ГЛАВА 11

Управление разрешениями SQL Server

Занятие. Предоставление разрешений уровня базы данн1х Э14

Занятие 2. Использование леи приложения 334

Занятие 3. Разработка стратегии предоставления доступа и назначение шений 338

В этой главе

После того как вы предоставили доступ к SQL Server 2000 и его БД пользователям и

группам Windows 2000, а также, при необходимости, пользователям SQL Server 2000,

вы должны назначить им соответствующие разрешения. В этой главе вы узнаете, как сконфигурировать разрешения доступа к определенным БД для пользователей, гр>пп Windows и пользовательских ролей БД. Также вы узнаете, как использовать роли приложения. В заключение, вы научитесь разрабатывать стратегии для создания риев, реализующих средства защиты. При создании этих сценариев вы будете использовать все перечисленные выше средства.

Прежде всего

Для изучения материалов этой главы вам потребуются:

компьютер, соответствующий минимальным аппаратным требованиям, перечисленным в главе 2;

ОС Microsoft Windows 2000 Server, установленная на разделе диска с файловой системой NTFS;

компьютер с сетевым именем SelfPacedCPU, сконфигурированный как контроллер домена

один установленный по умолчанию и по крайней мере один именованный экземпляр SQL Server 2000;

БД SSEMDB, созданная при помощисценария CreateDB.sql;

результаты упражнений главы 10.

Способы получения разрешений

Пользователям БД необходимы разрешения на работу с данными, выполнение хранимых процедур, создание объектов БД и выполнение административных задач. Пользователи получают полные или ограниченные разрешения доступа к БД следующими способами:

членство в серверной роли sysadmin;

право собственности на БД; .... -

право собственности на объект БД, полученное в результате членства в роли БД или группе Windows NT 4.0/2000;

членство в фиксированной роли БД;

получение отдельных разрешений доступа в результате членства в роли БД или группе Windows NT 4.0/2000;

наследование разрешений роли public пользователем, который обладает доступом

наследование разрешений пользователя guest пользователем, который не имеет доступа к БД.

Наследуемые разрешения

Владелец ВД, а также члены серверной роли sysadmin и фиксированной роди db owner наследуют все разрешения, необходимые для выполнения любых действий в БД. К тому же пользователи, которым назначена постоянная роль БД db owner, наследуют достаточно широкие разрешения доступа для выполнения различных действий в этой БД. Например, члены фиксированной роли БД могут выполнять опе-

раторы GRANT, REVOKE или DENY над всеми объектами БД, но не могут выполнять

Занятие 1. Предоставление разрешений уровня базы данных

Независимо от способа проверки подлинности, с помощью которого пользователь получает доступ к SQL Server 2000, он должен иметь разрешения на выполнение определенных действий в пользовательской БД. Из главы 10 вы узнали о том, как предоставить пользователю с помощью ролей сервера и фиксированных ролей БД, На этом занятии вы узнаете о различии между использованием фиксированных ролей и предоставлением разрешений на выполнение отдельных операторов и работу с объектами для пользователей, групп и пользовательских ролей БД. Также вы узнаете, как предоставлять иения на выполнение операторов и работу с объектами, используя SQL Server ЕШефпзе Manager, операторы Transact-sql и системные хранимые процедуры.

Изучив материал этог №тия, вы сможете: инг<

У описать типы разрешений уровня БД;

предоставлять, блокировать и отзывать разрешения на выполнение операторов;

У предоставлять, блокировать и отзывать разрешения на работу с объектами; определять и просматривать действующие разрешения. Продолжительность занятия - около 45 минут

> Чтобы создать и в1явить конфликт разрешений гоступа

1. Убедитесь i 1; вы зарегистрировались на контроллере домена SelfPacedSQL.MSFT под учетной записью Administrator.

2. Раскройте меню SQL Server и выберите Enterprise Manager. Откроется окно SQL Server Enterprise Manager, в левой области которого отображаются деревья консоли Microsoft SQL Servers и Event Viewer (Local).

3. В дереве консоли последовательно раскройте контейнеры Microsoft SQL

SQL Server Group, экземпляра SQL Server no умолчанию, Databases, SSEMDB и Users.

операторы CREATE или BACKUP. И наоборот, члены фиксированной роли БД db ddladmin могут выполнять операторы CREATE или BACKUP, но не GRANT, REVOKE или DENY. Более того, члены роли db datareader могут считывать данные из любой таблицы или представления в БД, а члены рол awriter - записывать и изменять данные во всех таблицах и представлениях в БД.

Владелец объекта (пользователю нужно предоставить разрешение на создание объекта) наследует все связанные с объектом разрешение ступа, включая прево предоставлять разрешения на работу с данным объектом. Члены роли сервера sysadmin, а также члены фиксированных ролей БД db ddladniin и db securityadmrn могут менять владельца любого объекта БД (и отзывать все назначенные объекту разрешения).

Действие шений и результирующие конфликте!

Группам Windows, пользовательским ролям и отдельным пользователям можно назначать и блокировать наборы разрешений, связанные с ролями сервера и фиксированными ролями БД, а также конкретные разрешения на выполнение ртторо и и работу с объектами. Разрешения, предоставленные группе или роли, наследуются всеми пользователями этой группы или роли. Действующие разрешения доступа вателя, входящего в состав нескольких групп или ролей - это совокупность разрешений соответствующих ролей и групп.

Можно также отзывать и блокировать разрешения отдельных ролей, групп или пользователей. Как и в Windows 2000, блокировка разрешения имеет более высокий приоритет по отношению ко всем другим разрешениям. Например, если вы предоставляете пользователю разрешение на просмотр таблицы, но он входит в состав группы или роли, для которых данное разрешение заблокировано, пользователь не сможет просмотреть таблицу.

Примечание Если соединение устанавливается с использованием учетной записи пользователя SQL Server 2000, блокировка и предоставление разрешений пользователям и группам Windows не работают. В этом случае SQL Server 2000 не определяет, какой именно пользователе mdows работает с сервером. Используется только конкретная учетная запись SQL Server 2000 и назначенные ей разрешения.

Упражнение. Создание и выявление конфлиов с разрешениями доступа

В этом упражнении вы создадите конфликт разрешений доступа и затем устраните его.