Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Добрый день!
Пишу вам первый раз, но в будущем пропишусь здесь надолго.
Извините за ламерский вопрос. Дело в том, что у нас в организации обслуживанием серверов занимается другой отдел, а обслуживанием делопроизводства - наш. Соответственно, SQL Server 2000 (на котором и работает система электронного документооборота), желательно взять в наши руки. Но при этом, чтобы всё обслуживание сервера было под их ответственность.
Пароль от sa находится у меня, но, в принципе, они могут его поменять (правда, не станут этого делать, а если что, поменяем обратно). Такова "политика партии".
По идее, обслуживание сервера можно было бы тоже взять под наш контроль (Windows Server 2003 + SQL Server 2000), но мы не будем этого делать, чтобы в случае любых опасностей не быть виноватыми. В то же время, отдавать SQL Server тоже не хотим, чтобы другой отдел не лазал по данным и не менял их или не смотрел.
К сожалению, даже доступ через терминал (RDP) под обычным Windows-юзером в SQL Server Enterprise Manager даёт слишком хороший доступ, и я боюсь его ограничивать (хотя имеет смысл).
Мы лишили тот отдел возможности работать под sa. Но, тем не менее, хотим в документах прописать, что они будут обслуживать SQL Server. Они обоснованно заявляют, что не могут этого делать, поскольку нет доступа к sa.
Насколько я понимаю, права доступа к sa требуются всего в нескольких случаях:
- восстановление/перенос/создание базы данных,
- создание пользователей в СУБД,
- запуск заданий (job).
Может быть, те же действия можно совершить и под другим логином administrator (или ещё каким). Собираемся ещё обновиться до 2008 версии.
Вопрос вот в чём. Можно ли полноценно обслуживать SQL Server без доступа к sa? Какие задачи невозможно выполнить без такого доступа?
4 июл 11, 16:53    [10919678]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Гавриленко Сергей Алексеевич
Member

Откуда:
Сообщений: 37254
CoolMind
Можно ли полноценно обслуживать SQL Server без доступа к sa? Какие задачи невозможно выполнить без такого доступа?
Любой другой логин из группы sysadmins подойдет. Разве что где в какой кривой софтине sa зашит или еще что в таком же духе.
4 июл 11, 17:02    [10919722]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Гавриленко Сергей Алексеевич, спасибо.
я заглянул в Server Roles\System Administrators и обнаружил там такие записи:
- (Домен)\Пользователи домена,
- admin,
- administrator,
- avg_admin,
- AVG8user,
- BUILTIN\Администраторы,
- nothern,
- sa.
Получается довольно не хило. Особенно "радуют" пользователи домена. Следует ли их оттуда удалить?
Во время создания пользователя системы электронного документооборота (СЭД) требуется ввести логин - sa и его пароль. Мы это можем сделать, другой отдел - нет. Могу попробовать проверить в СЭД возможность создания пользователей под admin или administrator.
4 июл 11, 17:13    [10919831]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Гавриленко Сергей Алексеевич
Member

Откуда:
Сообщений: 37254
CoolMind
Получается довольно не хило. Особенно "радуют" пользователи домена. Следует ли их оттуда удалить?
Можете удалить. Заодно узнаете, кому реально был нужен админский доступ на север. xD
4 июл 11, 17:14    [10919840]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Гавриленко Сергей Алексеевич, спасибо, удалю, а сначала туда себя добавлю А то потом сам не смогу под терминалкой зайти.
Но вопрос остаётся: если им отдать логины admin и administrator, то они точно так же могут менять данные и запросы как под sa?
4 июл 11, 17:22    [10919921]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Гадя Петрович
Member

Откуда: планета Плюк, 215 в тентуре, галактика Кин-дза-дза в Спирали
Сообщений: 52912
очередной поиск защиты от админа?
4 июл 11, 17:25    [10919951]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Гадя Петрович, совершенно верно. Причём, какой-то странный поиск. Вроде, и админ в наших руках, но мы хотим, чтобы они без sa могли уметь обслуживать непрерывную работу сервера и на нас не коситься, что мы у них sa увели.
4 июл 11, 17:28    [10919980]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
stavgreengo
Member

Откуда:
Сообщений: 710
CoolMind
Гадя Петрович, совершенно верно. Причём, какой-то странный поиск. Вроде, и админ в наших руках, но мы хотим, чтобы они без sa могли уметь обслуживать непрерывную работу сервера и на нас не коситься, что мы у них sa увели.

Ну дайте им роль db_owner и проблема исчерпана !!!
4 июл 11, 17:32    [10920013]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
baracs
Member

Откуда: Москва
Сообщений: 7217
CoolMind
Вроде, и админ в наших руках, но мы хотим, чтобы они без sa могли уметь обслуживать непрерывную работу сервера и на нас не коситься, что мы у них sa увели.
Вы бы определились, что такое "обслуживать непрерывную работу сервера" по пунктам. Глядишь и яснее станет, кому нужено быть сисадмином сервера, кому - нет.

Пока, такое впечатление, что вас рановато в эту группу включать
4 июл 11, 17:33    [10920026]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
stavgreengo, хороший совет, подумаю над этим.
baracs, согласен с Вами. Нам необходимо уметь создавать пользователей СЭД (без sa, наверное, никак), менять им права. Отдавать эту функцию точно не будем. Ещё хотелось бы, чтобы другой отдел не мог вносить изменения в таблицы, удалять записи и менять хранимые процедуры, но это вряд ли можно защитить. А всё остальное пусть имеют в полном объёме.
Обслуживание сервера тогда у них будет заключаться в том, чтобы они умели восстанавливать СУБД в случае сбоя (к счастью, сбоев не было), могли обеспечивать непрерывную работу СЭД с SQL Server, да пожалуй, и достаточно. Резервное копирование делается само ежедневно.
4 июл 11, 18:23    [10920340]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Ivan Durak
Member

Откуда: Minsk!!!
Сообщений: 3755
чуствуется что госконтора
4 июл 11, 18:33    [10920390]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Гадя Петрович
Member

Откуда: планета Плюк, 215 в тентуре, галактика Кин-дза-дза в Спирали
Сообщений: 52912
CoolMind
Нам необходимо уметь создавать пользователей СЭД (без sa, наверное, никак), менять им права.
db_securityadmin
db_accessadmin
4 июл 11, 18:33    [10920398]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Гадя Петрович
Member

Откуда: планета Плюк, 215 в тентуре, галактика Кин-дза-дза в Спирали
Сообщений: 52912
CoolMind
Обслуживание сервера тогда у них будет заключаться в том, чтобы они умели восстанавливать СУБД в случае сбоя
db_backupoperator
4 июл 11, 18:34    [10920403]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31987
CoolMind
Вопрос вот в чём. Можно ли полноценно обслуживать SQL Server без доступа к sa? Какие задачи невозможно выполнить без такого доступа?
Нет, без админского доступа обслуживать нельзя.

Но можно сменить название - дать административный доступ, не давая пароль для sa

Будет то же самое, но по другому называться :-)

CoolMind
Но, тем не менее, хотим в документах прописать, что они будут обслуживать SQL Server. Они обоснованно заявляют, что не могут этого делать, поскольку нет доступа к sa.
Вообще говоря, они, если берут ответственность за сервер, они не должны вам давать доступ с административными привилегиями. Или не должны отвечать.

Но, так как в данном случае речь идёт не о работе, а о менеджерских играх, то думаю, вариант "у всех есть админские полномочия, но техотдел не имеет пароля для sa" всех устроит :-)

CoolMind
Особенно "радуют" пользователи домена
Это кстати хороший вариант. Получается то же самое, но можно хотя бы по логам найти того, кто сломал. А то ведь получится... Кто снёс сервер? Administrator :-)

Поверьте, аутоидентификация через доменные аккаунты придумана не для снижения безопасности.

Лучьше хранить пароль sa у главного босса, а реальный доступ давать только доменным пользователям. Если это возможно, конечно.
4 июл 11, 18:59    [10920500]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
МСУ
Member [заблокирован]

Откуда: http://codearticles.ru
Сообщений: 31089
Что за сэд, веб или десктоп? Безопасность в сэд как реализована, свои ролевые политики или сиквельные?Что за сэд, веб или десктоп? Безопасность в сэд как реализована, свои ролевые политики или сиквельные?
4 июл 11, 19:24    [10920572]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Knyazev Alexey
Member

Откуда: Екб -> Мск
Сообщений: 10233
Блог
CoolMind
Можно ли полноценно обслуживать SQL Server без доступа к sa?

можно делать что угодно под ДРУГОЙ учеткой с правами sysadmin, кстати с версии SQL Server 2008 УЗ sa вообще по умолчанию дизейбл
4 июл 11, 20:44    [10920748]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
stavgreengo
Member

Откуда:
Сообщений: 710
У нас куча программеров, девелоперов, админов, сопровожденцев...без администраторских полномочий кислород для них перекрыт...надоел безликий sa...кто мол поменял, какая падла ??? Дык этож sa...а кто sa...да ХЗ ^) Создал для всех пофамильные учётки в sql, дал роль sysadmin и сопоставил с db_owner на нужных для каждого базах. Пароль sa заменил и никаму не даю, так как я администратор СУБД, то теперь и выполнение от sa исключительно на моей совести. Красота...все довольны, другие пользователи с админскими правами не ноют что прав не хватает. Видно кто, где, как и чего !
5 июл 11, 09:53    [10922291]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Вы угадали, это почти госконтора.
СЭД - "Дело" (разработка фирмы ЭОС). Не буду говорить о том, насколько она нам нравится. Есть версия как десктопная, так и через web-интерфейс (настроен IIS).
Насколько я понял из сообщений уважаемых форумчан, обладание sa автоматически означает, что и обслуживать будем мы. Т.е. если мы увели этот логин у другого отдела, то автоматически лишаем себя права требовать от них обслуживания.
Доступ к SQL у нас смешанный (SQL Authentification). СЭД "Дело" позволяет создавать учётные записи с конкретными фамилиями и паролями, предполагается, что это лучше, чем доступ через учётки windows (поскольку пользователи могут давать друг другу пароли от компьютера). Так что используем SQL-аутентификацию. Но и Windows-аутентификация есть (поскольку можно входить в Enterprise Manager с админскими правами). Соответственно, любой юзер теоретически может поменять пароль sa.
5 июл 11, 11:15    [10922917]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31987
CoolMind
Насколько я понял из сообщений уважаемых форумчан, обладание sa автоматически означает, что и обслуживать будем мы. Т.е. если мы увели этот логин у другого отдела, то автоматически лишаем себя права требовать от них обслуживания.
Ага, только не "этот логин", а любой логин из административных.

Но вообще если в вашем отделе нет технических специалистов, то всё развалится, а то и хуже - данные потеряете. Лучьше всё таки пусть поддерживают специалисты.

CoolMind
Доступ к SQL у нас смешанный (SQL Authentification). СЭД "Дело" позволяет создавать учётные записи с конкретными фамилиями и паролями, предполагается, что это лучше, чем доступ через учётки windows (поскольку пользователи могут давать друг другу пароли от компьютера). Так что используем SQL-аутентификацию. Но и Windows-аутентификация есть (поскольку можно входить в Enterprise Manager с админскими правами). Соответственно, любой юзер теоретически может поменять пароль sa.
Ого, у вас все простые пользователи имеют полномочия sa???
stavgreengo
дал роль sysadmin и сопоставил с db_owner на нужных для каждого базах
Зачем db_owner-то давать??? Они же и так db_owner для всех баз.
stavgreengo
теперь и выполнение от sa исключительно на моей совести
Непонятно, зачем вам sa.
5 июл 11, 11:29    [10923061]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Glory
Member

Откуда:
Сообщений: 104751
CoolMind
Насколько я понял из сообщений уважаемых форумчан, обладание sa автоматически означает, что и обслуживать будем мы. Т.е. если мы увели этот логин у другого отдела, то автоматически лишаем себя права требовать от них обслуживания.

Полная чушь. Права sa можно назначить любому нужному логину
В нормальных системах вообще sa запрещают, чтобы предотвращать попытки взлома
5 июл 11, 11:31    [10923077]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31987
Glory
CoolMind
Насколько я понял из сообщений уважаемых форумчан, обладание sa автоматически означает, что и обслуживать будем мы. Т.е. если мы увели этот логин у другого отдела, то автоматически лишаем себя права требовать от них обслуживания.

Полная чушь. Права sa можно назначить любому нужному логину
В нормальных системах вообще sa запрещают, чтобы предотвращать попытки взлома
Как я понимаю, тут речь о том, чтобы не давать DBA административного аккаунта, но переложить на него ответственность за функционарование системы :-)
5 июл 11, 11:38    [10923137]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
Glory
Member

Откуда:
Сообщений: 104751
alexeyvg
Glory
пропущено...

Полная чушь. Права sa можно назначить любому нужному логину
В нормальных системах вообще sa запрещают, чтобы предотвращать попытки взлома
Как я понимаю, тут речь о том, чтобы не давать DBA административного аккаунта, но переложить на него ответственность за функционарование системы :-)

Это вопрос отношений и договоренностей. Знание мною пароля к вашему серверу не означает, что я "автоматически его обслуживаю"
5 июл 11, 11:42    [10923167]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
stavgreengo
У нас куча программеров, девелоперов, админов, сопровожденцев...без администраторских полномочий кислород для них перекрыт...надоел безликий sa...кто мол поменял, какая падла ??? Дык этож sa...а кто sa...да ХЗ ^) Создал для всех пофамильные учётки в sql, дал роль sysadmin и сопоставил с db_owner на нужных для каждого базах. Пароль sa заменил и никаму не даю, так как я администратор СУБД, то теперь и выполнение от sa исключительно на моей совести. Красота...все довольны, другие пользователи с админскими правами не ноют что прав не хватает. Видно кто, где, как и чего !

Это очень полезная мысль, и я с ней соглашусь.
alexeyvg
Как я понимаю, тут речь о том, чтобы не давать DBA административного аккаунта, но переложить на него ответственность за функционарование системы :-)

Вы правы.
Glory
В нормальных системах вообще sa запрещают, чтобы предотвращать попытки взлома

Я бы и рад запретить, но иногда он нужен. Например, когда создаёшь/меняешь пользователя СЭД. Или когда обновляешь версию СЭД (а заодно собираемся на 2008 MSSQL переходить). Я не пробовал создавать пользователей под другими администраторами, только под sa. Но попробовать, если хотите, могу. Тогда можно будет его почти постоянно держать отключённым.
5 июл 11, 11:55    [10923309]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
alexeyvg
Но вообще если в вашем отделе нет технических специалистов, то всё развалится, а то и хуже - данные потеряете. Лучьше всё таки пусть поддерживают специалисты.

Я учился в своё время работе с Oracle, но не как DBA. Соответственно, опыта у меня никакого. У ребят из того отдела тоже не очень много опыта (учились тому же, но немного на SQL лазали; первоначально ставила его нам контора, которая ставила и СЭД).
5 июл 11, 11:59    [10923339]     Ответить | Цитировать Сообщить модератору
 Re: Для чего нужен пользователь sa?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31987
Glory
alexeyvg
Как я понимаю, тут речь о том, чтобы не давать DBA административного аккаунта, но переложить на него ответственность за функционарование системы :-)

Это вопрос отношений и договоренностей. Знание мною пароля к вашему серверу не означает, что я "автоматически его обслуживаю"
Да, но незнание мною пароля означает, что я "автоматически его не обслуживаю"
Правильно?

На меня тогда можно возложить ответственность за выполнение конкретных действий (например, вовремя делать бакап при наличии нужных разрешений), но не как на DBA за правильное функционирование сервера.
CoolMind
alexeyvg
Но вообще если в вашем отделе нет технических специалистов, то всё развалится, а то и хуже - данные потеряете. Лучьше всё таки пусть поддерживают специалисты.

Я учился в своё время работе с Oracle, но не как DBA. Соответственно, опыта у меня никакого. У ребят из того отдела тоже не очень много опыта (учились тому же, но немного на SQL лазали; первоначально ставила его нам контора, которая ставила и СЭД).
Ну, тогда нужно взять специалиста в ваш отдел или в техотдел. Или научиться.
5 июл 11, 12:12    [10923471]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить