Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Microsoft SQL Server |
![]() ![]() |
Топик располагается на нескольких страницах: [1] 2 вперед Ctrl→ все |
AndrF Member Откуда: Сообщений: 2194 |
Серверов очень много, разработчиков то же, баз - я уж и не говорю. И правами разработчиков приходится управлять. Маше нужны определенные права на одни сервера постоянные, на другие во внерабочее время. Саша нужно выдать права лишь на текущие выходные. Пете нужны постоянные права на одну базу и на профайлер во внерабочее время. И т.д. и т.п. Интересно кто и как это решает? Есть ли что-то готовое в плане автоматизации этой рутины? P.S Сами пока спасаемся джобами (раздавая и забирая права ими), но оно муторно и не наглядно... |
25 апр 19, 21:12 [21872060] Ответить | Цитировать Сообщить модератору |
komrad Member Откуда: Сообщений: 5593 |
AndrF, по факту проще всего создать необходимые AD-группы, выдать им соответствующий доступ и уже добавлять/выносить юзеров в/из этих групп по нужному расписанию |
26 апр 19, 01:50 [21872130] Ответить | Цитировать Сообщить модератору |
Relic Hunter Member Откуда: AB Сообщений: 7494 |
AndrF, Замутите "Logon Triggers", юзверей, которым нужно ограничить доступ - в глобальную табличку с репликацией на все серверы. |
26 апр 19, 02:02 [21872131] Ответить | Цитировать Сообщить модератору |
Danion Member Откуда: Москва Сообщений: 247 |
Джобами выдачи\снятия прав решали проблему с выдачей на вне рабочее время и выходные. |
26 апр 19, 10:27 [21872314] Ответить | Цитировать Сообщить модератору |
Danion Member Откуда: Москва Сообщений: 247 |
Danion, Собственно как и автор) |
26 апр 19, 10:28 [21872316] Ответить | Цитировать Сообщить модератору |
sti Member Откуда: Сообщений: 769 |
На все Live сервера джобами перед деплоем выдаются права для логина, от имени которого производится деплой, и по окончании джобом же забираются. Считается что разработчикам на Live делать нечего, для этого есть DBA. При наличии аудита два раза в год по другому особо и нельзя. На Staging или Dev или какие там ещё окружения есть, права через роли постоянные. Глядя на ваши примеры, я бы сказал так: если Маша, Саша, Петя могут делать во внерабочее время что-то с серверами, то это люди ответственные и забирать у них права с 8 до 17 вообще смысла нет. |
26 апр 19, 11:10 [21872357] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8485 |
AndrF, эти вопросы решаются администрированием групп, учетных записей ActiveDirectory и групповых политик, к SQL имеют лишь косвенное отношение. |
26 апр 19, 12:18 [21872490] Ответить | Цитировать Сообщить модератору |
AndrF Member Откуда: Сообщений: 2194 |
Ошибаетесь. Не будут админы MS выдавать права на таблички или на базы. И права надо давать не скопом всем разработчикам, а лишь одной учетке на какое-то время. |
||
26 апр 19, 13:09 [21872574] Ответить | Цитировать Сообщить модератору |
AndrF Member Откуда: Сообщений: 2194 |
Это могут быть вообще люди от подрядчика, пришедшие поработать вечером. А днем с продуктовыми базами работать просто не положено. В общем, не нам это решать. Просто хоть как-то облегчить это дело себе любимому. |
||
26 апр 19, 13:13 [21872581] Ответить | Цитировать Сообщить модератору |
sti Member Откуда: Сообщений: 769 |
Понятно. Разные миры. В моем с продуктовыми базами работать просто не положено. Ни днем, ни ночью. Ни своим, ни тем более посторонним. Хочется поиграться - бери бэкап, восстанавливай и делай свои дела сколько угодно. В вашем случае кроме джобов особо и не выдумать ничего, IMHO. Если уж совсе невмоготу, можно сваять табличку, внести туда правила кому, когда и что разрешено и опять же джобом по ней права раздавать или забирать. |
||||
26 апр 19, 13:33 [21872614] Ответить | Цитировать Сообщить модератору |
buser Member Откуда: Санкт-Петербург Сообщений: 4538 |
AndrF, ну так сделайте отдельные учетки для каждой категории таких товарищей и лочти их политиками стандартное виндовое Log on Hours... |
26 апр 19, 13:36 [21872622] Ответить | Цитировать Сообщить модератору |
andreymx Member Откуда: Запорожье Сообщений: 55352 |
Есть какой-то контроль выполнения джобов? |
||||
26 апр 19, 16:44 [21872855] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31817 |
Если сервер выключили из сети, то нельзя (наверное, можно внешними средствами). |
||
26 апр 19, 17:13 [21872882] Ответить | Цитировать Сообщить модератору |
Mind Member Откуда: Лучший город на Земле Сообщений: 2322 |
|
||
26 апр 19, 22:39 [21873088] Ответить | Цитировать Сообщить модератору |
Relic Hunter Member Откуда: AB Сообщений: 7494 |
1. Ну всегда можно захардкодить список логинов, для которых игнорить всю логику триггера. 2. Cам триггер выключить всегда можно.* 3. Тестить нужно, как и все остальноe продуктовое. 4. Cамо МС рекомендует их пользовать для таких случаев.*
|
||||||||
26 апр 19, 22:53 [21873103] Ответить | Цитировать Сообщить модератору |
sti Member Откуда: Сообщений: 769 |
alexeyvg +1 andreymx, Да, контроль выполнения джобов есть. И оповещение при ошибке и ещё другой мониторинг. Сервер выключили из сети, не работает SQL Agent Service и прочая беда - это, во-первых, мониторится, а во вторых на недоступном сервере всё равно ничего деплоить не получится :-) Но при наличии AG это всё настолько маловероятно и если случилось, то не сделанный деплой является наименьшей из проблем. Ну и организационно, раздать права к часу Х есть задача DBA и как он её выполняет это на его совести. Я настраиваю джобы, но в час Х всегда доступен по всем каналам и при необходимости запущу руками. Есть вариант лучше - с удовольствием послушаю. |
||||
26 апр 19, 23:09 [21873119] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31817 |
Присоединяюсь к Mind, таким лучше не увлекаться :-) |
||||
26 апр 19, 23:19 [21873129] Ответить | Цитировать Сообщить модератору |
Relic Hunter Member Откуда: AB Сообщений: 7494 |
alexeyvg, Дык, может и пункт 3 прокоментируете? А найти способ - запороть систему всегда найдется. Причем и не такой явный как логон триггер. Мне это удавалось и не раз ))) Например, переполнение пула соединений в приложении. Срабатывало раз в полнолуние без особых закономерностей, в СЕСТЕМУ зайти никто уже не мог. |
26 апр 19, 23:28 [21873136] Ответить | Цитировать Сообщить модератору |
Relic Hunter Member Откуда: AB Сообщений: 7494 |
PS Хотя можно было написать и короче: "Лучше перебдеть чем недобдеть, враг остановлен, система "Периметр" в действии". |
26 апр 19, 23:31 [21873138] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31817 |
И логон-триггер - это дополнительное увеличение вероятности таких "сочетаний обстоятельств". Как, например, переполнение пула коннектов, когда принимается тоже архитектурно-неверное решение делать вызовы библиотек работы с коннектом непосредственно в прикладном в коде, а не в одной единственной функции. Тогда переполнение пула - обычное дело, и не оттестируешь толком. |
||
26 апр 19, 23:36 [21873139] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31817 |
|
||
26 апр 19, 23:37 [21873140] Ответить | Цитировать Сообщить модератору |
Relic Hunter Member Откуда: AB Сообщений: 7494 |
Ну да, права пользователя изменяющиеся во времени - "мечта" любого админа, когда он на вопрос пользователя "какие у меня права?" отвечает, "а какой сегодня день недели?" |
||
27 апр 19, 00:06 [21873155] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31817 |
В принципе, это, наверное, оправдано, для понижения рисков, когда речь о 100500 прользователей, но для прав разработчиков, выглядит как то странно... |
||||
27 апр 19, 09:24 [21873235] Ответить | Цитировать Сообщить модератору |
AndrF Member Откуда: Сообщений: 2194 |
[quot alexeyvg]
Разработчиков много, они разные, да и права им могут даваться лишь на определенное время. В общем, как я понял, для облегчения подобной работы пока нет ничего... |
||
29 апр 19, 09:38 [21873956] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8485 |
AndrF, админы не выдают права на _таблицы_ админы выдают права а членство в группах. А SA расписывает у себя таблицы/схемы по ролям, сопоставляя роли доменным группам. Т.е. админы могут назначать пользователей в те или иные группы домена, которые предоставляют доступ к функционалу сервера. |
29 апр 19, 11:26 [21874081] Ответить | Цитировать Сообщить модератору |
Топик располагается на нескольких страницах: [1] 2 вперед Ctrl→ все |
Все форумы / Microsoft SQL Server | ![]() |