ГЛАВА 1
Технологии администрирования баз данных
Технологии администрирования баз данных
1.4
Права на доступ к базе данных
Права на доступ к базе данных
Факт установления соединения с сервером еще не дает пользователю права осуществлять манипуляции с объектами сервера.
Для каждой БД SQL Server хранит независимый набор пользователей и групп, в которые они входят. По умолчанию в каждой базе существует пользователь dbo — владелец БД, и группа public, к которой принадлежат все имена пользователей этой базы. Каждое имя пользователя может дополнительно принадлежать еще и к другим группам. Выделяются фиксированные роли БД, обладающие стандартным набором прав. Могут быть созданы дополнительные группы и им назначены права. Набор фиксированных ролей БД приведен в табл. 1.2.
Для каждой БД SQL Server хранит независимый набор пользователей и групп, в которые они входят. По умолчанию в каждой базе существует пользователь dbo — владелец БД, и группа public, к которой принадлежат все имена пользователей этой базы. Каждое имя пользователя может дополнительно принадлежать еще и к другим группам. Выделяются фиксированные роли БД, обладающие стандартным набором прав. Могут быть созданы дополнительные группы и им назначены права. Набор фиксированных ролей БД приведен в табл. 1.2.
Таблица 1.2. Стандартные роли пользователей баз данных
Каждой роли и (или) каждому пользователю БД могут быть назначены права на любой из объектов БД (чтение, запись, изменение, удаление данных, выполнение ссылочной целостности и выполнение процедур). Если имеется несколько пользователей с одинаковыми правами, то их следует объединять в группы и назначать права этой группе.
Чтобы конкретный пользователь имел доступ к БД, его учетная запись должна быть ассоциирована с каким-либо пользователем в этой БД. Одна учетная запись может соответствовать в разных БД разным пользователям. В одной БД одна учетная запись может соответствовать только одному пользователю. Один пользователь БД может соответствовать не более чем одной учетной записи.
Если учетная запись не сопоставлена никакому пользователю БД, доступ к объектам БД можно получить, если в ней создан специальный пользователь — Guest. Под этим именем доступ к объектам БД получают те, чья учетная запись не сопоставлена конкретному пользователю.
Учетные записи, входящие в серверную роль sysadmin, всегда сопоставляются с пользователем dbo даже в том случае, если базу создавал какой-либо другой пользователь сервера. Кроме того, пользователям, применяющим Windows Authentication, могут быть предоставлены права на объекты БД напрямую, без предварительного сопоставления с пользователем БД. Однако делать этого не рекомендуется.
В табл. 1.3 приведены команды, представления и функции, предназначенные для работы с ролями уровня БД.
Учетные записи, входящие в серверную роль sysadmin, всегда сопоставляются с пользователем dbo даже в том случае, если базу создавал какой-либо другой пользователь сервера. Кроме того, пользователям, применяющим Windows Authentication, могут быть предоставлены права на объекты БД напрямую, без предварительного сопоставления с пользователем БД. Однако делать этого не рекомендуется.
В табл. 1.3 приведены команды, представления и функции, предназначенные для работы с ролями уровня БД.
Таблица 1.3. Средства для работы с ролями базы данных
Посмотреть текущее состояние ролей БД можно, выбрав в объектах БД Roles и щелкнув на любой роли в правом окне. В результате отобразится список пользователей, которые принадлежат к данной роли в конкретной БД (рис. 1.5).
Рис. 1.5. Список пользователей, имеющих конкретную роль в БД
Одновременно в данном интерфейсе можно добавить к роли нового пользователя. Однако необходимо помнить, что этот пользователь уже должен иметь право на подключение к серверу БД, т. е. быть легальным пользователем сервера MS SQL Server, на котором размещена БД, и быть пользователем самой БД.
