Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Как создать базу не видимую для админов  [new]
Santa89
Member

Откуда:
Сообщений: 1498
Есть ряд админов SQL Server, в роли sysadmins.
Требуется создать отдельную пользовательскую БД для нескольких юзеров из AD таким образом, чтобы туда не могли ходить админы, просматривать таблицы этой БД итд.

Как это можно сделать?
Вручную убирать галки с этой новой БД у всех админов в роли sysadmins? Ведь по-моему они запросто могут потом себе эти галки обратно вернуть...
27 сен 16, 12:33    [19712838]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6801
Santa89,

пчёлы против мёда? не давать всем SA а разграничить иными ролями не вариант?
27 сен 16, 12:44    [19712903]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
aleks2
Guest
1. Защиты от админа нет.
2. Если нужна защита от админа - см. п.1.

ЗЫ. Шифрование можно замутить на новых версиях MS SQL.
27 сен 16, 12:46    [19712910]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
правильный проходящий.
Guest
Santa89,
очередная попытка что-то запретить админу...
Админ без прав - нонсенс.
27 сен 16, 12:46    [19712916]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
komrad
Member

Откуда:
Сообщений: 5593
Santa89,

либо Always Encrypted (https://msdn.microsoft.com/en-us/library/mt163865.aspx)
либо так (не проверял) - http://www.sqlservercentral.com/blogs/forrards-group-database-blog/2015/09/10/sql-server-2014-protection-against-database-administrator/
27 сен 16, 12:52    [19712943]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Santa89
Member

Откуда:
Сообщений: 1498
правильный проходящий,

ну почему же...
просто в БД как предполагается будут лежать зарплатные данные, они должны быть видны только паре финансовых пользователей и главному админу, при этом у главного админа есть подчиненые админы, с теми же правами что и у него. вот у таких подчиненных админов и требуется отобрать доступ на просмотр.
27 сен 16, 12:57    [19712973]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
komrad
Member

Откуда:
Сообщений: 5593
Santa89
правильный проходящий,

ну почему же...
просто в БД как предполагается будут лежать зарплатные данные, они должны быть видны только паре финансовых пользователей и главному админу, при этом у главного админа есть подчиненые админы, с теми же правами что и у него. вот у таких подчиненных админов и требуется отобрать доступ на просмотр.


под такое напрашивается отдельный инстанс
27 сен 16, 12:59    [19712976]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Santa89
Member

Откуда:
Сообщений: 1498
komrad,

согласен, но требование такое чтобы именно на нашем серваке это сделать
27 сен 16, 13:00    [19712986]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Mr. X
Guest
Santa89,

На одном WS можно развернуть до 50 инстансев SQL
27 сен 16, 13:25    [19713163]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Wlr-l
Member

Откуда:
Сообщений: 523
Mr. X,

Посмотрите систему безопасности серверов новее 2012.
27 сен 16, 13:30    [19713197]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37198
Santa89
komrad,

согласен, но требование такое чтобы именно на нашем серваке это сделать
От мышей требуют стать ежиками? Sensitive-данные надо шифровать.
27 сен 16, 13:31    [19713200]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Mr. X
Guest
Wlr-l
Mr. X,

Посмотрите систему безопасности серверов новее 2012.


Поясните, пжл, свою мысль.
27 сен 16, 13:52    [19713352]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
uaggster
Member

Откуда:
Сообщений: 972
Да никак это не решается.
Только средствами 2016 Always Encrypted, как выше сказали.

Или можно часть данных уже хранить зашифрованными в полях. Совершенно нормальное решение, особенно если не требуется поиск по ним.
27 сен 16, 15:10    [19713876]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6801
повторюсь: зачем им всем sa?
27 сен 16, 15:11    [19713883]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Santa89
Member

Откуда:
Сообщений: 1498
Вобщем решили просто на отдельном инстансе запилить это всё.

TaPaK, затем, что когда новые админы приходили в команду мы как-то не думали что в будущем возникнет необходимость разделить всех админов на суперадмина и его подчиненных, у которых должны быть идентичные права за исключением одной базы.
27 сен 16, 18:42    [19715132]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Adx
Guest
Что мешает подумать сейчас?
27 сен 16, 18:46    [19715152]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6801
Santa89
Вобщем решили просто на отдельном инстансе запилить это всё.

TaPaK, затем, что когда новые админы приходили в команду мы как-то не думали что в будущем возникнет необходимость разделить всех админов на суперадмина и его подчиненных, у которых должны быть идентичные права за исключением одной базы.

отобрать sa и дать на базы + там viewserverstate достаточно
27 сен 16, 18:51    [19715171]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31813
Santa89
просто в БД как предполагается будут лежать зарплатные данные, они должны быть видны только паре финансовых пользователей и главному админу, при этом у главного админа есть подчиненые админы, с теми же правами что и у него. вот у таких подчиненных админов и требуется отобрать доступ на просмотр.
Нельзя отобрать часть прав у админа.

Santa89
требование такое чтобы именно на нашем серваке это сделать
Т.е. какие то специалисты уже приняли техническое решение о реализации функциональных требований? Ну пусть тогда скажут, как это сделать, чего они скрывают от вас проект?
Или пусть секретарши и бухгалтеры не занимаются проектированием ИТ-решений, если не разбираются в этом.
28 сен 16, 00:17    [19716184]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31813
Santa89
Вобщем решили просто на отдельном инстансе запилить это всё.
Так админы какие, виндовые? Дадут себе права и на этот инстанс :-)
Если речь была о сиквельных админах, то да, правильное решение.
28 сен 16, 00:20    [19716187]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Adx
Guest
alexeyvg
Нельзя отобрать часть прав у админа.


Но можно дать пользователю нужные права. Можно настроить очень гибко, есть набор операций, которые делает конкретный админ - вот на эти операции права и дать. Конечно, проще дать всем роль sysadmins, а потом пытаться что-то отнять.
28 сен 16, 11:05    [19717116]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31813
Adx
alexeyvg
Нельзя отобрать часть прав у админа.

Но можно дать пользователю нужные права. Можно настроить очень гибко, есть набор операций, которые делает конкретный админ - вот на эти операции права и дать. Конечно, проще дать всем роль sysadmins, а потом пытаться что-то отнять.
Некоторые действия предполагают только права админа, и по другому никак...
28 сен 16, 11:08    [19717135]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Adx
Guest
alexeyvg
Некоторые действия предполагают только права админа, и по другому никак...


Безусловно.
Но интересно, что делать, если САМЫЙ ГЛАВНЫЙ АДМИН будет в отпуске или заболеет, а с базой (сервером) проблемы?
А виндовые админы - как быть с ними? А если сговорятся?
Можно шифровать, можно не давать права абсолютно всем на все, можно ввести внутренний регламент и смотреть логи, но решение всегда сводится к "как бы отнять права у sysadmins". Некоторые и всем пользователям sysadmin дают - чтобы вообще с правами не заморачиваться.
28 сен 16, 12:42    [19717648]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Konst_One
Member

Откуда:
Сообщений: 11593
для этого существуют дмз-зоны и входы по карточкам и тп
28 сен 16, 13:04    [19717762]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
Santa89
Member

Откуда:
Сообщений: 1498
Мне интересно, а если зашифровать поле - как потом отчетная система его прочитает? Тот же SSRS например?
28 сен 16, 13:49    [19718099]     Ответить | Цитировать Сообщить модератору
 Re: Как создать базу не видимую для админов  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31813
Santa89
Мне интересно, а если зашифровать поле - как потом отчетная система его прочитает? Тот же SSRS например?
Это просто вопрос разграничения прав.

Я вот в своей организации сисадмин, а в других российских компаниях не могу прочитать данные, хотя там отчёты строятся нормально.

Если в мире микропроцессорных систем так сложилось, что есть некий root (sysadmin), и нельз разграничить права между админами в рамках одной машины/одного домена, то нужно делать полностью раздельные сети, машины, отчётные системы и т.д.
Это стандартный подход, в крупных организациях таких независимых систем много.

Вот и ТС так же решил проблему, но т.к. у него админы просто сиквельные, то обошлось отдельным инстансом.
28 сен 16, 15:32    [19718826]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить