Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF
Member

Откуда:
Сообщений: 2194
Серверов очень много, разработчиков то же, баз - я уж и не говорю. И правами разработчиков приходится управлять.

Маше нужны определенные права на одни сервера постоянные, на другие во внерабочее время.
Саша нужно выдать права лишь на текущие выходные.
Пете нужны постоянные права на одну базу и на профайлер во внерабочее время.

И т.д. и т.п.

Интересно кто и как это решает? Есть ли что-то готовое в плане автоматизации этой рутины?

P.S
Сами пока спасаемся джобами (раздавая и забирая права ими), но оно муторно и не наглядно...
25 апр 19, 21:12    [21872060]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
komrad
Member

Откуда:
Сообщений: 5244
AndrF,

по факту проще всего создать необходимые AD-группы, выдать им соответствующий доступ и уже добавлять/выносить юзеров в/из этих групп по нужному расписанию
26 апр 19, 01:50    [21872130]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7354
AndrF,

Замутите "Logon Triggers", юзверей, которым нужно ограничить доступ - в глобальную табличку с репликацией на все серверы.
26 апр 19, 02:02    [21872131]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Danion
Member

Откуда: Москва
Сообщений: 203
Джобами выдачи\снятия прав решали проблему с выдачей на вне рабочее время и выходные.
26 апр 19, 10:27    [21872314]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Danion
Member

Откуда: Москва
Сообщений: 203
Danion,
Собственно как и автор)
26 апр 19, 10:28    [21872316]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
sti
Member

Откуда:
Сообщений: 769
На все Live сервера джобами перед деплоем выдаются права для логина, от имени которого производится деплой, и по окончании джобом же забираются. Считается что разработчикам на Live делать нечего, для этого есть DBA. При наличии аудита два раза в год по другому особо и нельзя.

На Staging или Dev или какие там ещё окружения есть, права через роли постоянные.

Глядя на ваши примеры, я бы сказал так: если Маша, Саша, Петя могут делать во внерабочее время что-то с серверами, то это люди ответственные и забирать у них права с 8 до 17 вообще смысла нет.
26 апр 19, 11:10    [21872357]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7754
AndrF,

эти вопросы решаются администрированием групп, учетных записей ActiveDirectory и групповых политик, к SQL имеют лишь косвенное отношение.
26 апр 19, 12:18    [21872490]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF
Member

Откуда:
Сообщений: 2194
Владислав Колосов
AndrF,

эти вопросы решаются администрированием групп, учетных записей ActiveDirectory и групповых политик, к SQL имеют лишь косвенное отношение.


Ошибаетесь. Не будут админы MS выдавать права на таблички или на базы. И права надо давать не скопом всем разработчикам, а лишь одной учетке на какое-то время.
26 апр 19, 13:09    [21872574]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF
Member

Откуда:
Сообщений: 2194
sti
Глядя на ваши примеры, я бы сказал так: если Маша, Саша, Петя могут делать во внерабочее время что-то с серверами, то это люди ответственные и забирать у них права с 8 до 17 вообще смысла нет.


Это могут быть вообще люди от подрядчика, пришедшие поработать вечером. А днем с продуктовыми базами работать просто не положено. В общем, не нам это решать. Просто хоть как-то облегчить это дело себе любимому.
26 апр 19, 13:13    [21872581]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
sti
Member

Откуда:
Сообщений: 769
AndrF
sti
Глядя на ваши примеры, я бы сказал так: если Маша, Саша, Петя могут делать во внерабочее время что-то с серверами, то это люди ответственные и забирать у них права с 8 до 17 вообще смысла нет.


Это могут быть вообще люди от подрядчика, пришедшие поработать вечером. А днем с продуктовыми базами работать просто не положено. В общем, не нам это решать. Просто хоть как-то облегчить это дело себе любимому.


Понятно. Разные миры. В моем с продуктовыми базами работать просто не положено. Ни днем, ни ночью. Ни своим, ни тем более посторонним. Хочется поиграться - бери бэкап, восстанавливай и делай свои дела сколько угодно.

В вашем случае кроме джобов особо и не выдумать ничего, IMHO. Если уж совсе невмоготу, можно сваять табличку, внести туда правила кому, когда и что разрешено и опять же джобом по ней права раздавать или забирать.
26 апр 19, 13:33    [21872614]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
buser
Member

Откуда: Санкт-Петербург
Сообщений: 4537
AndrF, ну так сделайте отдельные учетки для каждой категории таких товарищей и лочти их политиками стандартное виндовое Log on Hours...
26 апр 19, 13:36    [21872622]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
andreymx
Member

Откуда: Запорожье
Сообщений: 54167
sti
AndrF
пропущено...


Это могут быть вообще люди от подрядчика, пришедшие поработать вечером. А днем с продуктовыми базами работать просто не положено. В общем, не нам это решать. Просто хоть как-то облегчить это дело себе любимому.


Понятно. Разные миры. В моем с продуктовыми базами работать просто не положено. Ни днем, ни ночью. Ни своим, ни тем более посторонним. Хочется поиграться - бери бэкап, восстанавливай и делай свои дела сколько угодно.

В вашем случае кроме джобов особо и не выдумать ничего, IMHO. Если уж совсе невмоготу, можно сваять табличку, внести туда правила кому, когда и что разрешено и опять же джобом по ней права раздавать или забирать.
а если джоб по какой-то причине не отработает
Есть какой-то контроль выполнения джобов?
26 апр 19, 16:44    [21872855]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31354
andreymx
а если джоб по какой-то причине не отработает
Есть какой-то контроль выполнения джобов?
Если будет ошибка, то можно настроить получения оповещения.
Если сервер выключили из сети, то нельзя (наверное, можно внешними средствами).
26 апр 19, 17:13    [21872882]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Relic Hunter
AndrF,

Замутите "Logon Triggers", юзверей, которым нужно ограничить доступ - в глобальную табличку с репликацией на все серверы.
Очень скользкий путь. Одна ошибка и никто больше не может зайти на сервер.
26 апр 19, 22:39    [21873088]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7354
Mind
Relic Hunter
AndrF,

Замутите "Logon Triggers", юзверей, которым нужно ограничить доступ - в глобальную табличку с репликацией на все серверы.
Очень скользкий путь. Одна ошибка и никто больше не может зайти на сервер.


1. Ну всегда можно захардкодить список логинов, для которых игнорить всю логику триггера.
2. Cам триггер выключить всегда можно.*
3. Тестить нужно, как и все остальноe продуктовое.
4. Cамо МС рекомендует их пользовать для таких случаев.*
Disabling a Logon Trigger
A logon trigger can effectively prevent successful connections to the Database Engine for all users, including members of the sysadmin fixed server role. When a logon trigger is preventing connections, members of the sysadmin fixed server role can connect by using the dedicated administrator connection, or by starting the Database Engine in minimal configuration mode (-f). For more information, see Database Engine Service Startup Options.
автор
You can use logon triggers to audit and control server sessions, such as by tracking login activity, restricting logins to SQL Server, or limiting the number of sessions for a specific login
26 апр 19, 22:53    [21873103]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
sti
Member

Откуда:
Сообщений: 769
alexeyvg
andreymx
а если джоб по какой-то причине не отработает
Есть какой-то контроль выполнения джобов?
Если будет ошибка, то можно настроить получения оповещения.
Если сервер выключили из сети, то нельзя (наверное, можно внешними средствами).


alexeyvg +1

andreymx,
Да, контроль выполнения джобов есть. И оповещение при ошибке и ещё другой мониторинг.
Сервер выключили из сети, не работает SQL Agent Service и прочая беда - это, во-первых, мониторится, а во вторых на недоступном сервере всё равно ничего деплоить не получится :-) Но при наличии AG это всё настолько маловероятно и если случилось, то не сделанный деплой является наименьшей из проблем.

Ну и организационно, раздать права к часу Х есть задача DBA и как он её выполняет это на его совести. Я настраиваю джобы, но в час Х всегда доступен по всем каналам и при необходимости запущу руками. Есть вариант лучше - с удовольствием послушаю.
26 апр 19, 23:09    [21873119]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31354
Relic Hunter
1. Ну всегда можно захардкодить список логинов, для которых игнорить всю логику триггера.
Всегда можно сделать ошибку, при которой триггер не сможет начать выполняться (например, несуществующее имя объекта).
Relic Hunter
2. Cам триггер выключить всегда можно.*
dedicated administrator connection? Только вот продакшен не будет работать, пока оно всё остановилось, обнаружили причину, и трясущимися руками выключают триггер - который, будучи выключенным, ещё и не будет обеспечивать функциональность управления правами.

Присоединяюсь к Mind, таким лучше не увлекаться :-)
26 апр 19, 23:19    [21873129]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7354
alexeyvg,

Дык, может и пункт 3 прокоментируете? А найти способ - запороть систему всегда найдется. Причем и не такой явный как логон триггер. Мне это удавалось и не раз ))) Например, переполнение пула соединений в приложении. Срабатывало раз в полнолуние без особых закономерностей, в СЕСТЕМУ зайти никто уже не мог.
26 апр 19, 23:28    [21873136]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7354
PS
Хотя можно было написать и короче: "Лучше перебдеть чем недобдеть, враг остановлен, система "Периметр" в действии".
26 апр 19, 23:31    [21873138]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31354
Relic Hunter
Дык, может и пункт 3 прокоментируете?
Как вы дальше совершенно справедливо замечаете, бывают всякие сочетания обстоятельств, когда работало, а потом перестало.
И логон-триггер - это дополнительное увеличение вероятности таких "сочетаний обстоятельств".
Как, например, переполнение пула коннектов, когда принимается тоже архитектурно-неверное решение делать вызовы библиотек работы с коннектом непосредственно в прикладном в коде, а не в одной единственной функции. Тогда переполнение пула - обычное дело, и не оттестируешь толком.
26 апр 19, 23:36    [21873139]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31354
Relic Hunter
PS
Хотя можно было написать и короче: "Лучше перебдеть чем недобдеть, враг остановлен, система "Периметр" в действии".
Дада, вот именно это я и написал, чуть более развёрнуто :-)
26 апр 19, 23:37    [21873140]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7354
alexeyvg
И логон-триггер - это дополнительное увеличение вероятности таких "сочетаний обстоятельств".


Ну да, права пользователя изменяющиеся во времени - "мечта" любого админа, когда он на вопрос пользователя "какие у меня права?" отвечает, "а какой сегодня день недели?"
27 апр 19, 00:06    [21873155]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31354
Relic Hunter
alexeyvg
И логон-триггер - это дополнительное увеличение вероятности таких "сочетаний обстоятельств".
Ну да, права пользователя изменяющиеся во времени - "мечта" любого админа, когда он на вопрос пользователя "какие у меня права?" отвечает, "а какой сегодня день недели?"
Нет-нет, я не говорбю, что это хорошая практика :-)

В принципе, это, наверное, оправдано, для понижения рисков, когда речь о 100500 прользователей, но для прав разработчиков, выглядит как то странно...
27 апр 19, 09:24    [21873235]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF
Member

Откуда:
Сообщений: 2194
[quot alexeyvg]
Relic Hunter
пропущено...
В принципе, это, наверное, оправдано, для понижения рисков, когда речь о 100500 прользователей, но для прав разработчиков, выглядит как то странно...


Разработчиков много, они разные, да и права им могут даваться лишь на определенное время.

В общем, как я понял, для облегчения подобной работы пока нет ничего...
29 апр 19, 09:38    [21873956]     Ответить | Цитировать Сообщить модератору
 Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7754
AndrF,

админы не выдают права на _таблицы_ админы выдают права а членство в группах. А SA расписывает у себя таблицы/схемы по ролям, сопоставляя роли доменным группам.

Т.е. админы могут назначать пользователей в те или иные группы домена, которые предоставляют доступ к функционалу сервера.
29 апр 19, 11:26    [21874081]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить