SQL Server 2000
Страница 39

В качестве примера команды рассмотрим следующую ситуацию. Вам необ­ходимо предоставить права на использование команд INSERT и SELECT группе Engineer в таблице Materials. При этом нужно, чтобы в дальнейшем пользо­ватели этой группы могли сами предоставлять аналогичные права. Для этого следует выполнить следующую команду:

GRANT SELECT. INSERT

ON Materials

TO Engineer

WITH GRANT OPTION

Впоследствии пользователь Valentin, являющийся членом группы Engineer, может предоставить аналогичные права другому пользователю L i s s:

GRANT SELECT, INSERT ON Materials ' TO Liss AS Engineer

В данном случае необходимо подтвердить, на каком основании Valentine предоставляет права, поэтому применяется параметр AS.

Будьте осторожны при использовании параметра WITH GRANT OPTION, поскольку при этом вы теряете контроль над предоставлением прав на доступ другим пользователям. Лучше всего огра­ничить круг людей, обладающих возможностью управлять назначением прав.

Единственное право доступа, которое может быть предоставлено для храни­мой процедуры, — это право на ее выполнение (EXECUTE). Естественно, кроме этого владелец хранимой процедуры может просматривать и изменять ее код.

Для функции можно выдать право на ее выполнение, а, кроме того, можно выдать право REFERENCES, что обеспечит возможность связывания функции с объектами, на которые ссылается функция. Такое связывание позволяет запре­тить внесение изменений в структуру объектов, которые могли бы привести к нарушению работы функции.

Чтобы предоставить право на выполнение хранимой процедуры, можно ис­пользовать Enterprise Manager. Для этого выберите в левой панели Enterprise Manager нужную базу данных и откройте в ней папку Stored Procedures. В пра­вой части Enterprise Manager будет отображен список хранимых процедур, уже созданных в базе данных. Управление правами доступа можно осуществлять в окне Object Properties (свойства объектов), показанном на рис. 12.20. Вызвать это окно можно либо с помощью кнопки Permissions (права) в окне свойств хранимой процедуры, либо выбрав в контекстном меню хранимой процедуры пункт АН Tasks > Manage Permissions (все задачи > управление правами).

Чтобы разрешить пользователю выполнять хранимую процедуру, нужно уста­новить напротив его имени галочку в поле ЕХЕС. Чтобы запретить доступ, нужно поставить крестик. Отсутствие какого-либо значка подразумевает неявное отклоне­ние доступа. Более подробно о правах доступа будет рассказано далее в этой главе.

Управление правами доступа к функциям осуществляется аналогично.

Другой способ управления правами доступа заключается в предоставлении прав конкретному пользователю с помощью окна прав доступа пользователя. Для этого в окне Enterprise Manager выберите необходимую базу данных, а затем пап­ку Users. Щелкните левой кнопкой мыши на выбранном пользователе. В появив­шемся окне щелкните на кнопке Permissions (права) и укажите необходимые права.

Запрещение доступа

Система безопасности SQL Server имеет иерархическую структуру. Это позво­ляет ролям базы данных включать в себя учетные записи и группы Windows NT, пользователей и роли SQL Server. Пользователь же, в свою очередь, может уча­ствовать в нескольких ролях. Следствием иерархической структуры системы безопасности является то, что пользователь может одновременно иметь разные права доступа для разных ролей. Если одна из ролей, в которых состоит пользо­ватель, имеет разрешение на доступ к данным, то пользователь автоматически имеет аналогичные права. Тем не менее может потребоваться запретить воз­можность доступа к данным. Когда вы запрещаете пользователю доступ к дан­ным или командам Transact-SQL (deny access), тем самым аннулируются все разрешения на доступ, полученные пользователем на любом уровне иерархии. При этом гарантируется, что доступ останется запрещенным независимо от раз­решений, предоставленных на более высоком уровне.

Пусть, например, вы создаете в базе данных таблицу, доступ к которой по умолчанию предоставлен всем пользователям, но вам необходимо временно огра­ничить доступ определенных пользователей к этой таблице. Вместо того чтобы отозвать разрешения на доступ, можно создать роль, которой будет запрещен до­ступ к этой таблице, и включить пользователей в эту роль. Проще контролиро­вать несколько записей в роли, которая запрещает доступ, чем манипулировать множеством разрозненных учетных записей, пытаясь вспомнить, вернули ли вы права доступа пользователю обратно. При большом количестве пользователей та­кой подход позволяет упростить администрирование системы безопасности.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63