КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Управление доступом
Чтобы пользователь мог выполнять какие-либо действия или получить доступ к БД в системе SQL Server 2000, администратор должен создать регистрационную запись, которая предоставит пользователю доступ к SQL Server 2000, и назначить ей соответствующие разрешения.
В SQL Server 2000 есть два режима проверки подлинности. По умолчанию используется режим проверки подлинности средствами Windows (Windows Authentication Mode). При этом устанавливать соединение с SQL Server разрешается только зарегистрированным пользователям Windows NT 4.0/2000, прошедшим проверку подлинности Windows. SQL Server 2000 также может работать в смешанном режиме (Mixed Mode). При этом пользователь может подключиться к SQL Server 2000, если он прошел проверку подлинности Windows NT 4.0/2000 или указал правильное имя и пароль пользователя SQL Server.
Для смены режимов после установки проще всего использовать SQL Server Enterprise Manager. Для этого в дереве консоли необходимо щелкнуть правой кнопкой свой экземпляр сервера и выбрать Свойства. На вкладке Security диалогового окна SQL Server Properties (рисунок 7) есть переключатель SQL Server And Windows или Windows Only, с помощью которого можно изменить режим проверки подлинности.
Рис 7. Выбор режима проверки подлинности.
Если учетная запись пользователя на сервере, позволяющая пользователю подключиться к SQL Server 2000, не связана ни с одной учетной записью пользователя в БД, она автоматически связывается с идентификатором учетной записи пользователя guest в этой БД (если такой идентификатор существует). Если в БД присутствует учетная запись пользователя guest, права подключающегося пользователя ограничиваются правами пользователя guest. Если в БД отсутствует учетная запись пользователя guest, подключающийся пользователь не получит доступ к БД до тех пор, пока его учетная запись на сервере не будет связана с учетной записью БД. По умолчанию во всех вновь созданных пользовательских БД отсутствует учетная запись пользователя guest.
Роли позволяют администратору БД объединять пользователей в группы, для которых задаются определенные права. В SQL Server 2000 имеются встроенные роли, определенные на уровне сервера, и роли, определенные на уровне БД. Для этих ролей заранее установлены права на уровне всего сервера и на уровне БД. Кроме того, администратор БД может создавать новые роли на уровне БД.
Каждый пользователь БД является участником роли БД public и, следовательно, обладает всеми правами, предоставленными роли public, если для него особо не определены какие-либо специальные права. Дополнительные права следует предоставлять пользователю или группе, к которой он принадлежит, в явном виде.
В SQL Server 2000 существует так же фиксированный набор ролей уровня БД. Перечень таких ролей и описание их полномочий представлены в таблице 3.
| Роль БД | Права участника этой роли |
| db_owner | Может выполнять любые задачи в БД SQL Server 2000. Имеет те же права, что владельцы БД и участники роли DBO |
| db_accessadmin | Может добавлять в БД и удалять из нее пользователей Windows NT 4.0/2000 или SQL Server (с помощью системной хранимой процедуры sp_grantdbaccess) |
| db_securityadmin | Может управлять разрешениями, ролями, записями участников ролей и создателей объектов в БД (используя операторы GRANT, REVOKE и DENY) |
| db_ddladmin | Может добавлять, изменять и удалять объекты (используя операторы CREATE, ALTER и DROP) |
| db_backupoperator | Может выполнять команды DBCC, инициировать процесс фиксации транзакций, создавать резервные копии (используя операторы DBCC, CHECKPOINT и BACKUP Transact-SQL) |
| db_datareader | Может считывать данные из пользовательских таблиц и представлений в БД (имеет право использовать оператор SELECT) |
| db_datawriter | Может изменять или удалять данные из пользовательских таблиц и представлений в БД (имеет право использовать операторы INSERT, UPDATE и DELETE) |
| db_denydatareader | Не может считывать данные из пользовательских таблиц представлений в БД (не имеет права использовать оператор SELECT). Эта роль может использоваться с ролью db_ddladmin, чтобы предоставить администратору право создавать объекты, принадлежащие роли DBO, и при этом запретить чтение важных или секретных данных, содержащихся в этих объектах |
| db_denydatawriter | Не может изменять или удалять данные из пользовательских таблиц в БД (не имеет права использовать операторы INSERT, UPDATE и DELETE) |
Табл.3 Фиксированные роли базы данных в SQL Server 2000
Чтобы создать новую учетную запись можно использовать непосредственно SQL Server Enterprise Manager или же мастер Create Login Wizard. Любой мастер, в том числе и Create Login Wizard, вызывается из диалогового окна Select Wizard (рисунок 8).
Рис 8. Запуск мастера Create Login Wizard из диалогового окна Select Wizard.
После запуска Create Login Wizard надо выбрать режим проверки подлинности для создаваемой учетной записи в окне Select Authentication Mode For This Login (рисунок 9).
Рис 9. Выбор режима проверки подлинности для создаваемой учетной записи.
Если выбрать проверку подлинности средствами Windows, то можно привязать идентификатор учетной записи к существующему пользователю или группе Windows NT 4.0/2000 в окне Authentication With Windows. Также можно предоставить или запретить доступ к серверу этому пользователю или группе.
Выбрав проверку подлинности средствами SQL Server, в окне Authentication With SQL Server надо создать новую регистрационную запись SQL Server 2000. Задайте имя и пароль нового пользователя. Чтобы запретить доступ, удалите учетную запись из списка Logins в SQL Server Enterprise Manager (или из таблицы sysxlogins БД master). Создание регистрационной записи показано на рисунке 10.
Рис 10. Создание регистрационной записи.
После того как определен тип учетной записи и создана новая, в окне Grant Access To Security Roles можно выбрать для нее роль сервера. Если пользователь не будет обладать правами администратора на уровне сервера, то не надо выбирать никакую из ролей (рисунок 11).
Рис 10. Выбор роли сервера для учетной записи.
Далее в окне Grant Access To Databases выбираются базы данных, к которым предоставляется доступ для данной учетной записи (рисунок 11).
Рис 11. Выбор баз данных для учетной записи.
Все установленные параметры для новой учетной записи до ее создания можно посмотреть далее в окне Completing The Create Login Wizard. Здесь можно изменить параметры учетной записи, выбрав Назад, или подтвердить создание учетной записи, выбрав Готово.
После создания учетной записи можно изменить права и разграничить права доступа на уровне конкретных таблиц и полей базы данных. Для этого достаточно щелкнуть правой кнопкой мыши на соответствующую учетную запись из списка Users, далее выбрать Свойства и в появившимся окне нажать кнопку Permissions (рисунок 12).
Рис 12. Редактирование прав для учетной записи.
В появившимся окне есть возможность настроить права доступа пользователя на выполнение запросов типа SELECT, INSERT, UPDATE, DELETE. Можно так же разграничить доступ к столбцам таблицы, щелкнув на кнопку Columns (рисунок 13).
Рис 13. Настройка разграничения доступа к столбцам таблицы.
Дата добавления: 2015-08-05; просмотров: 60; Мы поможем в написании вашей работы!; Нарушение авторских прав |