Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 DDL triggers & system dbs  [new]
Mr. X
Guest
Создал триггер на master & msdb с запретом на создание большинства объектов:
+

CREATE TRIGGER [Trigger]
ON DATABASE
WITH EXECUTE AS CALLER
AFTER CREATE_SCHEMA, CREATE_TABLE, CREATE_VIEW, CREATE_PROCEDURE, CREATE_TRIGGER, CREATE_USER,
CREATE_APPLICATION_ROLE, CREATE_FULLTEXT_CATALOG, CREATE_FUNCTION, CREATE_PARTITION_FUNCTION,
CREATE_PARTITION_SCHEME, CREATE_ROLE
AS
BEGIN
SET NOCOUNT ON;
SET XACT_ABORT ON;

RAISERROR (N'....', 16, 1)
IF @@TRANCOUNT > 0 ROLLBACK
END

Погонял на тесте 2012 dev: AlwaysOn работает, manual failover то же, CU ставятся (есть не подтвержденные догадки, что SQL обходит DDL триггера при проливке скриптов).
Вопрос: не станет ли он подножкой для самого MS SQL, может чего не учел?
10 июл 17, 20:02    [20630836]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 33651
Блог
Mr. X
может чего не учел?


смысл?
10 июл 17, 22:47    [20631287]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Mr. X
Guest
Критик,
Если вопрос про смысл триггеров на сисбазах, то тут всё просто: пользователи гадят где попало и это чтоб отбить у них охоту создавать объекты в этих самых базах.
11 июл 17, 00:53    [20631582]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 33651
Блог
Mr. X,

Рассмотрите вариант "просто не давать права"
11 июл 17, 01:26    [20631593]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Mr. X
Guest
Критик,

Это конечно рассматривал, но ограничивать в правах не получится по организационным вопросам. По крайней мере на данном этапе.
11 июл 17, 08:42    [20631774]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31355
Mr. X
CU ставятся (есть не подтвержденные догадки, что SQL обходит DDL триггера при проливке скриптов).
По моему, апдэйты меняют системные объект просто заменой базы resource.
Но в принципе да, проблемы при апдэйтах могут вылезти. С другой стороны, вы же контролируете их установку...
11 июл 17, 10:01    [20632006]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Mr. X
Guest
alexeyvg,

Смотрел логи после наката CU там встречались скрипты, внутрь которых я пока не заглядывал. А накат обновлений да, на этих серваках вручную.
11 июл 17, 10:40    [20632189]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 36970
Mr. X
Критик,

Это конечно рассматривал, но ограничивать в правах не получится по организационным вопросам. По крайней мере на данном этапе.
Так вам и триггер отключат, если вы не можете никого по правам ограничить.
11 июл 17, 11:27    [20632390]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Mr. X
Guest
Гавриленко Сергей Алексеевич,

Могут, прав хватит. Пока техническую сторону вопроса никто не знает. Но если так кто-то сделает и будет пойман и наказан.
11 июл 17, 11:38    [20632454]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6801
Mr. X
Гавриленко Сергей Алексеевич,

Могут, прав хватит. Пока техническую сторону вопроса никто не знает. Но если так кто-то сделает и будет пойман и наказан.

и как вы его ловить собрались?
11 июл 17, 11:40    [20632467]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Adx
Guest
Mr. X
Гавриленко Сергей Алексеевич,

Могут, прав хватит. Пока техническую сторону вопроса никто не знает. Но если так кто-то сделает и будет пойман и наказан.


При этом тех, кто создает, поймать и наказать не можете? Или можете?
Решите вопрос административно, раз не получается на уровне прав.
11 июл 17, 11:53    [20632553]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Mr. X
Guest
To All,

Организационно договоренности есть. Но на тот случай если ... и вынесен в топик вопрос.
Предлагаю отписываться по технической стороне вопроса.
11 июл 17, 14:46    [20633558]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6801
Mr. X
To All,

Организационно договоренности есть. Но на тот случай если ... и вынесен в топик вопрос.
Предлагаю отписываться по технической стороне вопроса.
технически вы страдаете бессмысленной фигнёй,
DISABLE Trigger ALL ON ALL SERVER;
11 июл 17, 14:51    [20633588]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
Mr. X
Guest
TaPaK,

Вот неугомонный, на серверах пишется аудит, логируются команды DISABLE TRIGGER и многое др. Тч отловить мерзавца несложно.
11 июл 17, 15:01    [20633673]     Ответить | Цитировать Сообщить модератору
 Re: DDL triggers & system dbs  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6801
Mr. X
TaPaK,

Вот неугомонный, на серверах пишется аудит, логируются команды DISABLE TRIGGER и многое др. Тч отловить мерзавца несложно.
это просто песня идиотизму....
11 июл 17, 15:02    [20633687]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить