Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 вопросам по правам  [new]
Michail A.
Member

Откуда:
Сообщений: 96
Коллеги, добрый день!

Хочу сделать серверную роль,
чтобы под данной ролью можно было смотреть по всем имеющимся БД на сервере пользователей, тип учетной записи и их права в этих БД.

Собственно, вопрос какие нужно выдать разрешения роли, чтобы под данной ролью это было доступно?

А не "the server principal XXXX is not able to access the database "BDBDBD" under the current security context.
15 окт 19, 15:52    [21994751]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
ваш пользователь XXXX не отмаплен в базу "BDBDBD".

даже если вы даете логину view any definition уровня сервера,
он будет видеть инфо о юзерах и правах в базе только тех баз,
куда он отмаплен
15 окт 19, 16:28    [21994794]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Michail A.
Member

Откуда:
Сообщений: 96
Yasha123, спасибо за ответ.

Этот пункт никак нельзя обойти?

Т.е. во всех БД должен быть заведен пользователь, которого планируется юзать под данной ролью?

И соответственно следить и не забывать заводить в новых БД?
15 окт 19, 16:31    [21994803]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7768
Michail A.,

серверная роль позволяет назначать разрешения уровня сервера, а не базы данных.
15 окт 19, 16:33    [21994807]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
komrad
Member

Откуда:
Сообщений: 5245
Michail A.

И соответственно следить и не забывать заводить в новых БД?

если базы создаются только локально и не приезжают с других серверов, то можно занести такого юзера в базу model
и он будет автоматически создаваться в каждой новой базе

если базы приезжают со стороны, то можно автоматизировать проверку на наличие и создание при отсутствии
15 окт 19, 16:35    [21994809]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
komrad
если базы создаются только локально и не приезжают с других серверов, то можно занести такого юзера в базу model
и он будет автоматически создаваться в каждой новой базе

у него же серверная роль, а не юзер.
ее в модел никак не протащить
15 окт 19, 16:43    [21994821]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
komrad
Member

Откуда:
Сообщений: 5245
Yasha123
komrad
если базы создаются только локально и не приезжают с других серверов, то можно занести такого юзера в базу model
и он будет автоматически создаваться в каждой новой базе

у него же серверная роль, а не юзер.
ее в модел никак не протащить


это было про "во всех БД должен быть заведен пользователь" и "смотреть по всем имеющимся БД ... права в этих БД"
15 окт 19, 22:06    [21994995]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Col
Member

Откуда: Торонто
Сообщений: 180
Michail A.,
Версию Вы не показали, а зря.
Начиная с 2014-го то что вы хотите организовать возможно ибо появились опции GRANT CONNECT ANY DATABASE и GRANT VIEW ANY DATABASE :
USE [master]
GO
CREATE SERVER ROLE [TestServerRole] AUTHORIZATION [sa]
GO


use [master]
GO
GRANT VIEW ANY DATABASE TO [TestServerRole]
GO
use [master]
GO
GRANT VIEW ANY DEFINITION TO [TestServerRole]
GO
use [master]
GO
GRANT CONNECT ANY DATABASE TO [TestServerRole]
GO



USE [master]
GO
CREATE LOGIN [test] WITH PASSWORD=N'test', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
ALTER SERVER ROLE [TestServerRole] ADD MEMBER [test]
GO
16 окт 19, 00:07    [21995035]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
ну, VIEW ANY DATABASE выдавать не надо, он у паблика и так есть в любой версии.
а CONNECT ANY DATABASE для роли в самый раз
16 окт 19, 09:39    [21995153]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Col
Member

Откуда: Торонто
Сообщений: 180
Yasha123
ну, VIEW ANY DATABASE выдавать не надо, он у паблика и так есть в любой версии.

По дефолту "Да", но дефолт не у всех.
16 окт 19, 13:47    [21995438]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
Col
Yasha123
ну, VIEW ANY DATABASE выдавать не надо, он у паблика и так есть в любой версии.

По дефолту "Да", но дефолт не у всех.

и вы знаете реальные сервера, где у паблика отобрали VIEW ANY DATABASE?
но это даже и неважно.
совершенно не нужно иметь VIEW ANY DATABASE, чтобы проверять права пользователей в базах
16 окт 19, 14:39    [21995534]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Col
Member

Откуда: Торонто
Сообщений: 180
Yasha123
и вы знаете реальные сервера, где у паблика отобрали VIEW ANY DATABASE?
но это даже и неважно.
совершенно не нужно иметь VIEW ANY DATABASE, чтобы проверять права пользователей в базах

Конечно знаю.
Как пример хостинг баз данных, когда на одном инстанце хостится несколько разных организаций, сайтов и т.д.
У меня ест- масса серверов где отключено по причине поддержки вендором с доступом на бакщнд базам данных - ну не хотим мы ин показывать с кем они делят инстанс.

П.С>
Задача у топикстартера стояла "смотреть", без VIEW ANY DATABAS решение будет не удобным для тех кто "смотрит", наверняка права нужны для 1 линии поддержки, где ДБА не работают как правило.
16 окт 19, 15:08    [21995602]     Ответить | Цитировать Сообщить модератору
 Re: вопросам по правам  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
итого:
если на сервере "смотрят", то VIEW ANY DATABASE не отобрано (и давать его не надо).
если же это один из вами описанных серверов,
то там отобрано специально и тем более не надо давать
(по причине поддержки вендором с доступом на бакщнд базам данных - ну не хотим мы ин показывать с кем они делят инстанс)

для задачи ТС никакого VIEW ANY DATABASE не требуется
16 окт 19, 15:24    [21995625]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить