Реферат: SQL Server 2000

О user — имя пользователя базы данных, с которым ассоциируется данная учет­ная запись.

Пользователь, который создает объект в базе данных, например таблицу, хра­нимую процедуру или представление, становится владельцем объекта. Владелец объекта (database object owner) имеет все права доступа к созданному им объек­ту. Чтобы пользователь мог создать объект, владелец базы данных (dbo) дол­жен предоставить пользователю соответствующие права. Полное имя создаваемого объекта включает в себя имя создавшего его пользователя. Если пользователь хочет обратиться к таблице, используя только ее имя и не указывая владельца, SQL Server применяет следующий алгоритм поиска.

1.  Ищется таблица, созданная пользователем, выполняющим запрос.

2.  Если таблица не найдена, то ищется таблица, созданная владельцем базы дан­ных (dbo).

Допустим, пользователь Liss пытается обратиться к таблице Lil iya .TableA, просто используя имя Tab! еА. Поскольку таблица, созданная Li I iya, не соответ­ствует ни первому, ни второму критерию поиска, то таблица ТаЫеА найдена не будет и пользователь получит сообщение об ошибке. Для получения доступа к таблице необходимо ввести имя, включающее владельца объекта, то есть Liliya.TableA.

Владелец объекта не имеет никакого специального пароля или особых прав доступа. Он неявно имеет полный доступ, но должен явно предоставить доступ другим пользователям.

SQL Server позволяет передавать права владения от одного пользователя другому. Чтобы удалить владельца объекта из базы данных, сначала необходи­мо удалить все объекты, которые он создал, или передать права на их владение другому пользователю. Для этого можно использовать хранимую процедуру sp_changeobjectowner, имеющую следующий синтаксис:

sp_changeobjectowner      [  @objname =  ]   'object'   , [  (Pnewowner  =   ]   'owner'

Здесь с помощью первого параметра указывается имя объекта, а с помощью второго — имя пользователя, который станет новым владельцем указанного объекта.

Роли сервера

Роль — это мощный инструмент, добавленный в SQL Server 7.0, чтобы заменить группы, которые использовались в предыдущих версиях. Роль позволяет объе­динять пользователей, выполняющих одинаковые функции, для упрощения ад­министрирования системы безопасности SQL Server.

В SQL Server реализовано два вида стандартных ролей: на уровне сервера и на уровне баз данных. При установке SQL Server 2000 создается 9 фиксированных ролей сервера и 9 фиксированных ролей базы данных. Эти роли вы не сможете удалить, кроме того, нельзя модифицировать права их доступа. Вы не сможете предоставить пользователю права, которые имеют фиксированные роли сервера, другим способом, кроме как включением его в нужную роль.

В предыдущих версиях SQL Server для администрирования сервера можно было использовать только учетную запись sa или ее аналог. Иначе говоря, вы могли дать либо все права, либо никаких. Теперь в SQL Server эта проблема решена путем добавления ролей сервера (server role), которые позволяют пре­доставить операторам сервера только те права, которые администратор посчитает возможным предоставить. Роли сервера не имеют отношения к администриро­ванию баз данных. Можно включить любую учетную запись SQL Server (login) или учетную запись Windows NT в любую роль сервера.

Стандартные роли сервера (fixed server role) и их права приведены в табл.

Таблица. Фиксированные роли сервера

Встроенная         Назначение

роль сервера______________________________________________

Sysadmin            Может выполнять любые действия в SQL Server
Serveradmin           Выполняет конфигурирование и выключение сервера

Setupadmin          Управляет связанными серверами и процедурами, автоматически
запускающимися при старте SQL Server

Securityadmin        Управляет учетными записями и правами на создание базы данных, также может читать журнал ошибок

Processadmin       Управляет процессами, запущенными в SQL Server

Dbcreator            Может создавать и модифицировать базы данных

Diskadmin           Управляет файлами SQL Server

Bulkadmin          Эта роль не существовала в SQL Server 7.0. Члены роли Bulkadmin могут

(Bulk Insert         вставлять данные с использованием средств массивного копирования,

administrators)      не имея непосредственного доступа к таблицам____________________

Роли баз данных

Роли базы данных (database role) позволяют объединять пользователей в одну административную единицу и работать с ней как с обычным пользователем. Можно назначить права доступа к объектам базы данных для конкретной роли, при этом вы автоматически наделяете всех членов этой роли одинаковыми пра­вами. Вместо того чтобы предоставлять доступ каждому конкретному пользова­телю, а впоследствии постоянно следить за изменениями, можно просто вклю­чить пользователя в нужную роль. Если сотрудник переходит в другой отдел, нужно просто удалить его из одной роли и добавить в другую. Создайте необ­ходимое количество ролей, которые охватывали бы все многообразие действий с базой данных. Позже, при изменении функций членов одной из ролей, доста­точно изменить права доступа для этой роли, а не устанавливать новые права для каждого пользователя.

В роль базы данных можно включать: О пользователей SQL Server; О роли SQL  Server

О пользователей Windows NT;                                                                  '

О группы Windows NT, которым предварительно предоставлен доступ к нуж­ной базе данных.

Средства Enterprise Manager позволяют добавлять в роль базы данных толь­ко пользователей базы данных (user). Используйте хранимую процедуру sp_addrolemember, чтобы задействовать все возможности SQL Server 2000:

sp_addrolemember  [@ro1ename =]   'role', [@membername =] 'security_account'

Здесь параметры означают следующее: О role— название роли SQL Server в текущей базе данных;

О security_account — имя того объекта системы безопасности, который необ­ходимо включить в роль. В качестве такого объекта могут выступать как учет­ные записи SQL Server, так и пользователи и группы Windows NT, которым предоставлен доступ к серверу баз данных.

При создании базы данных для нее определяются стандартные роли базы данных, которые, так же как и стандартные роли сервера, не могут быть измене­ны или удалены. Стандартные роли баз данных (fixed database role) и их права приведены в табл.

Таблица. Фиксированные роли баз данных

Встроенная роль                     Назначение

баз данных_______________________________________________

db__owner                                Имеет все права в базе данных
db_accessadmin                            Может добавлять или удалять пользователей

db_securityadmin                         Управляет всеми разрешениями, объектами, ролями и

членами ролей

db_ddladmin                              Может выполнять любые команды DDL, кроме GRANT, DENY

и REVOKE

db_backupoperator                        Может выполнять команды DBCC, CHECKPOINT и BACKUP
db_datareader                                Может просматривать любые данные в любой таблице БД
db_datawriter                               Может модифицировать любые данные в любой таблице БД
db_denydatareader                       Запрещается просматривать данные в любой таблице
dbjjenydatawriter_________Запрещается модифицировать данные в любой таблице_____

Кроме указанных выше ролей существует еще одна — public. Эта роль име­ет специальное назначение, поскольку ее членами являются все пользователи, имеющие доступ к базе данных. Нельзя явно установить членов этой роли, по­тому что все пользователи и так автоматически являются ее членами. Исполь­зуйте эту роль для предоставления минимального доступа пользователям, для которых права доступа к объектам не определены явно. Если в базе данных разрешен пользователь guest, то установленный для publ i с доступ будут иметь все пользователи, получившие доступ к SQL Server. Роль public имеется во всех базах данных, включая системные базы данных master, tempdb, msdb, model, И не может быть удалена.

Группы Windows NT могут быть использованы аналогично ролям SQL Server. Можно создать одну учетную запись (login) для группы Windows NT и включать соответствующих пользователей вместо роли в группу Windows NT. Выбор метода администрирования зависит от вас.

Роли приложения

Система безопасности SQL Server реализована на самом низком уровне — уров­не базы данных. Это наилучший, наиболее действенный метод контроля дея­тельности пользователей независимо от приложений, используемых ими для подключения к SQL Server. Тем не менее встречаются ситуации, когда необхо­дим постоянный набор прав для доступа к базе данных из приложения. Особен­но это касается работы с большими базами данных, имеющими множество слож­ных взаимосвязанных таблиц с тысячами или миллионами записей. Чаще всего для работы с такими базами данных создаются специальные приложения.

Кроме того, вы можете захотеть, чтобы пользователи получали доступ к базе данных только с помощью определенного приложения, не давая возможности напрямую обращаться к данным. Например, мобильные пользователи могут ис­пользовать специальную клиентскую программу, посредством которой они опе­рируют данными, устанавливая связь с сервером через незащищенные глобальные коммуникации.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26