Резюме

Чтобы разрешить пользователям доступ к SQL Server 2000, администратор БД должен определить права существующих учетных пользователей и групп Windows или

создать новые регистрационные записи SQL Server. Пользователь может подключиться к SQL Server 2000, используя свое имя и пароль в Windows или SQL Server. Последний способ менее безопасен и не используется по умолчанию. Чтобы разрешить использование регистрационных записей SQL Server при подключении пользователей к SQL Server 2000, установите смешанный режим проверки подлинности. Чтобы имя и пароль Windows могли быть переданы другим серверам, необходимо разрешить делегирование учетной записи пользователя в Windows 2000.

288 Управление доступом к SQ г 2000 * Глава 10

Занятие 2. Авторизация

После проверки подлинности пользователь может выполнять только административные задачи и обращаться только к тем БД, для которых ему были предоставлены соответствующие разрешения доступа. На этом занятии вы узнаете о различных методах назначения разрешений пользователям. Вы познакомитесь с ролями сервера (их также называют ванным! ролями сервера). Вы узнаете, какие разрешения можно определять на уровне БД. В их число входят разрешения владельца БД (database owner), разрешения роли БД (database roles), разрешения на выполнение операторов (statement permissions), разрешения доступа к объектам (object permissions) и роли приложений (application roles).

Изучив материал этого занятия, вы сможете:

описать роли сервера; описать фиксированные роли и пользовательские роли БД; рассказать о разрешениях владельца БД; У описать разрешения доступа к объектам и разрешения на выполнение операторов.

Продолжительность занятия - около 15 минут

Разрешения уровня сервера

В SQL Server 2000 есть несколько предопределенных ролей уровня сервера, обладающих правами администратора. Вы не можете удалить роли сервера или изменить их права. Чтобы предоставить эти права пользователю, добавьте его учетную запись в состав роли сервера. При помощи Transact-SQL вы можете добавлять к роли сервера пользователей или группы Windows, не создавая предварительно учетную запись (SQL Server 2000 создаст ее автоматически).

Примечание Концепция ролей сервера совпадает с концепцией встроенных групп Windows 2000.

В табл. 10-2 перечислены 8 ролей сервера SQL Server 2000. Табл. 10-2. Роли сервера в SQL Server 2000 Роль сервера Член роли может

Sysadmin Выполнять любу Ш1ачу в любой БД SQL Server 2000. По умолчанию

учетная запись SQL Server sa и все члены группы Windows Administrators являются членами данной роли

Serveradmin Конфигурировать SQL Server 2000 с помощью системной хранимой процелуры sp con figure и останавливать службы SQL Server 2000. Рекомендуется добавить сюда членов встроенной группы Windows Server Operators

iSetupadmin Устанавливать и изменять параметры конфигурации удаленных

и связанные ров, а также параметры репликации. Кроме того, пользователи также включать некоторые хранимые процедуры, например niption, в числ тедур. выполняемых при запуске системы. Рекомендуется добавить сюда членов встроенной группы Windows Server Opt rators

Занятие 2

Авторизация

В табл. 10-4 перечислены фиксированные роли уровня БД Server 2000. Табл. 10-4. Фиксированн1е роли баз ных в SQL Server 2000

Роль БД

Права участника этой роли

db owner

db accessadmin

db secxirityadmm

dbddladmin db backupoperator

db datareader dbdatawriter

dbdenydatareader

dbdenydatawriter

Может выполнять любые задачи в БД SQL Server 2000. Имеет те же права, что владельцы БД и участники роли DBO

Может добавлять в БД и удалять из нее пользователей Windows NT 4.0/2000 или SQL Server (с помощью системной хранимой процедуры sp grantdbaccess)

Может управлять разрешениями мями, записями участников ролей и создателей объектов в БД (используя операторы GRANT, REVOKE и DENY)

Может добавлять, изменять и удалять объекты (используя операторы CREATE, ALTER и DROP)

Может выполнять команды DBCC, инициировать процесс фиксации транзакций, создавать резервные копии (используя операторы DBC!C, CHECKPOINT и BACKUP Transact-SQL)

Может считывать данные из пользовательских таблиц и представлений в БД (имеет право использовать оператор SELECT)

Может изменять или удалять из пользовательских таблиц и

представлений в БД (имеет право использовать операторы INSERT,

UPDATE и DELETE)

Не может считывать данные из пользовательских таблиц представлений в БД (не имеет права использовать оператор SELECT). Эта роль может использоваться с роль ladmin, чтобы предоставить администратору право создавать объекты, принадлежащие роли DBO, и при этом запретить чтение важных или секретных данных, содержащихся в этих объектах

Не может или удалять данные из ц в

БД (не имеет права использовать операторы INSERT, UPDATE и

DELETE)

Резюме

Получив доступ к SQL Server 2000, пользователь должен получить разрешения на выполнение каких-либо действий, При назначении разрешений для выполнения функций уровня сервера используются роли сервера. Чтобы предоставить пользователям или группам разрешения на работу с БД, используйте роли БД. Вы также можете предоставлять разрешения на выполнение операторов или управление объектами. Чтобы предоставить такие разрешения, можно использовать роли, определенные пользователем. Можно назначить некоторые разрешения пользователю guest и перечислить разрешения, предоставляемые всем прошедшим проверку подлинности лям, в роли public.

1 1-1219