Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 вопрос по безопасности ms sql 2008  [new]
dim289
Member

Откуда:
Сообщений: 6
Всем привет. Есть указанный в теме сервер.
Есть несколько AD групп добавленных в раздел Logins.
Нужно максимально ограничить в правах пользователей из определенных групп.

Есть пара вопросов:
- могу ли я как то ограничить группу в правах так, чтобы она видела только пользователей и их разрешения и не видела вообще никаких баз данных?
И т.к. в разделе логинов будут только группы AD к примеру, есть ли какой то еще способ, кроме вызова xp_logininfo 'domain\group' , members ? Ведь если вызывать это, необходимо будет предоставлять доступ к хранимке из которой будет вызываться данная функция. А если я правильно понимаю, нельзя дать доступ только к одной хранимке, не предоставляя при этом доступ к БД.

- у всех пользователей по умолчанию есть серверная роль public. Я поснимал все галки allow(кроме собственно возможности подключаться к серверу) для этой роли. Но пользователи с этой ролью по прежнему видят системные базы данных и их содержимое.
Можно как то убрать это?
20 фев 19, 14:35    [21815454]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7383
dim289,

автор
чтобы она видела только пользователей и их разрешения и не видела вообще никаких баз данных


Как это? Пользователи находятся в базах.
Какие общие цели преследуете?
20 фев 19, 14:56    [21815481]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7383
Если у вас там совсекретно, то ни о каких xp_ процедурах речи идти в принципе не может.
20 фев 19, 14:59    [21815483]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
dim289
Member

Откуда:
Сообщений: 6
Владислав Колосов
dim289,

автор
чтобы она видела только пользователей и их разрешения и не видела вообще никаких баз данных


Как это? Пользователи находятся в базах.
Какие общие цели преследуете?



по поводу пользователей и баз - я так понимаю изначально мы задаем логины именно на уровне сервера, и уже потом некоторым из них мы можем предоставить доступ к базам, у них и своя папка Security у каждой есть.
20 фев 19, 15:13    [21815496]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7383
dim289,

Верно, не только подключение к базе, но и другие разрешения, групповые или явные.
20 фев 19, 16:05    [21815551]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
dim289
Member

Откуда:
Сообщений: 6
Владислав Колосов
Если у вас там совсекретно, то ни о каких xp_ процедурах речи идти в принципе не может.

все таки чем то можно заменить вызов xp_logininfo 'domain\group' , members?
21 фев 19, 13:10    [21816246]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7383
dim289,

вы же хотите, чтобы этого не было, так зачем заменять?
21 фев 19, 13:23    [21816265]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
dim289
Member

Откуда:
Сообщений: 6
Владислав Колосов
dim289,

вы же хотите, чтобы этого не было, так зачем заменять?

наоборот хочу чтобы было. чтобы пользователи с определенной ролью на MS SQL могли смотреть состав групп входящих в раздел Logins MS SQL сервера и их разрешения.
21 фев 19, 15:08    [21816470]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7383
dim289,

моё мнение в этом вопросе таково, что лучше использовать штатные средства для наблюдения и управления группами домена.
21 фев 19, 17:18    [21816637]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5156
dim289
Владислав Колосов
dim289,

вы же хотите, чтобы этого не было, так зачем заменять?

наоборот хочу чтобы было. чтобы пользователи с определенной ролью на MS SQL могли смотреть состав групп входящих в раздел Logins MS SQL сервера и их разрешения.

можно написать обертку, вызывающую данную процу и execute as owner, и подписать её cертификатом ассоциированным с логином с правами sysadmin + выдать права на нее нужным пользователям

короче, ищите ответ со словами "Long story short" по следующей ссылке:
ссылка
21 фев 19, 20:09    [21816828]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Владислав Колосов
dim289,

моё мнение в этом вопросе таково, что лучше использовать штатные средства для наблюдения и управления группами домена.
+1
Administrative Tools -> Active Directory Users and Computers

xp_logininfo не покажет пользователей из вложенных групп. В идеале надо делать запрос в ADSI.
21 фев 19, 21:25    [21816871]     Ответить | Цитировать Сообщить модератору
 Re: вопрос по безопасности ms sql 2008  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
komrad
можно написать обертку, вызывающую данную процу и execute as owner, и подписать её cертификатом ассоциированным с логином с правами sysadmin + выдать права на нее нужным пользователям

зачем же в процедуру, подписанную сертификатом с правами уровня сервера,
пихать еще и execute as owner,
ведь это сразу порежет права уровня сервера?
execute as clause в процедуре подразумевает execute as user, никак не login
22 фев 19, 09:10    [21817011]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить