Режим аутентификации Windows NT
Поможем в ✍️ написании учебной работы
Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

       В этом режиме используются преимущества системы безопасности Windows NT и ее механизма учетных записей. Этот режим позволяет SQL Server использовать имя пользователя и пароль, которые определены в Windows NT, и тем самым обходить процесс подключения к SQL Server. Таким образом, пользователи, имеющие действующую учетную запись Windows NT, могут подключиться к SQL Server, не сообщая своего имени и пароля.

Преимущества режима аутентификации Windows NT:

- пользователю не нужно запоминать еще один пароль и имя пользователя;

- в случае изменения пароля для Windows NT пользователю не нужно менять пароль в SQL Server.

Смешанный режим аутентификации

       В смешанном режиме безопасности задействованы обе системы аутентификации: Windows NT и SQL Server. При использовании системы аутентификации SQL Server отдельный пользователь, подключающийся к SQL Server, должен сообщить имя пользователя и пароль, которые SQL Server будет проверять по своей системной таблице.

Пользователи и их права доступа

       После успешного подключения пользователя к SQL Server (через системы аутентификации SQL Server ) SQL Server определяет, имеет ли этот пользователь разрешение на работу с базой данных, к которой обращается. Независимо от режима аутентификации пользователь должен иметь разрешение на доступ к конкретной базе данных. Если же он такого разрешения не имеет, SQL Server возвращает сообщение об ошибке.

Права доступа ( permission ) – это выдаваемое конкретному пользователю разрешение сделать что-либо в базе данных. Существует два типа прав доступа:

- объектные права доступа позволяют контролировать доступ к объектам в SQL Server. Можно предоставлять и аннулировать права доступа для таблиц, столбцов таблиц, представлений и хранимых процедур. Чтобы выполнить по отношению к некоторому объекту некоторые действия, пользователю должно быть назначено соответствующее право доступа.

- командные права доступа определяют, кто может выполнять административные действия, например, создавать базу данных или ее резервную копию. Командные права могут быть назначены только системным администратором (учетная запись sa), пользователями, которым назначена роль sisadmin, или владельцем базы данных. При предоставлении командных прав доступа необходимо проявлять особую осторожность. Лучше всего предоставлять их только sa (системному администратору), роли sisadmin или владельцу базы данных.

Роли

       С помощью ролей можно логически сгруппировать пользователей, имеющих соответствующие права доступа. В SQL есть два типа ролей.   

Роли уровня сервера

       С помощью этих ролей предоставляются различные степени доступа к операциям и задачам сервера. Если отдельному пользователю назначена некоторая роль, то он может выполнять все функции разрешенные этой ролью.

        Роли уровня сервера заранее определены и действуют в пределах сервера. Они не зависят от конкретных баз данных, и модифицировать их нельзя.

В таблице 3 описаны различные типы ролей уровня сервера.

Таблица 3. Роли уровня сервера

Роль Описание
sisadmin Возможность выполнять любое действие в SQL Server
serveradmin Возможность изменить параметры SQL Server и завершить его работу
setupadmin Возможность инсталлировать систему репликации и управлять выполнением расширенных хранимых процедур
securityadmin Возможность контролировать параметры учетных записей для подключения к серверу и предоставлять права доступа к базам данных
processadmin Возможность управлять ходом выполнения процессов в SQL Server
dbcreator Возможность создавать и модифицировать базы данных
diskadmin Возможность управлять файлами баз данных на диске
bulkadmin Возможность выполнять операции bulk и insert

Роли уровня базы данных

       Роли этого типа позволяют назначить набор прав доступа для работы с конкретной базой данных отдельному пользователю или группе. Роли уровня базы данных можно назначать учетным записям пользователей в режиме аутентификации Windows NT или SQL Server. При использовании режима аутентификации Windows NT роли уровня базы данных можно назначать отдельным пользователям системы Windows NT или целым NT-группам. Роли могут быть и вложенными, так что учетным записям можно назначить иерархическую группу прав доступа.

       Роли уровня баз данных зависят от конкретных баз данных. В SQL Server существует два типа таких ролей.

Заранее определенные роли

Это стандартные роли уровня базы данных SQL Server. Эти роли имеет каждая база данных SQL Server.Они позволяют легко и просто передавать обязанности.

       Заранее определенные роли зависят от конкретной базы данных и не могут быть изменены. В таблице 4 перечислены стандартные роли уровня базы данных и дано описание каждой из них.

Таблица 4. Заранее определенные роли уровня базы данных

Роль Описание
db_owner Имеет полный доступ ко всем объектам базы данных, может удалять и воссоздавать объекты, а также присваивать объектные права другим пользователям. Может изменять параметры базы данных и выполнять ее обслуживание. Охватывает все функции, перечисленные ниже для других стандартных ролей уровня базы данных
db_accessadmin Осуществляет контроль за доступом к базе данных путем добавления или удаления пользователей в режимах аутентификации Windows NT и SQL Server
db_datareader Имеет полный доступ к выборке данных (с помощью оператора SELECT) из любой таблицы базы данных. Не дает разрешения на выполнение операторов INSERT, DELETE и UPDATE для любой таблицы базы данных
db_datawriter Может выполнять операторы INSERT, DELETE и UPDATE для любой таблицы базы данных. Не дает разрешения на выполнение оператора SELECT для любой таблицы базы данных
db_ddladmin Имеет возможность создавать, модифицировать и удалять объекты из базы данных
db_ securityadmin Управляет системой безопасности базы данных, а также назначением объектных решений и ролей для базы данных
Роль Описание
db_ backupoperator Позволяет создавать резервные копии базы данных
db_ denydatareader Отказывает в разрешении на выполнение оператора SELECT для всех таблиц базы данных. Позволяет пользователям изменять существующие структуры таблиц, но не позволяет создавать или удалять существующие таблицы
db_ denydatawriter Отказывает в разрешении на выполнение операторов модификации данных (INSERT, DELETE,UPDATE) для любых таблиц базы данных
public Как только пользователю предоставляется право доступа к базе данных, ему автоматически назначается роль public

Дата: 2019-11-01, просмотров: 214.