Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 маразм с правами  [new]
marasm
Guest
помогите разобраться с таким делом.
имеются 2 сервера, 2005 и 2008.
имеется виндовский юзер test, член виндовской группы test_group.

на сервере 2005 делаю:
create login [dom\test_group] from windows

т.е. всего 1 логин для группы.
потом в создаю юзера для группы, прав не даю.
use northwind
create user [dom\test_group] for login [dom\test_group] 

проверяю. только коннект.

на сервере 2008 делаю:
create login [dom\test] from windows
create login [dom\test_group] from windows

т.е. 2 логина: для юзера и для его группы.
создаю в northwind 2 юзеров,
групповому прав не даю, а юзера test делаю db_owner.

теперь на 2005 делаю бэкап, а на 2008 рестор northwind.
ожидаю, что юзер test исчезнет, т.к. его не было в на 2005.
и правда, юзера test не стало.
я также ожидаю, что теперь на сервер 2008 он попадет через членство в группе,
и что прав у него на не будет.
и вот юзер логинится, и оказывается, что он db_owner в northwind.

это как? при ресторе юзер исчез, а права остались? ничего не понимаю...
24 июл 12, 19:09    [12910454]     Ответить | Цитировать Сообщить модератору
 Re: маразм с правами  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37069
Юзер никуда не исчезает, потому что он хранится в базе, честно бэкапится и рестоорится со всеми правами.
24 июл 12, 19:12    [12910462]     Ответить | Цитировать Сообщить модератору
 Re: маразм с правами  [new]
Зайцев Фёдор
Member

Откуда: Лужки
Сообщений: 5308
alter user [dom\test_group] with [dom\test_group] 
24 июл 12, 19:40    [12910540]     Ответить | Цитировать Сообщить модератору
 Re: маразм с правами  [new]
Зайцев Фёдор
Member

Откуда: Лужки
Сообщений: 5308
Зайцев Фёдор
alter user [dom\test_group] with [dom\test_group] 

в смысле
alter user [dom\test_group] with login = [dom\test_group] 
24 июл 12, 19:41    [12910548]     Ответить | Цитировать Сообщить модератору
 Re: маразм с правами  [new]
marasm
Guest
Гавриленко Сергей Алексеевич
Юзер никуда не исчезает, потому что он хранится в базе, честно бэкапится и рестоорится со всеми правами.


ну так в 2005 НЕ БЫЛО ИЗНАЧАЛьНО юзера test.
он максимум коннектился через группу, и прав этой группе не давали.
значит, забэкапилась только группа, без прав.
и восстановилась только группа.
а юзер, бывший в 2008, честно исчез- откуда же у него права-то?
24 июл 12, 21:49    [12910886]     Ответить | Цитировать Сообщить модератору
 Re: маразм с правами  [new]
Mnior
Member

Откуда: Кишинёв
Сообщений: 6723
marasm
логина нет, а права есть
Му-ха-ха-ха
Прикольно. Оставляешь один только логин типа [Dom\AllUsers]. А права раздаёшь на несуществующие.
Логин ничего не контролирует. И прикольное ещё то, что базы то могут быть в ReadOnly и тогда хрена что закроешь.

- Админа, админа, прикрой права на база.
- А не могу!

На самом деле:
1. Можно - завести логин и явно заблокировать.
2. Нереально в принципе. Две ReadOnly базы нельзя зеркально настроить (если так не было изначально).

MS явно отвяжется by Design. Некоторые технологические отверстия обязаны быть ради святой обратной совместимости.
Возможно хранение мапинга бизнес ролей и пользователей в самой базе было плохим решением/подходом.

PS: А действительно в ReadOnly нельзя ничего делать? (Снапы там и т.п.)
25 июл 12, 02:34    [12911415]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить