Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Доброе утро!
Я новичок в MSSQL. Недавно задавал вопрос по поводу sa. Проблему пока решил обойти так: sa забрать себе, поубирать лишних из роли System Administrators, оставить там только sa и отдельные логины из домена.
Я надеюсь, что после этого можно будет видеть, какой сисадмин заходил на сервер и что делал. Необходимо проследить, менял ли он какие-то данные в таблицах (даты менял, документы удалял и т.д.). Возможно ли это средствами MSSQL 2000? Скоро перейдём на 2008. Почитав по поводу Transaction Log, так и не понял, можно ли как-то отследить, кто и как запускал запросы, менял данные прямо в таблицах.
8 июл 11, 09:32    [10943126]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
baracs
Member

Откуда: Москва
Сообщений: 7217
CoolMind,

Сделайте поиск по форуму. Такие вопросы здесь задаются регулярно.

Способы есть: Журналирование изменений структуры БД и данных, но пользователь с правами sa имеет возможность их обойти.
8 июл 11, 09:54    [10943268]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
baracs, большое спасибо! Я поиск-то уже третий день делаю, не знаю, как задать ключевые слова. Пользователь sa будет у нас в отделе, мы его не отдадим. Накрайняк, заблокируем sa совсем.
8 июл 11, 09:59    [10943304]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
baracs
Member

Откуда: Москва
Сообщений: 7217
CoolMind,

Вы так и не поняли?
Все пользователи, чьи логины, включены в роль сервера System Administratos, обладают такими же правами, как sa.
8 июл 11, 10:06    [10943367]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
baracs, понял-понял. Я исключил уже из доменной учётки на SQL Server эту галочку. Но не знаю, можно ли оставлять остальные.
8 июл 11, 10:08    [10943387]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
aleks2
Guest
CoolMind
понял-понял.


1. Да... нихрена он не понял.
2. Борьба бобра (администратор Win) с ослом (ну сами понимаете кто) закончилась победой бобра.
3. Уж лучше из ветряных мельниц шепу строгайте.
8 июл 11, 10:13    [10943425]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
aleks2, ага, серый ник, значит, можно троллить. А ты уверен, что ничего не понял?
8 июл 11, 10:22    [10943519]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
aleks2
Guest
CoolMind
aleks2, ага, серый ник, значит, можно троллить. А ты уверен, что ничего не понял?


Канешно уверен. Вот подтверждение:
CoolMind
Я исключил уже из доменной учётки на SQL Server эту галочку.


Запомни: администратор локальной системы могет поставить в MS SQL сервере любую галочку.
8 июл 11, 10:47    [10943732]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
aleks2, вот смотри. У меня есть доступ к MSSQL через sa и через доменную учётку. В доменной учётке настоящего сисадмина из другого отдела я проставил галочки, но System Administrators убрал.
8 июл 11, 12:11    [10944528]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104751
CoolMind
aleks2, вот смотри. У меня есть доступ к MSSQL через sa и через доменную учётку. В доменной учётке настоящего сисадмина из другого отдела я проставил галочки, но System Administrators убрал.

Это потребует от этого сисадмина немного дополнительных действий, чтобы вернуть себе эту галочку
8 июл 11, 12:14    [10944543]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
CoolMind,

алекс пытается до вас донести что администратор, может тупо запустить процесс сиквела из консоли с нужными параметрами и сделать себе ЛЮБЫЕ права, и Пофигу будет какие вы там где галочки ставили.
Это уже мульон раз на форуме и не только на этом обсуждалось, НЕТУ ЗАЩИТЫ ОТ АДМИНА, пока вы не единственный админ в сети вы ничего не контролируете.
8 июл 11, 12:19    [10944581]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Glory, WarAnt, я с вами согласен. Извините за ламерство, не приходилось ранее обслуживать SQL. Просто у нас взаимоотношения с сисадминами такие, что нельзя им давать доступ на изменение данных в таблице. Я пытаюсь что-то придумать, а не удаётся. Решил, что хотя бы как-то в истории покопаться можно. Ну и обратно галочку у них снять, если поставили. Чтобы хотя бы доказать, что они там чего-то где-то в документах правили.
8 июл 11, 12:32    [10944678]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
CoolMind,

Если у вас сервер с сиквелом занимается только сиквелом то можно просто выгнать оттуда админов, забрать права на саму ось и пусть все работают через порт сиквела и соответственно права сиквела, тогда будет шанс, но и то erd comander никто не отменял:)
8 июл 11, 12:44    [10944809]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
WarAnt, это разумная идея, но нам не хочется забирать себе поддержку сервера. Потому что мы в этом не особо и разбираемся. В общем, получается, что безвыходная ситуация. Если за руку сисадмина не поймать, то не доказать, что он чего-то там менял...
Но мысль хорошая, может быть, мы подумаем и напишем себе в порядок и в должностной регламент администрирование сервера (одного, конкретного).
8 июл 11, 13:34    [10945239]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
denis_viktorovich
Member

Откуда: Екб
Сообщений: 1233
А можно немного не по теме вопрос? Просто каждый раз когда натыкаюсь на подобные темы задаюсь вопросом - а из каких побуждений админу менять данные, вот логирование действий пользователя - да, актуальная задача. А админы - у них же совсем другая работа, зачем им?
8 июл 11, 14:37    [10945880]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
denis_viktorovich, тут, видите, в чём дело. Я сам программист, они тоже немного знакомы с программированием, но сами сисадмины. Наши подразделения работают с документами. В их интересах, чтобы отдельные документы были исполнены задним числом или вообще исчезли (или пропали бы поручения по ним). В самой программе по делопроизводству у них права слабоваты. Но на уровне СУБД многое можно поделать. А раз начальник их подразделения в этом заинтересован, он может кое-что поснимать, продлить и т.д.
8 июл 11, 15:00    [10946110]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
Knyazev Alexey
Member

Откуда: Екб -> Мск
Сообщений: 10233
Блог
CoolMind
А раз начальник их подразделения в этом заинтересован, он может кое-что поснимать, продлить и т.д.

хороша контора...
"а ещё их начальник подразделения может угнать автомобиль, ограбить банк, убить человека..."
8 июл 11, 15:21    [10946277]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Knyazev Alexey, ну что ж поделать, госконтора.
8 июл 11, 16:26    [10946946]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
Knyazev Alexey
Member

Откуда: Екб -> Мск
Сообщений: 10233
Блог
CoolMind
Knyazev Alexey, ну что ж поделать, госконтора.

Ну тогда убейте себя - решения вашей проблемы нет!!! кроме, как забрать сервак, вывести из домена, спрятать в сейф и полностью взять на себя его обслуживание...иначе все это припарки для трупа
8 июл 11, 21:44    [10948670]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
Knyazev Alexey, как-то вы агрессивно. Ну ладно, придётся идти по такому пути.
11 июл 11, 08:29    [10953672]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
aleks2
Guest
CoolMind
как-то вы агрессивно

Э, дарагие ПеремороженныеМозги, станешь тут кидаться от таких вопросов... ведь по сто раз спрашивают очевидное.
11 июл 11, 09:49    [10953897]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
aleks2
Guest
CoolMind
Ну ладно, придётся идти по такому пути.

1. Я, канешно, ничо не хочу сказать такого... но ведь сисадмин и на вашем клиентском компе сниффер может установить...
2. Так шо сейф - это деньги на ветер.
11 июл 11, 09:56    [10953926]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
CoolMind
Member [заблокирован]

Откуда: Вологда
Сообщений: 4122
aleks2, Knyazev Alexey, уважаемые беспардонные грубияны!
Из-за таких как вы, складывается ощущение, что на SQL Server отвечают морально не удовлетворённые люди. Я, конечно, встречал грубиянов и на Access, но там хотя бы есть обоснование (да и люди такие бестактные по натуре).
То, что очевидно для вас, для меня не очевидно совсем. Я, конечно, предполагал, что SQL Server содержит массу багов в безопасности, но не до такой же степени! Чтобы простой пользователь, запустив скрипт, мог назначить себе любые права - это мечта хакера. Если всё дело обстоит так, то почему же простой как дважды два сервер пользуется спросом? В сравнении с Oracle он вообще никакой, получается. Не только по безопасности, но и по производительности, настраиваемости.
В следующий раз попрошу или дать ссылку на поиск по теме, или не отвечать. Свои грубости оставьте при себе. Я не новичок, чтобы тут это выслушивать. Идите на ПТ и там развлекайтесь.
11 июл 11, 11:21    [10954513]     Ответить | Цитировать Сообщить модератору
 Re: Отслеживание действий пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104751
CoolMind
В следующий раз попрошу или дать ссылку на поиск по теме, или не отвечать. Свои грубости оставьте при себе. Я не новичок, чтобы тут это выслушивать. Идите на ПТ и там развлекайтесь.

Заведи те собственный форум и там задавайте такие "умные" вопросы

CoolMind
Я, конечно, предполагал, что SQL Server содержит массу багов в безопасности, но не до такой же степени! Чтобы простой пользователь, запустив скрипт, мог назначить себе любые права - это мечта хакера

Точно. Переходите на Оракл.
11 июл 11, 11:25    [10954536]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить