Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
Нужно определенному пользователю запретить доступ ко всем таблицам определенной базы кроме 2-х таблиц.
Как сделать быстрее? Можно ли запретить SELECT сразу ко всем таблицам базы, а потом открыть нужные?
USE AdventureWorks2012;
DENY SELECT ON OBJECT::Person.Address TO RosaQdM;
GO
6 ноя 15, 12:09    [18377467]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
o-o
Guest
по умолчанию и так нет никакого доступа никуда.
а выдать надо только SELECT на нужное
6 ноя 15, 12:15    [18377500]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8823
EvilHomer,

По умолчанию доступа почти ни к чему нет у пользователя (если Вы его не записали в dbo по каким-то причинам). Запрет - это "черный список". Например, вы даете доступ к "белому" списку объектов, но нужны исключения, тогда применяете "черный".
6 ноя 15, 12:47    [18377699]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
o-o, Создаю новое имя входа, роль public снять нельзя, больше не чего не назначаю, сопоставление имени пользователя базы не делаю. Выполняю от созданного пользователя запрос к любой базе select * from table, запрос выполняется. Может я не так выражаю свою мысль.
6 ноя 15, 12:49    [18377714]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Glory
Member

Откуда:
Сообщений: 104751
EvilHomer
Выполняю от созданного пользователя запрос к любой базе select * from table, запрос выполняется.

Значит
- этот логин sa
- этот пользователь db_owner
- public-у назначены права
6 ноя 15, 12:53    [18377744]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
o-o
Guest
EvilHomer
o-o, Создаю новое имя входа, роль public снять нельзя, больше не чего не назначаю, сопоставление имени пользователя базы не делаю. Выполняю от созданного пользователя запрос к любой базе select * from table, запрос выполняется. Может я не так выражаю свою мысль.

я не верю в чудеса.
покажите результат вот этого:
select user, system_user;

select *
from sys.fn_my_permissions(null, 'server');
6 ноя 15, 12:54    [18377755]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
o-o
Guest
Glory
Значит
- этот логин sa
- этот пользователь db_owner
- public-у назначены права

раз он даже не мапит пользователя в базы,
а тот всюду пролазит,
это минимум control на сервер.
наверно, кто-то прикололся и выдал control server to public
6 ноя 15, 12:57    [18377783]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8823
EvilHomer,

exec sp_helplogins
exec sp_helpsrvrolemember
6 ноя 15, 13:01    [18377808]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8823
Кстати, верно насчет public.
6 ноя 15, 13:03    [18377827]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
o-o
Glory
Значит
- этот логин sa
- этот пользователь db_owner
- public-у назначены права

раз он даже не мапит пользователя в базы,
а тот всюду пролазит,
это минимум control на сервер.
наверно, кто-то прикололся и выдал control server to public


Наверно так и есть, исправить легко?
server CONNECT SQL
server SHUTDOWN
server CREATE ENDPOINT
server CREATE ANY DATABASE
server ALTER ANY LOGIN
server ALTER ANY CREDENTIAL
server ALTER ANY ENDPOINT
server ALTER ANY LINKED SERVER
server ALTER ANY CONNECTION
server ALTER ANY DATABASE
server ALTER RESOURCES
server ALTER SETTINGS
server ALTER TRACE
server ADMINISTER BULK OPERATIONS
server AUTHENTICATE SERVER
server EXTERNAL ACCESS ASSEMBLY
server VIEW ANY DATABASE
server VIEW ANY DEFINITION
server VIEW SERVER STATE
server CREATE DDL EVENT NOTIFICATION
server CREATE TRACE EVENT NOTIFICATION
server ALTER ANY EVENT NOTIFICATION
server ALTER SERVER STATE
server UNSAFE ASSEMBLY
server ALTER ANY SERVER AUDIT
server CONTROL SERVER
6 ноя 15, 13:06    [18377853]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Glory
Member

Откуда:
Сообщений: 104751
EvilHomer
Наверно так и есть, исправить легко?

Также легко, как и назначить
Главное понимать, для чего вы назначаете или отбираете права. И как это подействует на всех

Сообщение было отредактировано: 6 ноя 15, 13:11
6 ноя 15, 13:10    [18377896]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
Glory, Какие права должны быть у public, только не ругайте:) Я понимаю что если я их ограничу, пятница автоматом продлится, но все же. Сейчас вот так:

К сообщению приложен файл. Размер - 137Kb
6 ноя 15, 13:16    [18377961]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
o-o
Guest
EvilHomer,

почему не показываете system_user?
одно дело, если это рядовой login и тогда действительно из public пришло
(как видите, у него CONTROL SERVER)
и другое дело, если вы продолжаете под админом коннектиться,
но не осознаете этого
6 ноя 15, 13:18    [18377979]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Glory
Member

Откуда:
Сообщений: 104751
EvilHomer
Какие права должны быть у public, только не ругайте:)

Те, которые нужны согласно вашей модели безопасности.
Он у вас есть ? Модель то ?
6 ноя 15, 13:19    [18377991]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
o-o
Guest
EvilHomer,

уффа.
контрол сервер паблику дали.
остальные галки можно снять, у него уже все есть.
это диверсия
6 ноя 15, 13:20    [18378005]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8823
Управление сервером точно отключить надо.
6 ноя 15, 13:21    [18378009]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Glory
Member

Откуда:
Сообщений: 104751
o-o
это диверсия

Или какое-нибудь "суперприложение".
Вон в соседней теме человек пишет генератор отчетов, который должен скрывать пустые таблицы и поля.
6 ноя 15, 13:24    [18378036]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
o-o, "почему не показываете system_user?" Да на скрине под SA, до этого под созданным пользователем test2, я понял что пришло из паблик, спасибо.
6 ноя 15, 13:27    [18378066]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
o-o
Guest
EvilHomer,

надо бы поискать, кто так пошутил.
как один раз сделал, так и обратно вернет.
у вас сейчас на сервере все поголовно админы.
control server отобрать,
оставшихся админов пересчитать и допросить, кто постарался.
если вы по идее единственный админ, всех из роли sysadmin выкинуть.
и после этого еще раз один за одним проверьте разрешения уровня сервера.
нас интересуют личности, имеющие
control server
control on sa
impersonate on sa
6 ноя 15, 13:30    [18378090]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
o-o
Guest
Glory
o-o
это диверсия

Или какое-нибудь "суперприложение".

вот и у логина суперприложения отобрать.
и пускай попробует вернуть
6 ноя 15, 13:32    [18378100]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
Glory
EvilHomer
Какие права должны быть у public, только не ругайте:)

Те, которые нужны согласно вашей модели безопасности.
Он у вас есть ? Модель то ?
Знаете как у нас бывает, делаем без модели, плана, проекта, а потом проблемы, а потом приходят другие, а наворочено уже..........:) Я не занимался правами безопасности в SQL ранее, в AD да, и понимаю, что такие права как сейчас это (мат, мат, мат). Оставлю паблику соединение с сервером и все и буду разгребать.
6 ноя 15, 13:32    [18378107]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Glory
Member

Откуда:
Сообщений: 104751
o-o
вот и у логина суперприложения отобрать.
и пускай попробует вернуть

Это если оно под одним логином работает
6 ноя 15, 13:34    [18378127]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
Glory
Member

Откуда:
Сообщений: 104751
EvilHomer
Знаете как у нас бывает, делаем без модели, плана, проекта, а потом проблемы, а потом приходят другие, а наворочено уже..........:) Я не занимался правами безопасности в SQL ранее, в AD да, и понимаю, что такие права как сейчас это (мат, мат, мат). Оставлю паблику соединение с сервером и все и буду разгребать.

Что вы тогда полезли в настройки безопасности, если не знаете, зачем эти права назначены ?
6 ноя 15, 13:35    [18378139]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
o-o, диверсия 1%, делфист ящер со своим ПО 99%:)
6 ноя 15, 13:35    [18378141]     Ответить | Цитировать Сообщить модератору
 Re: Помогите чайнику с DENY, запрет разрешений на объект.  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
Glory
EvilHomer
Знаете как у нас бывает, делаем без модели, плана, проекта, а потом проблемы, а потом приходят другие, а наворочено уже..........:) Я не занимался правами безопасности в SQL ранее, в AD да, и понимаю, что такие права как сейчас это (мат, мат, мат). Оставлю паблику соединение с сервером и все и буду разгребать.

Что вы тогда полезли в настройки безопасности, если не знаете, зачем эти права назначены ?

Уже знаю, Вам спасибо. Только один вопрос, при установке SQL паблику выдаются данные права по умолчанию, или нет?
6 ноя 15, 13:38    [18378174]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить