Если вы планируете использовать определенные фиксированные роли БД во всех новых БД, добавьте эти роли в БД model и затем добавьте в их состав нужных пользователей. Например, вы можете создать группу пользователей Windows, выполняющую функции зашиты данных (security operators) и затем добавить ее к постоянной роди БД model. При этом каждая новая БД будет включать роль администратора защиты в которую автоматически добавляется эта группа

Windows.

Предоставление ступа к данным

Существует несколько уровней доступа к данным, и этот факт следует иметь в виду при предоставлении пользователям доступа. определитесь, хотите ли вы

предоставить пользовательский доступ к БД. Вы можете создать учетную запись пользователя guest в БД и предоставить ему ограниченные разрешения для просмотра определенных таблиц, представлений, полей и хранимых процедур. У вас нет способов проверки активности пользователей, зарегистрировавшихся под именем guest, потому что пользователь не имеет доступа к БД через свою личную учетную запись (хотя вы можете проверить действия пользователя guest), Некоторые разрешения, предоставленные учетной записи пользователя guest или отмененные для нее, не влияют на всех зарегистрированнхх пользователей, которхм предоставлены соответствующие разрешения.

Во-вторых, определите разрешения доступа к данным, которые требуются для всех

зарегистрированных в БД пользователей. Предоставьте эти разрешения роли public. Благодаря этому вы сможете предоставлять соответствующие разрешения одним действием (нужно лишь предоставить соответствующие разрешения группе public), что упростит задачи администрирования, Все зарегистрированные пользователи получают эти разрешения по умолчанию при подключении к БД.

В-третьих, если определенным пользователям или группам требуются дополнительные разрешения доступа к таблицам, представлениям, хранимым процедурам и

функциям, вы можете предоставить им необходимый доступ несколькими способами.

Если пользователям или группам требуется доступ ко всем таблицам, представлениям и функциям, вы можете добавить каждого из этих пользователей или групп к постоянным ролям БД db datawriter и/или db datareader.

Если пользователям или группам требуется доступ к определенным таблицам, представлениям, функциям и хранимым процедурам, вы можете предоставить разрешения на соответствующие объекты каждому пользователю или группе по отдельности. В случае если таких пользователей или групп много, этот способ - не

самый лучший.

Если пользователям или группам требуется доступ к определенным таблицам, представлениям, функциям и хранимым процедурам, вы можете предоставить разрешения на соответствующий объект для определяемой пользователем роли БД и

сделать каждого пользователя или группу участником этой роли. Если вы будете использовать имена пользователей SQL Server и Windows, это позволит вам локализовать доступ в одной роли, а затем просто добавлять и удалять пользователей.

Если пользователям или группам требуется доступ к большинству (но не ко всем) таблицам, представлениям и функциям, вы можете добавить каждого пользователя или группу к постоянной роли БД db datawriter и/или ab datareader, а затем в индивидуальном порядке запретить каждому из этих пользователей или групп доступ к отдельным объектам.

Занятие 3 Разработка стратегии предоставления доступа чения разрешений -j

* Если большинству пользователей или групп требуется доступ к большинству (но не ко всем иам, представлениям и функциям, вы можете добавить каждого из этих пользователей или групп к постоянным ролям БД dbdatawriter и/или а затем добавить каждого из этих пользователей или групп к постоянной определяемой пользователем роли БД, запретив доступ к объектам для этой роли. Если при этом вы используете имена пользователей SQL Server и Windows, это позволит вам локализовать все необходимые разрешения в одной роли, а затем просто добавлять и удалять пользователей,

Примечание Вы не можете использовать фиксированные роли БД db datareader и

для предоставления разрешения выполнить оператор EXECUTE.

И наконец, если вам нужно ограничить доступ к отдельным полям таблиц, лучше использовать представления или хранимые процедуры. В результате, как правило, повышается производительность

Резюме

SQL Server 2000 обеспечивает множество способов защиты данных. Выбор наиболее

подходящего метода для вашей среды! зависит от полного понимания возможностей Windows NT 4.0/2000 и SQL Server 2000. Выбирайте такую стратегию предоставления доступа и назначения которая позволит вам достичь максимально эф-

фективной защиты, выполняя при этом минимум необходимых действий. Это упростит задачу управления разрешениями а также облегчит устранение проблем, связанных с защитой данных, если таковые когда-либо возникнут.

Закрепление материала

! 7 J Приведенные ниже вопросы помогут вам лучше усвоить основные темы данной главы. Если вы не сумеете ответить на вопрос, повторите материал соответствующего занятия. Правильные ответы приведены в приложении Вопросы и ответы в конце книги. .г-:

Вы создали группу безопасности Windows 2000 для пользователей БД SalesRepor-

ting в системе SQL Server 2000 и поместили менеджеров по продажам в эту группу. Затем вы предоставили этой группе доступ к SQL Server 2000 и БД SalesReporting. Кроме того, вы включили эту в постоянную роль БД и db da-

tareader. Некоторые пользователи пожаловались, что, несмотря на наличие у них доступа к данным в каждой таблице и представлении БД, они могут выполнять не все хранимые процедуры, а только часть из них. Выяснилось также и то, что один из пользователей данной группы может выполнять все хранимые процедуры. Каковы вероятные причины этой проблемы?

2. Вам нужно предоставить определенным пользователям возможность добавлять новые данные в БД с высокой степенью зашиты. При этом также требуется весьма сильно ограничить разрешения пользователей на поиск данных. Вы заботитесь о безопасности этих данных. Какой наиболее безопасный способ вы можете использовать, чтобы разрешить пользователям выполнять из задачи?

3. Вы разрабатываете систему защиты для своего экземпляра SQL Server 2000. Вы

предоставили доступ к нему только пользователям и группам Windows 2000. Есть ли какое-либо преимущество в предоставлении разрешений определяемым пользователями группам БД по с прямым предоставлением разрешений доступа группам Windows?