SQL Server 2000

атор  базы  данных
  может просто включать пользователей в соответствующие роли.  Пользователь
  автоматически  получает  все  права  доступа,  определенные   для   роли.
  Стандартные роли базы данных уже имеют определенный набор прав. Например,
  члены  роли  db_datareader  могут  просматривать  любые  данные  в  любой
  таблице.
     Важно быть осторожным с предоставлением разрешений на доступ к  данным.
  Необходимо   внимательно   контролировать   права   доступа,   выдаваемые
  пользователю как непосредственно, так и через членство в группах  Windows
  NT и ролях SQL Server. Особенно это касается больших систем  безопасности
  с тысячами пользователей и десятками групп. Вы должны быть  уверены,  что
  существующая система безопасности дает возможность пользователю выполнять
  любые необходимые действия, но ограничивает доступ к информации,  которая
  не требуется ему для выполнения своих обязанностей.
     Используйте все возможности SQL Server, контролируя  права  доступа  не
  только на уровне таблиц, но и на уровне столбцов. Указывая права  доступа
  к  конкретному  столбцу,  вы  можете  более  гибко   управлять   системой
  безопасности.
     Аналогичные  рекомендации  касаются  разрешений  на  выполнение  команд
  Transact-SQL.  Можно  спроектировать  базу  данных  таким  образом,   что
  выполнять конкретные действия — создание таблиц,  представлений,  правил,
  резервных копий и т. д. — будут строго определенные пользователи.

Права на доступ к объектам баз данных

 Работа с данными и выполнение хранимых  процедур  требуют  наличия  класса
 доступа,  называемого  правами  на  доступ  к  объектам  баз  данных.  Под
 объектами подразумеваются таблицы, столбцы таблиц, представления, хранимые
 процедуры. Права на доступ к объектам баз данных контролируют  возможность
 выполнения пользователями,  например,  команд  SELECT,  INSERT,  UPDATE  и
 DELETE для  таблиц  и  представлений.  Таким  образом,  если  пользователю
 необходимо добавить новые данные в таблицу, ему следует предоставить право
 INSERT (вставка записей в таблицу). Предоставление же  пользователю  права
 EXECUTE разрешает ему выполнение каких-либо хранимых процедур.
 Для различных объектов применяются разные наборы прав доступа к ним: О
 SELECT, INSERT, UPDATE, DELETE, REFERENCES- эти права могут быть применены
 для таблицы или представления;
 О SELECT и UPDATE — эти права могут быть применены к  конкретному  столбцу
   таблицы или представления;
 О EXECUTE— это право применяется только к хранимым процедурам и функциям.
   Ниже приводится более подробное описание каждого из этих прав.
 О INSERT. Это право позволяет вставлять в таблицу или представление  новые
   строки. Как следствие, право INSERT может быть выдано только  на  уровне
   таблицы или представления и не может быть выдано на уровне столбца.
 О UPDATE. Это  право  выдается  либо  на  уровне  таблицы,  что  позволяет
   изменять все данные в таблице, либо на уровне  отдельного  столбца,  что
   разрешает изменять данные только в пределах конкретного столбца.
 О DELETE. Это право позволяет удалять строки из таблицы или представления.
   Как и право INSERT, право DELETE может  быть  выдано  только  на  уровне
   таблицы или представления и не может быть выдано на уровне столбца.
 О SELECT.  Разрешает  выборку  данных.  Может  выдаваться  как  на  уровне
   таблицы, так и на уровне отдельного столбца.
 О REFERENCES. Возможность ссылаться на указанный объект.  Применительно  к
   таблицам разрешает пользователю создавать внешние ключи, ссылающиеся  на
   первичный ключ или уникальный  столбец  этой  таблицы.  Применительно  к
   представлениям право REFERENCES  позволяет  связывать  представление  со
   схемами таблиц, на основе которых строится представление. Это  позволяет
   отслеживать изменения структуры исходных таблиц, которые могут  повлиять
   на работу представления. Право REFERENCES не существовало  в  предыдущих
   версиях SQL Server.
   Как следует из вышеизложенного, доступ можно предоставлять как на уровне
 всей таблицы или представления, так и на уровне отдельного столбца. Обычно
 не практикуется управление правами доступа на уровне конкретного  столбца.
 Если в таблице имеется один или более  столбцов,  доступ  пользователей  к
 которым  необходимо  ограничить,  то  в  базе   данных   часто   создается
 представление (view),  включающее  только  те  столбцы  исходной  таблицы,
 доступ к которым разрешен.
  Предоставить или  отклонить  доступ  пользователю  базы  данных  ко  всем
объектам  базы  данных  можно  при  помощи  встроенных  ролей  базы  данных.
Например, для разрешения чтения данных из всех таблиц и  представлений  базы
данных достаточно включить пользователя в фиксированную роль  db_datareader,
а не изменять права доступа пользователя к каждой таблице и представлению  в
отдельности.
  Используйте команду GRANT для  управления  разрешениями  пользователя  на
доступ к объектам базы данных:
GRANT
(ALL [PRIVILEGES] | permiss1on[....n]}
{
[(column[,...n])] ON {table | view}
| ON {table | view}[(column[,...n])]
| ON {stored_procedure | extended_procedure}
}
TO security_account[,...n] [WITH GRANT OPTION] [AS {group | role}]
  Назначение параметров команды GRANT следующее:
О  ALL  —  пользователю  предоставляются  все  доступные  разрешения.  Этот
  параметр могут использовать только участники роли sysadmln;
О  permission  —  список  доступных  разрешений,  которые   предоставляются
  пользователю  (SELECT,  INSERT,  UPDATE,  DELETE,  EXECUTE).  Вы   можете
  одновременно предоставлять несколько разрешений, в этом случае  их  нужно
  разделять запятыми;
О  security_account  —  имя  того  объекта  системы  безопасности,  который
  необходимо включить в роль. В качестве таких объектов могут выступать как
  учетные записи SQL Server, так  и  пользователи  и  группы  пользователей
  Windows NT, которым предоставлен доступ к серверу баз данных;
О table, view, column, stored_procedure, extended_procedure  —  в  качестве
  данных параметров выступают имена объектов в  текущей  базе  данных,  для
  которых необходимо предоставить доступ;
О  WITH   GRANT   OPTION—   использование   данного   параметра   позволяет
  пользователю, которому вы предоставляете права, назначать права на доступ
  к объекту другим пользователям;
О AS {group |  role)  —  этот  необязательный  параметр  позволяет  указать
  участие пользователя в  роли,  которая  имеет  возможность  предоставлять
  права другим пользователям.
  В качестве примера команды рассмотрим следующую ситуацию. Вам  необходимо
предоставить права на использование команд INSERT и SELECT группе  Engineer
в таблице Materials. При этом нужно, чтобы в дальнейшем  пользователи  этой
группы могли  сами  предоставлять  аналогичные  права.  Для  этого  следует
выполнить следующую команду:
GRANT  SELECT.   INSERT
ON Materials
TO Engineer
WITH GRANT OPTION

    Впоследствии пользователь Valentin, являющийся членом группы  Engineer,
  может предоставить аналогичные права другому пользователю L i s s:
 GRANT  SELECT,   INSERT ON Materials ' TO Liss AS Engineer
    В данном случае необходимо подтвердить, на  каком  основании  Valentine
  предоставляет права, поэтому применяется параметр AS.

Будьте осторожны при использовании параметра WITH GRANT OPTION, поскольку
  при этом вы теряете контроль над предоставлением прав на доступ другим
  пользователям. Лучше всего ограничить круг людей, обладающих возможностью
  управлять назначением прав.

     Единственное  право  доступа,  которое  может  быть  предоставлено  для
  хранимой процедуры, — это право на ее выполнение (EXECUTE).  Естественно,
  кроме этого владелец хранимой процедуры может просматривать и изменять ее
  код.
    Для функции можно выдать право на ее выполнение, а, кроме  того,  можно
  выдать право REFERENCES, что обеспечит возможность связывания  функции  с
  объектами, на  которые  ссылается  функция.  Такое  связывание  позволяет
  запретить внесение изменений  в  структуру  объектов,  которые  могли  бы
  привести к нарушению работы функции.
    Чтобы  предоставить  право  на  выполнение  хранимой  процедуры,  можно
  использовать Enterprise  Manager.  Для  этого  выберите  в  левой  панели
  Enterprise Manager нужную базу данных  и  откройте  в  ней  папку  Stored
  Procedures. В правой части  Enterprise  Manager  будет  отображен  список
  хранимых процедур,  уже  созданных  в  базе  данных.  Управление  правами
  доступа можно осуществлять в окне Object Properties (свойства  объектов),
  показанном на рис. 12.20. Вызвать это окно можно либо  с  помощью  кнопки
  Permissions (права) в окне свойств  хранимой  процедуры,  либо  выбрав  в
  контекстном меню хранимой процедуры пункт АН Tasks >  Manage  Permissions
  (все задачи > управление правами).
  Чтобы  разрешить  пользователю  выполнять   хранимую   процедуру,   нужно
установить напротив его имени галочку в поле ЕХЕС. Чтобы  запретить  доступ,
нужно  поставить  крестик.  Отсутствие  какого-либо   значка   подразумевает
неявное  отклонение  доступа.  Более  подробно  о   правах   доступа   будет
рассказано далее в этой главе.
  Управление правами доступа к функциям осуществляется аналогично.
  Другой способ управления правами  доступа  заключается  в  предоставлении
прав конкретному пользователю с помощью окна прав доступа пользователя. Для
этого в окне Enterprise Manager выберите необходимую базу данных,  а  затем
папку Users. Щелкните левой  кнопкой  мыши  на  выбранном  пользователе.  В
появившемся  окне  щелкните  на  кнопке  Permissions  (права)   и   укажите
необходимые права.


Запрещение доступа

 Система  безопасности  SQL  Server  имеет  иерархическую  структуру.   Это
 позволяет ролям базы данных  включать  в  себя  учетные  записи  и  группы
 Windows NT, пользователей и рол

Пред. 16 17 18 19 20 След.

скачать работу

Отправка СМС бесплатно