Занятие 2 Использование ролей приложения jjjjy

Обратите внимание, что пользователь Ana теперь может запускать эту хранимую через приложения.

23. В панели инструментов щелкните Clear Window.

24. В панели запросов введите SELECT * FRO r Viewl и в панели инструментов щелкните Execute Query.

Обратит ание, что пользователь Ana теперь может выполнить выборку данных из этого представления через роль приложения.

25. В окне SQL Query Analyzer переключитесь на оригинальный сеанс пользователя Ana.

26. Выполните запросы.

Обратите внимание, что пользователь Ana не может выполнять ни хранимую процедуру, ни выборку данных из представления. Она может использовать разрешения, предоставленные роли приложения, но они действительны только для сессии, установленной приложением.

27. Закройте окно SQL Query Analyzer. При этом роль приложения будет деактивиро-вана. Не сохраняйте изменения.

Резюме

Роли приложений очень полезны для ограничения доступа пользователя к отдельным приложениям. Вы можете создавать роль приложения и предоставлять ей соответствующие используя утилиту SQL Server Enterprise Manager или операторы Transact-SQL. Затем приложение активирует роль, используя хранимую процедуру sp setapprole и передавая пароль. Все разрешения пользователей, работающих с использованием роли приложения, ограничены назначенными ей разрешениями. Разрешения пользователя, работающего с приложением, в данном случае не имеют никакого значения.

Предоставление доступа администраторам

Для начала нужно определить пользователей, которым вы предоставите неограниченный доступ к SQL Server 2000. Есть несколько схем предоставления доступа. Если

пользователи относятся к локальной группе SQL Server 2000 Administrators (по умолчанию администраторы домена входят в состав локальной группы Administrators), то они уже имеют неограниченный доступ, так как являются участниками роли сервера sysadmin. Если же они не относятся к этой локальной группе, вы можете выполнить одно из следующих действий:

добавить в локальную группу Administrators каждого пользователя по отдельности; создать учетную запись пользователя SQL Server 2000 для каждого из пользователей, используя их учетную запись в системе Windows 2000, и сделать каждого из них членом роли сервера sysadmin;

создать обшую rpynnyWindows, 2000, объединяюшую этих пользователей, и сделать группу administrator SQL Server членом локальной группы Administrators;

создать глобальную группу Windows 2000, объединяющую этих пользователей, создать учетную запись пользователя для этой группы, а затем сделать эту учетную запись членом роли сервера sysadmin.

По мере того как возрастает число пользователей Windows 2000, которые являются системными администраторами SQL Server 2000, а также по мере того как возрастает число компьютеров, работающих с SQL Server 2000, глобальная группа Windows 2000 становится наиболее приемлемой для обеспечения надежной защиты данных.

Используя группы Windows, вы можете предоставить пользователю доступ в качестве администратора, всего лишь добавив его в данную группу Windows.

Кроме того, вы можете не захотеть предоставлять полный доступ к SQL Server 2000 всем участникам локальной группы Administrators. В этом случае удалите имя пользователя, созданное для встроенной локальной группы BUILTIN\Administrators. Однако, прежде чем удалять запись, убедитесь, что у вас имеется альтернативный доступ с разрешениями администратора (как правило, он предоставляется через учетную запись специализированной группы SQL Server).

Занятие 3. Разработка стратегии предоставления доступа и назначения разрешений

Теперь, когда вы познакомились с утилитами, позволяющими реализовать эффективную защиту данных в SQL Server 2000, вы можете разработать стратегию предоставления доступа и назначения разрешений, которая будет реализована в вашей организации. На этом занятии вы со стратегиями предоставления доступа и назначения разрешений, использующими эти утилиты, а также со слабыми и сильными сторонами каждой из стратегий в разных средах.

Изучив материал этог мтия, вы сможете:

описать доступные вам стратегии предоставления доступа и назначения разрешений;

оценить и выбрать соответствующую стратегию предоставления

доступа и назначения разрешений. ,

Продолжительность занятия около 15 минут

Занятие Разработка стратегии ения доступа и назначения разрешений

Использование групп Windows и ролей SQL Server 2000

Если есть пользователи, которым необходимо предоставить разрешения администрирования SQL Server 2000, но вы не хотите предоставлять им неограниченный доступ, используйте комбинации роли сервера для предоставления им достаточных разрешений. Продумайте, в какие встроенные группы и новые группы Windows нужно включить этих пользователей, и сделайте эти группы Windows участниками соответствующих ролей SQL Server 2000, чтобы облегчить задачи администрирования. Помните, что добавление пользователя или группы к роли сервера автоматически обеспечивает им доступ к SQL Server 2000. Также помните, что для добавления встросн-ной группы лучше использовать название группы BUILTIN, чем имя домена или компьютера.

Предоставление доступа к SQL Seer 2000

Прежде всего используйте смешанный режим проверки подлинности, только если это

действительно необходимо. Если вам все-таки придется его использовать, постарайтесь предусмотреть включения протокола шифрования SSL для всех пользовательских сессий. Создайте учетную запись SQL Server 2000 для каждой учетной записи пользователя SQL Server. Добавьте имена пользователей SQL Server к ролям сервера, если требуется, предоставив им минимальные необходимые разрешения.

Затем предоставьте доступ тем из пользователей Windows, которые нуждаются в доступе к SQL Server 2000. Продумайте создание и предоставление доступа пользователей к отдельной группе Windows 2000, которая будет содержать всех пользователей

Windows 2000, имеющих доступ к SQL Server 2000. Также обдумайте создание второй

группы Windows 2000, которая будет содержать всех пользователей, которым было

отказано в доступе к SQL Server 2000 в индивидуальном порядке. Создайте пользовательское имя для этой группы Windows 2000 и установите соответствующий запрет на доступ для членов данной группы. Использование только этих двух групп позволит вам быстро предоставлять или отменять какие-либо разрешения доступа к серверам SQL Server 2000 для пользователей Windows.

Предоставление доступа к БД

Прежде всего, если пользователь будет нести ответственность за отдельную БД, сделайте его ее владельцем. Затем создайте пользовательские учетные записи в БД для

пользователей, которым требуется доступ к ней. Если вы используете утилиту SQL

Server Enterprise Manager, то можете добавлять только тех пользователей, которые имеют учетные записи пользователей SQL Server 2000. Если вы используете операторы Transact-SQL, то можете добавить любого пользователя или группу Windows 2000.

Обдумайте создание групп Windows для каждого типа пользователя, требующих доступ к БД, с различными уровнями доступа.

Использование фиксированных ролей БД для доступа администраторов сервера

Добавьте пользователей и группы Windows, а также имена пользователей SQL Server

(если они есть) к постоянным ролям БД, чтобы обеспечить разрешения лосту та с целью выполнения специфических задач. Создайте соответствующие группы Windows и включите их в постоянные роли БД.