Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Права в MS SQL  [new]
Aleksey.Belokurov
Member

Откуда:
Сообщений: 4
Доброго времени суток!
У меня возник вопрос по раздаче прав в MS SQL.
Можно ли создать Server Role, и дать ей навесить на нее права sysadmin, это нужно для того, чтобы если мы добавляем пользователя в эту роль, то ему автоматически достаются права sysadmin.
27 ноя 13, 11:47    [15197205]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
Aleksey.Belokurov,

И чем это будет отличаться от добавления пользователя в роль sysadmin ?
27 ноя 13, 11:49    [15197221]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
Jaffar
Member

Откуда:
Сообщений: 633
Ken@t,

наверное тем что по средствам управления ролью можно управлять правами входящих в нее.
27 ноя 13, 12:22    [15197536]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
Ruuu
Member

Откуда: Иркутск
Сообщений: 4272
Aleksey.Belokurov,

Версия сервера-то у вас какая?
27 ноя 13, 12:32    [15197614]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
Сергей Викт.
Member

Откуда: Москва
Сообщений: 888
В 2012 SQL Server можно создать роль сервера.
Читать тут.
27 ноя 13, 12:36    [15197646]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
Aleksey.Belokurov
Member

Откуда:
Сообщений: 4
Всем спасибо за ответы.
Версия сервера
Microsoft SQL Server 2012 (SP1) - 11.0.3000.0 (X64)
Oct 19 2012 13:38:57
Copyright (c) Microsoft Corporation
Enterprise Edition (64-bit) on Windows NT 6.1 <X64> (Build 7601: Service Pack 1)


А вот еще момент, который я совсем не понимаю.
Вот есть логин на сервере "[имя домена]\[просто какое-то имя]", для примера возьмем вот такой "test\result". Этот логин настроен на аутентификация windows, т.е. получает там доменная аутентификация.
И к базе коннектится много пользователей с учетными записями "test\Sidorov", "test\Kozlov" и т.д., но именно этих пользователей "test\Sidorov" и т.д. я не вижу в списке Logins в SQL server, там только отображается "test\result".
И вот я не понимаю, как это работает( Могли бы вы объяснить, что и как. Или хотя бы дать где можно почитать про это.
27 ноя 13, 12:47    [15197737]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
AnyKey45
Member

Откуда: Ekaterinburg-Moscow-EU
Сообщений: 219
к логину "test\result" может быть привязана доменная группа, в которую входят "test\Sidorov", "test\Kozlov" итд
27 ноя 13, 13:17    [15198041]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
o-o
Guest
AnyKey45
к логину "test\result" может быть привязана доменная группа, в которую входят "test\Sidorov", "test\Kozlov" итд

не то, что "может быть привязана",
а это она и есть. виндовая группа отмаплена на сервер
create login [test\result] from windows 
27 ноя 13, 13:20    [15198079]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
o-o
Guest
Aleksey.Belokurov
И вот я не понимаю, как это работает( Могли бы вы объяснить, что и как. Или хотя бы дать где можно почитать про это.


могу примерно объяснить, раз никто из знающих не делится.
когда кто-то пришел на сервер с виндовой аутентикацией, он еще с собой принес инфо о всех доменных группах,
куда он входит. вроде вот описано:

Kerberos authorization data for Windows accounts

The Kerberos protocol describes a number of fields to be used in the authentication exchange. One of these, the optional authorization data field, is intended to be specific to the end service, in this case, Microsoft authorization. The Microsoft implementation follows the Kerberos specification (RFC 1510) by using the authorization field to store information about user identity and group membership. This information is stored in Microsoft authorization data that is generated by a domain controller during an AS or TGS request. The Microsoft authorization data includes the following groups of information:

Credential information. Information about the ticket and the client, such as Group IDs, which list relative IDs (RIDs) that belong to the client for his or her domain and groups
...

ну и раз он входит в группу , а она на сервере отмаплена в логин, товарищ проходит.
почему не видите индивидуальную учетку как логин?
ну потому что группу только отмапили.
а могли всех и каждого.
группами удобнее управлять, на то и сделано.
чем 1000 юзеров мапить, одну группу отмапили.

чтобы пропустить на сервер всю группу, кроме некоторых индивидуумов из нее,
группу мапим всю, а тех, кому запретить, мапим индивидуально и делаем им персональный DENY CONNECT.

на сервере же функции типа SUSER_NAME() будут показывать индивидуальную учетку, не группу-логин.
27 ноя 13, 14:21    [15198816]     Ответить | Цитировать Сообщить модератору
 Re: Права в MS SQL  [new]
Aleksey.Belokurov
Member

Откуда:
Сообщений: 4
o-o,
Спасибо большое за разъяснения)
27 ноя 13, 15:08    [15199321]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить