에서 페이지 잠금 권한을 고려할 때, 시스템에 메모리 압박이 있을 때, Windows는 Analysis Services에 의해 만들어진 메모리 할당을 페이지 아웃할 수 없습니다. Analysis Services는 메모리에서 페이지 잠금 권한을 VertiPaqPagingPolicy = 0의 적용을 위한 것으로 사용합니다. Windows 페이징을 해제하는 것은 권장되지 않습니다. 페이징이 허용된 경우 성공할 수 있는 작업에 대한 메모리 부족 오류의 비율이 증가합니다. VertiPaqPagingPolicy에 대한 자세한 내용은 메모리 속성을 참조하세요. |
서비스 계정에서 Windows 권한을 보거나 추가하려면
GPEDIT.msc 실행 | 로컬 컴퓨터 정책 | 컴퓨터 구성 | Windows 설정 | 보안 설정 | 로컬 정책 | 사용자 권한 할당.
SQLServerMSASUser$를 포함하는 기존 정책을 검토합니다. Analysis Services가 설치되어 있는 컴퓨터에서 찾을 수 있는 로컬 보안 그룹입니다. 이 보안 그룹에는 Windows 권한과 파일 폴더 권한이 모두 부여됩니다. 서비스 정책으로 로그온을 두 번 클릭하여 보안 그룹이 시스템에 지정되는 방식을 확인합니다. 보안 그룹의 전체 이름은 Analysis Services를 명명된 인스턴스로 설치했는지 여부에 따라 달라집니다. 계정 권한을 추가할 때 실제 서비스 계정이 아닌 이 보안 그룹을 사용합니다.
GPEDIT에서 계정 권한을 추가하려면 프로세스 작업 집합 증가를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
사용자 또는 그룹 추가를 클릭합니다.
Analysis Services 인스턴스에 대한 사용자 그룹을 입력합니다. 서비스 계정은 로컬 보안 그룹의 구성원이므로 계정의 도메인으로 로컬 컴퓨터 이름을 앞에 추가해야 합니다.
다음 목록에서는 컴퓨터 이름이 로컬 도메인인 "SQL01-WIN12"라는 컴퓨터에서 기본 인스턴스와 "테이블 형식"이라는 명명된 인스턴스에 대한 두 가지 예제를 보여 줍니다.
SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER
SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR
프로세스에 대한 메모리 할당량 조정 및 필요에 따라 메모리의 페이지 잠금 또는 예약 우선 순위 증가에 대해 반복합니다.
비고
이전 버전의 설치 프로그램에서 실수로 Analysis Services 서비스 계정을 성능 로그 사용자 그룹에 추가했습니다. 이 결함이 수정되었지만 기존 설치에는 이 불필요한 그룹 멤버 자격이 있을 수 있습니다. SQL Server Analysis Services 서비스 계정은 성능 로그 사용자 그룹의 멤버 자격이 필요하지 않으므로 그룹에서 제거할 수 있습니다.
Analysis Services 서비스 계정에 할당된 파일 시스템 권한
비고
각 프로그램 폴더 와 연결된 사용 권한 목록은 Windows 서비스 계정 및 사용 권한 구성 을 참조하세요.
IIS 구성 및 SQL Server Analysis Services와 관련된 파일 권한 정보는 IIS(인터넷 정보 서비스) 8.0에서 Analysis Services에 대한 HTTP 액세스 구성을 참조하세요.
지정된 데이터 폴더에서 데이터베이스를 로드하고 언로드하는 데 필요한 권한을 포함하여 서버 작업에 필요한 모든 파일 시스템 권한은 설치 중에 SQL Server 설치 프로그램에서 할당합니다.
데이터 파일, 프로그램 파일 실행 파일, 구성 파일, 로그 파일 및 임시 파일에 대한 권한 보유자는 SQL Server 설치 프로그램에서 만든 로컬 보안 그룹입니다.
설치하는 각 인스턴스에 대해 하나의 보안 그룹이 만들어집니다. 보안 그룹의 이름은 기본 인스턴스에 대한 SQLServerMSASUser$MSSQLSERVER 또는 명명된 인스턴스의 SQLServerMSASUser$servername<$><instancename>의 이름을 따서 지정됩니다. 설치 프로그램은 서버 작업을 수행하는 데 필요한 파일 권한으로 이 보안 그룹을 프로비전합니다. \MSAS13에 대한 보안 권한을 확인하는 경우 MSSQLSERVER\OLAP\BIN 디렉터리에서 서비스 계정 또는 서비스별 SID가 아닌 보안 그룹이 해당 디렉터리에 대한 사용 권한 소유자임을 알 수 있습니다.
보안 그룹에는 SQL Server Analysis Services 인스턴스 시작 계정의 서비스별 SID(보안 식별자)라는 하나의 멤버만 포함됩니다. 설치 프로그램은 서비스별 SID를 로컬 보안 그룹에 추가합니다. SID 멤버 자격과 함께 로컬 보안 그룹을 사용하는 것은 데이터베이스 엔진에 비해 SQL Server 설치 프로그램이 Analysis Services를 프로비전하는 방식에서 작지만 눈에 띄는 차이입니다.
파일 권한이 손상되었다고 생각되는 경우 다음 단계에 따라 서비스가 여전히 올바르게 프로비전되었는지 확인합니다.
서비스 제어 명령줄 도구(sc.exe)를 사용하여 기본 서비스 인스턴스의 SID를 가져옵니다.
SC showsid MSSqlServerOlapService명명된 인스턴스(인스턴스 이름이 테이블 형식인 경우)의 경우 다음 구문을 사용합니다.
SC showsid MSOlap$Tabular컴퓨터 관리자 | 로컬 사용자 및 그룹 그룹을 | 사용하여 SQLServerMSASUser$servername$<>instancename<> 보안 그룹의 멤버 자격을 검사합니다.
멤버 SID는 1단계의 서비스별 SID와 일치해야 합니다.
Windows Explorer | 프로그램 파일 | Microsoft SQL Server의 폴더 보안 속성이 2단계의 보안 그룹에 부여되었는지 확인하려면 | MSASxx.MSSQLServer | OLAP | bin을 사용하십시오.
비고
SID를 제거하거나 수정하지 마세요. 실수로 삭제된 서비스별 SID를 복원하려면 서비스 SID를 사용하여 SQL Server 2017의 서비스에 대한 사용 권한을 부여합니다.
서비스별 SID에 대한 자세한 정보
모든 Windows 계정에는 연결된 SID가 있지만 서비스에는 SID가 있을 수도 있으므로 서비스별 SID라고 합니다. 서비스별 SID는 서비스 인스턴스가 설치될 때 서비스의 고유한 영구 고정 장치로 만들어집니다. 서비스별 SID는 서비스 이름에서 생성된 로컬 컴퓨터 수준 SID입니다. 기본 인스턴스에서 사용자에게 친숙한 이름은 NT SERVICE\MSSQLServerOLAPService입니다.
서비스별 SID의 이점은 파일 권한에 영향을 주지 않고 더 널리 표시되는 로그온 계정을 임의로 변경할 수 있다는 것입니다. 예를 들어 동일한 Windows 사용자 계정으로 실행되는 두 개의 Analysis Services 인스턴스(기본 인스턴스 및 명명된 인스턴스)를 설치했다고 가정해 보겠습니다. 로그온 계정이 공유되는 동안 각 서비스 인스턴스에는 고유한 서비스별 SID가 있습니다. 이 SID는 로그온 계정의 SID와 다릅니다. 서비스별 SID는 파일 권한 및 Windows 권한에 사용됩니다. 반면 로그온 계정 SID는 인증 및 권한 부여 시나리오에 사용되며 다른 SIDS는 다른 용도로 사용됩니다.
SID는 변경할 수 없으므로 서비스 계정을 변경하는 빈도에 관계없이 서비스 설치 중에 만든 파일 시스템 ACL을 무기한으로 사용할 수 있습니다. 추가 보안 조치로 SID를 통해 권한을 지정하는 ACL은 다른 서비스가 동일한 계정으로 실행되는 경우에도 프로그램의 실행 파일 및 데이터 폴더에 서비스의 단일 인스턴스에서만 액세스되도록 합니다.
특정 서버 작업에 대한 추가 Analysis Services 권한 부여
SQL Server Analysis Services는 SQL Server Analysis Services를 시작하는 데 사용되는 서비스 계정(또는 로그온 계정)의 보안 컨텍스트에서 일부 작업을 실행하고 작업을 요청하는 사용자의 보안 컨텍스트에서 다른 작업을 실행합니다.
다음 표에서는 서비스 계정으로 실행되는 작업을 지원하는 데 필요한 추가 권한을 설명합니다.
| 서버 작업 | 작업 항목 | 정당화 |
|---|---|---|
| 외부 관계형 데이터 원본에 대한 원격 액세스 | 서비스 계정에 대한 데이터베이스 로그인 만들기 | 처리는 외부 데이터 원본(일반적으로 관계형 데이터베이스)에서 데이터 검색을 의미하며, 이후에 SQL Server Analysis Services 데이터베이스에 로드됩니다. 외부 데이터를 검색하기 위한 자격 증명 옵션 중 하나는 서비스 계정을 사용하는 것입니다. 이 자격 증명 옵션은 서비스 계정에 대한 데이터베이스 로그인을 만들고 원본 데이터베이스에 대한 읽기 권한을 부여하는 경우에만 작동합니다. 이 작업에 서비스 계정 옵션을 사용하는 방법에 대한 자세한 내용은 임퍼소네이션 설정 옵션 (SSAS - 다차원)을 참조하십시오. 마찬가지로 ROLAP를 저장 모드로 사용하는 경우 동일한 가장 옵션들을 사용할 수 있습니다. 이 경우 계정에는 ROLAP 파티션(즉, 집계 저장)을 처리하기 위해 원본 데이터에 대한 쓰기 액세스 권한이 있어야 합니다. |
| 다이렉트쿼리 | 서비스 계정에 대한 데이터베이스 로그인 만들기 | DirectQuery는 테이블 형식 모델 내에 너무 크거나 DirectQuery를 기본 메모리 내 스토리지 옵션보다 더 적합하게 만드는 다른 특성을 가진 외부 데이터 세트를 쿼리하는 데 사용되는 테이블 형식 기능입니다. DirectQuery 모드에서 사용할 수 있는 연결 옵션 중 하나는 서비스 계정을 사용하는 것입니다. 이 옵션은 서비스 계정에 대상 데이터 원본에 대한 데이터베이스 로그인 및 읽기 권한이 있는 경우에만 작동합니다. 이 작업에 서비스 계정 옵션을 사용하는 방법에 대한 자세한 내용은 임퍼소네이션 설정 옵션 (SSAS - 다차원)을 참조하십시오. 또는 현재 사용자의 자격 증명을 사용하여 데이터를 검색할 수 있습니다. 대부분의 경우 이 옵션은 이중 홉 연결을 수반하므로 서비스 계정이 다운스트림 서버에 ID를 위임할 수 있도록 Kerberos 제한 위임에 대한 서비스 계정을 구성해야 합니다. 자세한 내용은 Kerberos 제한 위임에 대한 Analysis Services 구성을 참조하세요. |
| 다른 SSAS 인스턴스에 대한 원격 액세스 | 원격 서버에 정의된 Analysis Services 데이터베이스 역할에 서비스 계정 추가 | 원격 파티션 및 다른 원격 SQL Server Analysis Services 인스턴스에서 연결된 개체 참조는 모두 원격 컴퓨터 또는 디바이스에 대한 권한이 필요한 시스템 기능입니다. 사용자가 원격 파티션을 만들고 채웁니다. 또는 연결된 개체를 설정하면 해당 작업은 현재 사용자의 보안 컨텍스트에서 실행됩니다. 이후에 이러한 작업을 자동화하는 경우 SQL Server Analysis Services는 서비스 계정의 보안 컨텍스트에서 원격 인스턴스에 액세스합니다. SQL Server Analysis Services의 원격 인스턴스에서 연결된 개체에 액세스하려면 로그온 계정에 특정 차원에 대한 읽기 액세스와 같이 원격 인스턴스에서 적절한 개체를 읽을 수 있는 권한이 있어야 합니다. 마찬가지로 원격 파티션을 사용하려면 서비스 계정에 원격 인스턴스에 대한 관리 권한이 있어야 합니다. 이러한 권한은 허용된 작업을 특정 개체와 연결하는 역할을 사용하여 원격 Analysis Services 인스턴스에 부여됩니다. 처리 및 쿼리 작업을 허용하는 모든 권한 권한을 부여하는 방법에 대한 지침은 데이터베이스 권한 부여(Analysis Services) 를 참조하세요. 원격 파티션에 대한 자세한 내용은 원격 파티션 만들기 및 관리(Analysis Services)를 참조하세요. |
| 쓰기 저장 | 원격 서버에 정의된 Analysis Services 데이터베이스 역할에 서비스 계정 추가 | 클라이언트 애플리케이션에서 사용하도록 설정된 경우 쓰기 저장은 데이터 분석 중에 새 데이터 값을 만들 수 있는 다차원 모델의 기능입니다. 차원 또는 큐브 내에서 쓰기 저장을 사용하는 경우 SQL Server Analysis Services 서비스 계정에 원본 SQL Server 관계형 데이터베이스의 쓰기 저장 테이블에 대한 쓰기 권한이 있어야 합니다. 이 테이블이 아직 존재하지 않고 만들어야 하는 경우 SQL Server Analysis Services 서비스 계정에는 지정된 SQL Server 데이터베이스 내에서 테이블 만들기 권한도 있어야 합니다. |
| SQL Server 관계형 데이터베이스의 쿼리 로그 테이블에 쓰기 | 서비스 계정에 대한 데이터베이스 로그인을 만들고 쿼리 로그 테이블에 대한 쓰기 권한을 할당합니다. | 쿼리 로깅을 사용하도록 설정하여 후속 분석을 위해 데이터베이스 테이블에서 사용량 현황 데이터를 수집할 수 있습니다. SQL Server Analysis Services 서비스 계정에는 지정된 SQL Server 데이터베이스의 쿼리 로그 테이블에 대한 쓰기 권한이 있어야 합니다. 이 테이블이 아직 존재하지 않고 만들어야 하는 경우 SQL Server Analysis Services 로그온 계정에는 지정된 SQL Server 데이터베이스 내에서 테이블 만들기 권한도 있어야 합니다. 자세한 내용은 사용량 기반 최적화 마법사(블로그)를 사용하여 SQL Server Analysis Services 성능 향상을 참조하세요. |
관련 콘텐츠
Windows 서비스 계정 및 권한 구성
SQL Server 서비스 계정 및 Per-Service SID(블로그)
서비스 SID를 사용하여 SQL Server 2017의 서비스에 사용 권한 부여
액세스 토큰(MSDN)
MSDN(보안 식별자)
액세스 토큰(Wikipedia)
액세스 제어 목록(Wikipedia)