Использую ADODB для доступа к кубу из IIS (asp). И не могу скрыть от пользователя часть куба. Хотя при Test role он видит немного, но из ВЕБ видит весь куб. Значит достаточно знать имя сервера, базы, куба, и иметь доступ к малой части этого куба чтобы получить через ADODB все его данные? Широкое поле для инсайдинга. Может чего не до конца настроено с защитой?

В логах SQL сервера при обращении из моей ASP отражается именно вошедший юзер. А по этому вопросу я в MSDN нашел такую строку:
"Note: Cell-level security is not supported in OLAP Services releases prior to the Service Pack 1 (SP1) release. However, the client-side components (Microsoft PivotTable® dynamic views) of SQL Server version 7.0 are compatible with this feature."-Microsoft SQL Server OLAP Services Cell-Level Security
При установке SP2 ситуация не изменяется. Так что заходи кто хочет бери что хочешь. Попробовал написать прогу на С++ с использованием того же механизма доступа к данным. Запустил с юзерской машины и "о чудо" - увидел все данные куба, хотя этот юзер должен видеть совсем маленько. Естественно под админом его процесс запуститься никак не мог. Так что видимо придётся создавать маленькие кубики в соответствии с правами и потом собирать их в гиперкубы. Другого выхода пока не вижу. Может есть какой другой механизм?

Юзер на котором я тестировался совершенно бесправный. Машина с юзером в отделе кадров и запущена под его логом. А версия AS - 2000. (7.0 - Это просто в цитате из MSDN содержалось), но в 2000 с SP2 настроить тоже не могу. На уровне куба доступ перекрывается. При запросе выдаёт ошибку типа security error и т.д. Но если доступ к кубу есть, то ограничения на более низких (по детализации) уровнях не срабатывают.
Jпцию Enforce on Server попробовал, но результата к сожалению не получил.

1. Абсолютно уверен. Для тестов я уже оставил одну роль с одним юзером
2. dimension security
2.1. Я использую такой конструктор:
szMDX = "select " & szColumns & " on columns, " & szRows & " on rows from " & szCube
if szWhere <> "" then
szMDX = szMDX & " where " & szWhere
end if

после его отработки получается например:

select ToggleDrillState({[Склад].Levels(0).Members},{[Склад].[По всем складам]}) on columns, [Время].[(All)].members on rows from VirtCube

3. SP3 нету. Что значит "чтобы не принимал connections от SP2 клиентов"?
у меня на клиенте кроме IE ничего при запросах не работает. В этом и вся фишка. Клиентов слишком много некоторые (из высокого начальства) из дома хотят через нет вылазить. AS клиента ставить юзерам никак.

Я могу неправильно употребля термины. С AS работаю совсем недавно.
Dim Security задаю в клиенте AS 2000 на своей машине ver. 8.0.194. Может под версией MDX имелось в виду что-то другое?

На серваке с IIS стоит и AS SP2, SP3 где взять не знаю. Предприятие большое и в плане софта неповоротливое. Сейчас даже с нета слить не смогу, довнлоад отрубили. А по логину всё в порядке входит тот юзер с которого тестируюсь, DOMAIN_NAME/USER_NAME. Но от чьего имени сам запрос ведётся найти не могу (не знаю где, если это возможно), но никто больше не логинится, ни при запросах, ни при инициализации сессии с ИИС'а. Только если какой системный LogIn есть, который в логах не пишется и от чьего имени сам запрос идёт, а ИИС устанавливает сессию с одним логином а запросы от другого имени шлёт. Но это просто бред какой-то... Хотя у MS... но не до такой же степени. С 0xd на 0xf переправил. ещё не тестировал. (Юзер занят) протестирую скажу. Кстати может это имеет отношение к делу:
на SQL сервере всегда запушен прцесс от имени NT AUTHORITY/SYSTEM юзает базу msdb и всё время спит, мажет по каким то причинам от его имени запросы и выполняются? Хотя единственное что он делает это EXECUTE msdb.dbo.sp_sqlagent_get_perf_counters

Во первых огромное спасибо за ссылочки.

Юзера я действительно засёк в SQL его запросы там не отлавливаются, а вот когда он логинится отображает. Я думал, что AS идёт как надстройка или большое расширение СКЛ сервера и использует общие с ним механизмы аутентификации.

Юзер освободился, попробовал оттестить, система выдала ошибку (какую неизвестно, в IIS всё повисло наглухо пришлось сервер кнопкой повер перегружать, даже резет не работал) хотя AS на моей машине (клиент) с AS сервером в это время вязался(AS, SQL, IIS сервера на одной тачке стоят). Я думаю это вызвано изменением в реестре. Назад пока не изменил. Хочу попробовать выяснить природу ошибки. Все логи чистые с того места как клиент начал с AS вязаться. Если вяжусь с др. IIS'a виснет машина где AS с SQL-ом стоят, а в логах IIS-а полный штиль. Только: Эта страница не может быть отображена... и всё. А к SQL серверу я параллельно коннект не создаю.
Я сам уже запутался дальше некуда :-(. Даже не могу предположить куда дальше податься. Даже начал подумывать о целесообразности таких ограничений прав. Ведь для полного анализа нужна полная информация. Хотя есть несколько моментов в которых пока не могу представить как обойтись без ограничение на уровне dim.

OLAPMASTER, спасибо за совет, буду ждать сети, ставить SP3a. Была-бы ещё полная уверенность в том, что после этого всё заработает. Иначе будет жаль потраченного зря в ожидании времени.

OLAPMASTER, у меня сюжет в лучших традициях голливудских порнофильмов, предприятие большое (ГРЭС на 1,6ГВт, 2 энергоблока) база с 97 уже 4,5 ГБ первичных документов. И множество разнородных систем. Повезло, что сейчас первичка по хоз. операциям в одно место сливается, только ремонты пока не привязаны. И здесь работает несколько систем. Самые главные это SQL и LUTUS DOMINO и начальство решило инфу всю через веб пред очи свои представить. Тут даже секьюрити общего нет (а о лотусне я и говорить не хочу-сказать что это очень сексуально - это ничего не сказать). А по отчётам так их и хотим заодно кубом заменить (писать 2-15 отчётов в день очень геморно). Это кроме анализа.

Кстати, разобрался с глюком. Сис админ пропустил в нашу систему вирус. Все серваки были заражены lovesan'ом. После лечения вроде заработало. :). Эх, другого-бы админа... Ведь уже не в первый раз.