2015-08-21
1590
Роли базы данных можно использовать для назначения разрешений базы данных группе пользователей. В SQL Server 2005 по умолчанию создается набор ролей базы данных. Эти роли по умолчанию перечислены в таблице:
| Роли базы данных по умолчанию | |
| Роль базы данных | Описание |
| db_accessadmin | Может управлять доступом к базе данных |
| db_backupoperator | Может выполнять резервное копирование базы данных |
| db_datareader | Может читать данные из таблиц всех пользователей |
| db_datawriter | Может добавлять, удалять и обновлять данные в таблицах всех пользователей |
| db_ddladmin | Может выполнять любые команды DDL в базе данных |
| db_denydatareader | Не может читать какие-либо данные в таблицах пользователей |
| db_denydatawriter | Не может добавлять, удалять и обновлять какие-либо данные в таблицах пользователей |
| db_owner | Может выполнять все действия по настройке конфигурации и обслуживанию |
| db_securityadmin | Может изменять членство в ролях базы данных и управлять разрешениями |
| public | Особая роль базы данных. Все пользователи принадлежат к роли public. Пользователей из группы public нельзя удалить. |
Элементы ролей базы данных db_owner и db_securityadmin могут управлять членством в фиксированных ролях базы данных, однако только члены роли базы данных db_owner могут добавлять членов в фиксированную роль базы данных db_owner.
|
|
|
Каждый пользователь базы данных является членом роли базы данных public. Если пользователю не были предоставлены или запрещены особые разрешения на защищаемый объект, то он наследует на него разрешения роли public.
Роль public является специальной фиксированной ролью базы данных, которой принадлежит каждый легитимный пользователь базы данных. Она включает в себя все полномочия по умолчанию для пользователей базы данных. Это дает механизм по предоставлению всем пользователям без соответствующих полномочий набор (обычно ограниченных) полномочий.
Роль public поддерживает все полномочия по умолчанию для пользователей базы данных и не может быть удалена. Эта роль не может иметь назначенных ей пользователей, групп или ролей, потому что они принадлежат роли по умолчанию.
Помимо рассмотренных ролей существуют:
· роли приложений;
· роли, определенные пользователем
К защищаемым объектами относятся ресурсы, доступ к которым регулируется системой авторизации компонента SQL Server Database Engine. Некоторые защищаемые объекты могут храниться внутри других, создавая иерархии "областей", которые сами могут защищаться.
К областям защищаемых объектов относятся сервер, база данных и схема.
Область защищаемых объектов «сервер» содержит следующие защищаемые объекты:
· Конечная точка
· Имя входа
· База данных
|
|
|
Область защищаемых объектов «база данных» содержит следующие защищаемые объекты.
· Пользователь
· Роль
· Роль приложения
· Сборка
· Тип сообщений
· Маршрут
· Служба
· Привязки удаленных служб
· Полнотекстовый каталог
· Сертификат
· Асимметричный ключ
· Симметричный ключ
· Контракт
· Схема
Область защищаемых объектов «схема» содержит следующие защищаемые объекты:
· Тип
· Коллекция XML-схем
· Объект
Сущности, относящиеся к классу объектов:
· Статистическое вычисление
· Ограничение
· Функция
· Процедура
· Очередь
· Статистика
· Синоним
· Таблица
· Представление
Использование элементов иерархии безопасности в системе SQL Server:
1. Первый шаг будет разрешение SQL Server принимать сетевые соединения, без чего невозможен доступ к системе.
2. После настройки физического доступа, следует разрешить пользователям устанавливать соединение с экземпляром SQL Server. Выбор метода проверки подлинности, который будет использоваться системой. Создать имена входа для пользователей и групп Windows и имена входа SQL Server.
Получение доступа к экземпляру SQL Server означает доступ только для выполнения специфичных для сервера операций, для чего можно применить определенные разрешения через использование фиксированных ролей или назначения определенных разрешений именам входа.
Чтобы получить доступ к конкретной базе данных, необходимо добавить пользователя в эту базу данных. Эти пользователи обычно сопоставляются определенным именам входа в SQL Server. Когда пользователь уже существует в базе данных, можно применить специфические разрешения для выполнения операций на уровне базы данных.
Доступ к объектам базы данных контролируется различными способами, в зависимости от типа объекта. Эти разрешения могут применяться к отдельным пользователям или ролям базы данных, которые могут быть фиксированными или создаваться при необходимости для удовлетворения требований бизнеса.
Схемы
В своей модели безопасности Database Engine использует схемы для упрощения отношений между пользователями и объектами; поэтому схемы имеют очень большое влияние на взаимодействие с Database Engine.
