Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила |			В избранное | Подписаться
Все форумы / Microsoft SQL Server

Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl→      все

Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF Member Откуда: Сообщений: 2183	Серверов очень много, разработчиков то же, баз - я уж и не говорю. И правами разработчиков приходится управлять. Маше нужны определенные права на одни сервера постоянные, на другие во внерабочее время. Саша нужно выдать права лишь на текущие выходные. Пете нужны постоянные права на одну базу и на профайлер во внерабочее время. И т.д. и т.п. Интересно кто и как это решает? Есть ли что-то готовое в плане автоматизации этой рутины? P.S Сами пока спасаемся джобами (раздавая и забирая права ими), но оно муторно и не наглядно...
25 апр 19, 21:12    [21872060]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
komrad Member Откуда: Msk -> Utrecht Сообщений: 5162	AndrF, по факту проще всего создать необходимые AD-группы, выдать им соответствующий доступ и уже добавлять/выносить юзеров в/из этих групп по нужному расписанию
26 апр 19, 01:50    [21872130]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter Member Откуда: AB Сообщений: 7212	AndrF, Замутите "Logon Triggers", юзверей, которым нужно ограничить доступ - в глобальную табличку с репликацией на все серверы.
26 апр 19, 02:02    [21872131]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Danion Member Откуда: Москва Сообщений: 196	Джобами выдачи\снятия прав решали проблему с выдачей на вне рабочее время и выходные.
26 апр 19, 10:27    [21872314]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Danion Member Откуда: Москва Сообщений: 196	Danion, Собственно как и автор)
26 апр 19, 10:28    [21872316]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
sti Member Откуда: Сообщений: 769	На все Live сервера джобами перед деплоем выдаются права для логина, от имени которого производится деплой, и по окончании джобом же забираются. Считается что разработчикам на Live делать нечего, для этого есть DBA. При наличии аудита два раза в год по другому особо и нельзя. На Staging или Dev или какие там ещё окружения есть, права через роли постоянные. Глядя на ваши примеры, я бы сказал так: если Маша, Саша, Петя могут делать во внерабочее время что-то с серверами, то это люди ответственные и забирать у них права с 8 до 17 вообще смысла нет.
26 апр 19, 11:10    [21872357]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Владислав Колосов Member Откуда: Сообщений: 7392	AndrF, эти вопросы решаются администрированием групп, учетных записей ActiveDirectory и групповых политик, к SQL имеют лишь косвенное отношение.
26 апр 19, 12:18    [21872490]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF Member Откуда: Сообщений: 2183	Владислав Колосов AndrF, эти вопросы решаются администрированием групп, учетных записей ActiveDirectory и групповых политик, к SQL имеют лишь косвенное отношение. Ошибаетесь. Не будут админы MS выдавать права на таблички или на базы. И права надо давать не скопом всем разработчикам, а лишь одной учетке на какое-то время.
26 апр 19, 13:09    [21872574]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF Member Откуда: Сообщений: 2183	sti Глядя на ваши примеры, я бы сказал так: если Маша, Саша, Петя могут делать во внерабочее время что-то с серверами, то это люди ответственные и забирать у них права с 8 до 17 вообще смысла нет. Это могут быть вообще люди от подрядчика, пришедшие поработать вечером. А днем с продуктовыми базами работать просто не положено. В общем, не нам это решать. Просто хоть как-то облегчить это дело себе любимому.
26 апр 19, 13:13    [21872581]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
sti Member Откуда: Сообщений: 769	AndrF sti Глядя на ваши примеры, я бы сказал так: если Маша, Саша, Петя могут делать во внерабочее время что-то с серверами, то это люди ответственные и забирать у них права с 8 до 17 вообще смысла нет. Это могут быть вообще люди от подрядчика, пришедшие поработать вечером. А днем с продуктовыми базами работать просто не положено. В общем, не нам это решать. Просто хоть как-то облегчить это дело себе любимому. Понятно. Разные миры. В моем с продуктовыми базами работать просто не положено. Ни днем, ни ночью. Ни своим, ни тем более посторонним. Хочется поиграться - бери бэкап, восстанавливай и делай свои дела сколько угодно. В вашем случае кроме джобов особо и не выдумать ничего, IMHO. Если уж совсе невмоготу, можно сваять табличку, внести туда правила кому, когда и что разрешено и опять же джобом по ней права раздавать или забирать.
26 апр 19, 13:33    [21872614]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
buser Member Откуда: Санкт-Петербург Сообщений: 4535	AndrF, ну так сделайте отдельные учетки для каждой категории таких товарищей и лочти их политиками стандартное виндовое Log on Hours...
26 апр 19, 13:36    [21872622]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
andreymx Member Откуда: Запорожье Сообщений: 53670	sti AndrF пропущено... Это могут быть вообще люди от подрядчика, пришедшие поработать вечером. А днем с продуктовыми базами работать просто не положено. В общем, не нам это решать. Просто хоть как-то облегчить это дело себе любимому. Понятно. Разные миры. В моем с продуктовыми базами работать просто не положено. Ни днем, ни ночью. Ни своим, ни тем более посторонним. Хочется поиграться - бери бэкап, восстанавливай и делай свои дела сколько угодно. В вашем случае кроме джобов особо и не выдумать ничего, IMHO. Если уж совсе невмоготу, можно сваять табличку, внести туда правила кому, когда и что разрешено и опять же джобом по ней права раздавать или забирать. а если джоб по какой-то причине не отработает Есть какой-то контроль выполнения джобов?
26 апр 19, 16:44    [21872855]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg Member Откуда: Moscow Сообщений: 30745	andreymx а если джоб по какой-то причине не отработает Есть какой-то контроль выполнения джобов? Если будет ошибка, то можно настроить получения оповещения. Если сервер выключили из сети, то нельзя (наверное, можно внешними средствами).
26 апр 19, 17:13    [21872882]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Mind Member Откуда: Лучший город на Земле Сообщений: 2322	Relic Hunter AndrF, Замутите "Logon Triggers", юзверей, которым нужно ограничить доступ - в глобальную табличку с репликацией на все серверы. Очень скользкий путь. Одна ошибка и никто больше не может зайти на сервер.
26 апр 19, 22:39    [21873088]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter Member Откуда: AB Сообщений: 7212	Mind Relic Hunter AndrF, Замутите "Logon Triggers", юзверей, которым нужно ограничить доступ - в глобальную табличку с репликацией на все серверы. Очень скользкий путь. Одна ошибка и никто больше не может зайти на сервер. 1. Ну всегда можно захардкодить список логинов, для которых игнорить всю логику триггера. 2. Cам триггер выключить всегда можно.* 3. Тестить нужно, как и все остальноe продуктовое. 4. Cамо МС рекомендует их пользовать для таких случаев.* Disabling a Logon Trigger A logon trigger can effectively prevent successful connections to the Database Engine for all users, including members of the sysadmin fixed server role. When a logon trigger is preventing connections, members of the sysadmin fixed server role can connect by using the dedicated administrator connection, or by starting the Database Engine in minimal configuration mode (-f). For more information, see Database Engine Service Startup Options. автор You can use logon triggers to audit and control server sessions, such as by tracking login activity, restricting logins to SQL Server, or limiting the number of sessions for a specific login
26 апр 19, 22:53    [21873103]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
sti Member Откуда: Сообщений: 769	alexeyvg andreymx а если джоб по какой-то причине не отработает Есть какой-то контроль выполнения джобов? Если будет ошибка, то можно настроить получения оповещения. Если сервер выключили из сети, то нельзя (наверное, можно внешними средствами). alexeyvg +1 andreymx, Да, контроль выполнения джобов есть. И оповещение при ошибке и ещё другой мониторинг. Сервер выключили из сети, не работает SQL Agent Service и прочая беда - это, во-первых, мониторится, а во вторых на недоступном сервере всё равно ничего деплоить не получится :-) Но при наличии AG это всё настолько маловероятно и если случилось, то не сделанный деплой является наименьшей из проблем. Ну и организационно, раздать права к часу Х есть задача DBA и как он её выполняет это на его совести. Я настраиваю джобы, но в час Х всегда доступен по всем каналам и при необходимости запущу руками. Есть вариант лучше - с удовольствием послушаю.
26 апр 19, 23:09    [21873119]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg Member Откуда: Moscow Сообщений: 30745	Relic Hunter 1. Ну всегда можно захардкодить список логинов, для которых игнорить всю логику триггера. Всегда можно сделать ошибку, при которой триггер не сможет начать выполняться (например, несуществующее имя объекта). Relic Hunter 2. Cам триггер выключить всегда можно.* dedicated administrator connection? Только вот продакшен не будет работать, пока оно всё остановилось, обнаружили причину, и трясущимися руками выключают триггер - который, будучи выключенным, ещё и не будет обеспечивать функциональность управления правами. Присоединяюсь к Mind, таким лучше не увлекаться :-)
26 апр 19, 23:19    [21873129]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter Member Откуда: AB Сообщений: 7212	alexeyvg, Дык, может и пункт 3 прокоментируете? А найти способ - запороть систему всегда найдется. Причем и не такой явный как логон триггер. Мне это удавалось и не раз ))) Например, переполнение пула соединений в приложении. Срабатывало раз в полнолуние без особых закономерностей, в СЕСТЕМУ зайти никто уже не мог.
26 апр 19, 23:28    [21873136]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter Member Откуда: AB Сообщений: 7212	PS Хотя можно было написать и короче: "Лучше перебдеть чем недобдеть, враг остановлен, система "Периметр" в действии".
26 апр 19, 23:31    [21873138]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg Member Откуда: Moscow Сообщений: 30745	Relic Hunter Дык, может и пункт 3 прокоментируете? Как вы дальше совершенно справедливо замечаете, бывают всякие сочетания обстоятельств, когда работало, а потом перестало. И логон-триггер - это дополнительное увеличение вероятности таких "сочетаний обстоятельств". Как, например, переполнение пула коннектов, когда принимается тоже архитектурно-неверное решение делать вызовы библиотек работы с коннектом непосредственно в прикладном в коде, а не в одной единственной функции. Тогда переполнение пула - обычное дело, и не оттестируешь толком.
26 апр 19, 23:36    [21873139]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg Member Откуда: Moscow Сообщений: 30745	Relic Hunter PS Хотя можно было написать и короче: "Лучше перебдеть чем недобдеть, враг остановлен, система "Периметр" в действии". Дада, вот именно это я и написал, чуть более развёрнуто :-)
26 апр 19, 23:37    [21873140]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Relic Hunter Member Откуда: AB Сообщений: 7212	alexeyvg И логон-триггер - это дополнительное увеличение вероятности таких "сочетаний обстоятельств". Ну да, права пользователя изменяющиеся во времени - "мечта" любого админа, когда он на вопрос пользователя "какие у меня права?" отвечает, "а какой сегодня день недели?"
27 апр 19, 00:06    [21873155]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
alexeyvg Member Откуда: Moscow Сообщений: 30745	Relic Hunter alexeyvg И логон-триггер - это дополнительное увеличение вероятности таких "сочетаний обстоятельств". Ну да, права пользователя изменяющиеся во времени - "мечта" любого админа, когда он на вопрос пользователя "какие у меня права?" отвечает, "а какой сегодня день недели?" Нет-нет, я не говорбю, что это хорошая практика :-) В принципе, это, наверное, оправдано, для понижения рисков, когда речь о 100500 прользователей, но для прав разработчиков, выглядит как то странно...
27 апр 19, 09:24    [21873235]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
AndrF Member Откуда: Сообщений: 2183	[quot alexeyvg] Relic Hunter пропущено... В принципе, это, наверное, оправдано, для понижения рисков, когда речь о 100500 прользователей, но для прав разработчиков, выглядит как то странно... Разработчиков много, они разные, да и права им могут даваться лишь на определенное время. В общем, как я понял, для облегчения подобной работы пока нет ничего...
29 апр 19, 09:38    [21873956]     Ответить | Цитировать Сообщить модератору

Re: Есть ли что-то для управления правами на SQL-серверах?  [new]
Владислав Колосов Member Откуда: Сообщений: 7392	AndrF, админы не выдают права на _таблицы_ админы выдают права а членство в группах. А SA расписывает у себя таблицы/схемы по ролям, сопоставляя роли доменным группам. Т.е. админы могут назначать пользователей в те или иные группы домена, которые предоставляют доступ к функционалу сервера.
29 апр 19, 11:26    [21874081]     Ответить | Цитировать Сообщить модератору

Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl→      все

Все форумы / Microsoft SQL Server

Виртуальные форумы  Темы из всех форумов за 3 дня  Мои избранные форумыИспользование СУБД  Microsoft SQL Server  Firebird, InterBase  Oracle  Microsoft Access  IBM DB2, WebSphere, IMS, U2, etc  MySQL  PostgreSQL  OLAP и DWH  Sybase ASA, ASE, IQ  Informix  Другие СУБД  FoxPro, Visual FoxPro  Caché, Ensemble, DeepSee, MiniM, IRIS, GT.M  SQLite  NoSQL, Big DataДискуcсии  Сравнение СУБД  Проектирование БД  Работа  ERP и учетные системы  Разработка информационных систем  Тестирование и QA  Отчетные системы  Наши за рубежом  Сертификация и обучение  Hardware  Управление процессом разработки ИС  Юридические вопросы в ИТMicrosoft.NET  WinForms, .Net Framework  ASP.NET  ADO.NET, LINQ, Entity Framework, NHibernate, DAL, ORM  WPF, Silverlight  WCF, Web Services, RemotingПрограммирование  Delphi  C++  Visual Basic  Программирование  Java  Разработка под мобильные платформы  PowerBuilder  Microsoft Office  SharePoint  XML, XSL, XPath, XQueryWeb Технологии  PHP, Perl, Python  HTML, JavaScript, VBScript, CSSАдминистрирование ОС  Windows  Unix-системы  Другие: Mac OS, PalmOS, BeOS, PocketPCSQL.RU  Обсуждение нашего сайта  Вопрос-Ответ  Test

Ссылка на сообщение

Ссылка (включая название темы)

Ссылка (URL)

x

2000-2020 © Alex Sibilev, SQL.ru
Свяжитесь с нами   |   Пользовательское соглашение

Generated in 26ms. [2ms]