Информационный сайт

 

Реклама
bulletinsite.net -> Книги на сайте -> Программисту -> Артемов Д.В. -> "Microsoft SQL Server 2000" -> 88

Microsoft SQL Server 2000 - Артемов Д.В.

Артемов Д.В. Microsoft SQL Server 2000 — М.: Издательско-торговый дом «Русская Редакция», 2001. — 576 c.
ISBN 5-7502-0154-6
Скачать (прямая ссылка): artemov.pdf
Предыдущая << 1 .. 82 83 84 85 86 87 < 88 > 89 90 91 92 93 94 .. 187 >> Следующая


Что дальше

Дальше надо проверить, какими правами доступа к БД, ее объектам и выполнения действий над объектами облает пользователь, получивший доступ к серверу. Доступ к БД организуется установлением связи идентификатора пользователя (Login) и учетного имени (User account)

www.books-shop.com

ГЛАВА 4: Управление системой безопасности

245

в БД. Учетное имя может быть создано на основании имени группы Windows NT, имени учетной записи в домене Windows NT, идентификатора индивидуального пользователя SQL Server. Если идентификатор не связан с учетным именем, а пользователь пытается подключиться к БД, сервер проверяет, имеется ли в этой БД учетное имя guest. Да — пользователь получает право на работу под этим именем в рамках прав, определенных для guest, нет — выводится сообщение об ошибке.

Учетные имена и роли идентифицируют пользователя в рамках конкретной БД и определяют владение объектами и права на исполнение SQL-команд.

Когда пользователь посылает команду серверу, тот обращается к таблице чтобы проверить его права на выполнение соот-

ветствующих действий. Если необходимые права есть, команда выполняется, в противном случае сообщается об ошибке.

Стандартные идентификаторы пользователя

Установив SQL Server, Вы получаете два стандартных идентификатора: SA и BUILTIN\Administrators. SA по-прежнему имеет абсолютные права, он приписан к роли sysadmin. Этот идентификатор сохранен для совместимости с другими версиями, и лучше его вообще не использовать.

BUILTIN/Administrators

Идентификатор BUILTIN/Administrators обеспечивает доступ к серверу всем членам административной группы Windows NT. Если Вы не хотите, чтобы сетевые администраторы имели доступ к серверу исключите этот идентификатор из роли sysadmin либо запретите им доступ к серверу и решайте вопрос доступа индивидуально для каждого конкретного человека. Исключение идентификатора BUILTIN/ Administrators из роли sysadmin оставит им доступ на сервер, но доступ к БД будет выполняться под учетным именем

SA

Повторю: применение SA лучше ограничить только приложениями, созданными для версии 6.x с жестко прописанными соединениями, использующими этот идентификатор. Для приложений, рассчитанных на версии 7.0 или 8.0, больше подойдут заново созданные идентификаторы, приписанные к группе Sysadmin.

Стандартные учетные имена

В новой БД всегда создаются два стандартных учетных имени: dbo и guest.

Данная версия книги выпущена электронным издательством "Books-shop". Распространение, продажа, перезапись данной книги или ее частей ЗАПРЕЩЕНЫ. О всех нарушениях просьба сообщать по адресу piracy@books-shop.com

Microsoft SQL Server 2000, Новейшие технологии

www.books-shop.com

dbo

При работе с БД учетное имя dbo ставится в соответствие идентификатору SA Любой объект, созданный системным администратором, автоматически передается во владение пользователю dbo. Под системным администратором я имею в виду не только SA, но и любого пользователя с соответствующими правами. Учетное имя dbo нельзя удалить из БД.

Guest

Учетное имя guest применяется для допуска к БД пользователей, не имеющих собственного учетного имени в рамках БД. Чтобы идентификатор пользователя получил в соответствие учетное имя guest, должны быть выполнены два условия:

• пользователь имеет доступ к серверу, но не имеет собственного учетного имени в самой БД;

• в БД зарегистрировано учетное имя guest.

Как и любое другое, учетное имя guest может получить набор прав. Оно может быть удалено из БД, кроме Master и Tempdb, где оно всегда должно присутствовать, чтобы пользователи могли исполнять системные хранимые процедуры.

Роли

Понятие роли (Role) появилось в версии 7.0. Роль — это именованный набор прав в рамках сервера или конкретной БД. До известной степени роль похожа на группы Windows NT. Термин «роль» известен только SQL Server и применяется затем, чтобы не вносить путаницы с группами Windows NT. Доступа к БД роль не обеспечивает. Это связано с тем, что пользователь в составе роли сначала должен подключиться к БД и только потом можно проверить его принадлежность к роли. В то же время информация о принадлежности к группе NT приходит вместе с пользователем, и сервер узнает ее на самом раннем этапе подключения. Роль может включать несколько групп NT. Замечу: SQL Server не имеет никакого отношения к администрированию собственно пользователей и групп Windows NT — сервер просто обращается к существующей информации.

В домене группы NT могут быть организованы иерархически: одна группа включает другую, та в свою очередь входит в третью и т. д. Когда информация о группе приходит при подключении пользователя, сервер видит плоскую модель. Ему нет дела до взаимодействия между группами NT — достаточно того, что пользователь — член

группы Sales и в то же время — группы finances.

Сведения о принадлежности к группам Windows NT заметно облегчают глобальное администрирование SQL Server. В созданную в

ГЛАВА 4: Управление системой безопасности

247
Предыдущая << 1 .. 82 83 84 85 86 87 < 88 > 89 90 91 92 93 94 .. 187 >> Следующая
Реклама
Авторские права © 2009 AdsNet. Все права защищены.
Rambler's Top100