Управление доступом к SQ 2000

Глава 10

Роли базы данн1х

В табл. 10-9 перечислены системные хранимые процедуры, которые используются для изменения владельца БД, добавления или удаления записи пользователя, создания или удаления роли БД, определенной пользователем.

Табл. 10-9. Системные хранимые процедуры для изменения владельца БД,

добавления шення регистрационных записей и создания роли БД, определенной пользователем

Системная имая процедура Описание

Sp changedbowner учетнаяjianucb remap aliasJlag

Spaddrolemember роль, регистрационная запись

Sp dTopToleniembeT роль, регистрационная затсь

Spaddrole родь\ еладеяе/

Spdroprole роль

Наменяет владельца пользовательской БД. Только участники роли сервера sysadmin или настоящие владельцы БД могут менять ее аладельца

Добавляет регистрационную запись к роли БД текущей базы. Вы можете добавить роль, определенную пользователем, к роли определенной пользователем или к постоянной роли БД. Только участники ролей sysMdmin, db owner curit\ могут добавить участника к любой роли. Участники роли БД могут добавлять участников только к своей роли

Удаляет регистрационную запись из роли БД текущей базы. Только участники ролей sysadmin, db owrier и могут удалить участника из любой роли.

Участники роли БД могут удалять участников только из своей роли

Создает новую роль, определенную пользователем, в текущей БД. Хотя ете определить владельца, рекомендуется использовать значение по умолчанию (dbo). Роли, определенные пользователем, могут создавать участники роли сервера sysadmin и ролей БД и

роль, определенную пользователем, из текущей БД. Роли, определенные пользователем, могут удалять участники роли сервера sysadmin и ролей БД db securityadmin и db oviner

В следующем примере к роли БД добавляется запись

пользователя SelfPacedSQL\Bill.

Use Northwind

EXEC Spaddrolemember db.securitvadmin , SelfPacedSOL\Bill

Упражнение 4. Предоставление доступа к SQL Server 2000 и базам данных средствами Transact-SQL

В этом упражнении вы с помощью системных хранимых процедур Transact-SQL предоставите доступ пользователям и группам Windows 2000 к SQL Server 2000 и базам данных.

► Чтобы предоставить доступ к SQL Server 2000 и базам данных при помощи Transact-SQL

L Откройте Windows Explorer.

2. Откройте файл Add AD Users2.vbs из папки C;\SelfPacedSQL\CH 10.

3. В окне Windows Script Host вы увидите что процесс завершен. Сценарий Windows Script Host добавляет новое организационное подразделение (Organization LInit, OU) в раздел Active Directory SQL Server. В созданное органи-

подразделение будут включены учетные записи пользователей и три

группы с разграничением прав доступа: SQL Server Users, SQL Server Administrators

и Accounting Usere. Б группу SQL Server Users будут добавлены 15 новых пользователей Windows 2000. В группу SQL Server Administrators будут добавлены только 2 из этих 15 пользователей. В группу Accounting Users будут добавлены 3 из этих 15 пользователей. Чтобы закрыть окно Windows Script Host, щелкните ОК.

4. Раскройте меню Start\Programs\M icrosoft SQL Server и выберите Query Analyzer, Откроется окно Connect To SQL Server.

5. Установите переключатель Windows Authentication, чтобы подключиться к домену SelfPacedSQL с использованием средств икании Windows.

6. Щелкните ОК.

7. В панели инструментов щелкните кнопку Load SQL Script. Откроется окно Open Query File.

8. Откройте файл SQL Access.sql из папки C:\SelfPacedSQL\CH10.

Откроется сценарий Transact-SQL, который создаст новую БД Accounting и новую таблицу Customer. Б эту таблицу с помощью оператора BULK INSERT из файла он занесет записи о 21 клиенте и предоставит группе пользователей Windows SQL Server Users право подключиться к SQL Server 2000. Затем он добавит группу пользователей Windows SQL Server Administrators к роли сервера sysadmin. а группе Accounting Users предоставит доступ к БД Accounting. И наконец, он создаст определяемую пользователем роль Data Entry Managers и добавит к ней пользователя Windows с именем Elba.

9. Чтобы выполнить сценарий SOL Access.sql щелкните кнопку Execute Query. Обратите внимание, что в области результатов отображается запись о том, чъ-. создана БД Accounting и в нее добавлена 21 строка. Группе SQL Server Users предоставлено право подключения к SQL Server 2000. Группа SQL Server Administrators добавлена к роли сервера sysadmin. Участники роли Accounting Usere имеют доступ к БД Accounting. Создана роль Data Entry Managers и к ней добавлен пользователь Elba.

10. Закройте SQL Query Analyzer.

Просмотр информации о правах доступа

Как администратору БД, вам понадобится просматривать пользователей и группы,

определенные для вашего экземпляра SQL Server, и роли сервера, к которым они принадлежат. Вам также понадобится просматривать БД, к которым эти пользователи и группы имеют доступ, и роли БД, участниками которхх они являются. Вам может понадобиться расширить или ограничить их права доступа. Для просмотра информации о правах доступа к SQL Server 2000 и к БД вы можете использовать SQL Server Enterprise Manager и системные хранимые процедуры Transact-SQL.

Просмотр информации оправах доступа с помощью sQl Server Enterprise Manager

Если вы используете SQL Server Enterprise Manager, в дереве консоли раскройте контейнер Security. Здесь содержатся контейнеры Logins и Server Roles. В Logins включены все пользователи, которые имеют право подключаться к этому экземпляру SQL

Server 2000 (рис. 10-19).

Рис-19. Просмотр списка все роваииых пользователей SQL Server 2000

Обратите внимание, чт тслены учетные записи SQL Server 2000, а также пользователи и группы Windows 2000. Кроме того, все пользователи одяшие в группу S0!-\SO! Server Administrators, имеют только те права доступа, которые определены для данной группы. Эта группа имее мьную учетную запись, так как является участником роли сервера mi п. Вы можете удалить любую учетную запись, выбрав ее и нажав клавишу lete. Чтобы просмотреть или изменить параметры учетной записи, в том числе роли сервера и доступ к БД, дважды щелкните ее -

откроется окно SQL Server Login Properties (рис. 10-20).

Рис. 10-20. Просмотр свойств учетной записи

Примечание Системный администратор может изменить пароль любой учетной записи SQL Server.