Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Microsoft SQL Server |
![]() ![]() |
dim289 Member Откуда: Сообщений: 6 |
Всем привет. Есть указанный в теме сервер. Есть несколько AD групп добавленных в раздел Logins. Нужно максимально ограничить в правах пользователей из определенных групп. Есть пара вопросов: - могу ли я как то ограничить группу в правах так, чтобы она видела только пользователей и их разрешения и не видела вообще никаких баз данных? И т.к. в разделе логинов будут только группы AD к примеру, есть ли какой то еще способ, кроме вызова xp_logininfo 'domain\group' , members ? Ведь если вызывать это, необходимо будет предоставлять доступ к хранимке из которой будет вызываться данная функция. А если я правильно понимаю, нельзя дать доступ только к одной хранимке, не предоставляя при этом доступ к БД. - у всех пользователей по умолчанию есть серверная роль public. Я поснимал все галки allow(кроме собственно возможности подключаться к серверу) для этой роли. Но пользователи с этой ролью по прежнему видят системные базы данных и их содержимое. Можно как то убрать это? |
20 фев 19, 14:35 [21815454] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8340 |
dim289,
Как это? Пользователи находятся в базах. Какие общие цели преследуете? |
||
20 фев 19, 14:56 [21815481] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8340 |
Если у вас там совсекретно, то ни о каких xp_ процедурах речи идти в принципе не может. |
20 фев 19, 14:59 [21815483] Ответить | Цитировать Сообщить модератору |
dim289 Member Откуда: Сообщений: 6 |
по поводу пользователей и баз - я так понимаю изначально мы задаем логины именно на уровне сервера, и уже потом некоторым из них мы можем предоставить доступ к базам, у них и своя папка Security у каждой есть. |
||||
20 фев 19, 15:13 [21815496] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8340 |
dim289, Верно, не только подключение к базе, но и другие разрешения, групповые или явные. |
20 фев 19, 16:05 [21815551] Ответить | Цитировать Сообщить модератору |
dim289 Member Откуда: Сообщений: 6 |
все таки чем то можно заменить вызов xp_logininfo 'domain\group' , members? |
||
21 фев 19, 13:10 [21816246] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8340 |
dim289, вы же хотите, чтобы этого не было, так зачем заменять? |
21 фев 19, 13:23 [21816265] Ответить | Цитировать Сообщить модератору |
dim289 Member Откуда: Сообщений: 6 |
наоборот хочу чтобы было. чтобы пользователи с определенной ролью на MS SQL могли смотреть состав групп входящих в раздел Logins MS SQL сервера и их разрешения. |
||
21 фев 19, 15:08 [21816470] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8340 |
dim289, моё мнение в этом вопросе таково, что лучше использовать штатные средства для наблюдения и управления группами домена. |
21 фев 19, 17:18 [21816637] Ответить | Цитировать Сообщить модератору |
komrad Member Откуда: Сообщений: 5503 |
можно написать обертку, вызывающую данную процу и execute as owner, и подписать её cертификатом ассоциированным с логином с правами sysadmin + выдать права на нее нужным пользователям короче, ищите ответ со словами "Long story short" по следующей ссылке: ссылка |
||||
21 фев 19, 20:09 [21816828] Ответить | Цитировать Сообщить модератору |
Mind Member Откуда: Лучший город на Земле Сообщений: 2322 |
Administrative Tools -> Active Directory Users and Computers xp_logininfo не покажет пользователей из вложенных групп. В идеале надо делать запрос в ADSI. |
||
21 фев 19, 21:25 [21816871] Ответить | Цитировать Сообщить модератору |
Yasha123 Member Откуда: Сообщений: 1955 |
зачем же в процедуру, подписанную сертификатом с правами уровня сервера, пихать еще и execute as owner, ведь это сразу порежет права уровня сервера? execute as clause в процедуре подразумевает execute as user, никак не login |
||
22 фев 19, 09:10 [21817011] Ответить | Цитировать Сообщить модератору |
Все форумы / Microsoft SQL Server | ![]() |