Sql kiszolgáló felhasználói szerepkörök - szoftver termékek
Évekig az ilyen funkciók hozzáférhetetlensége az SQL Server rendszergazdái számára fejfájást okozott. Mit tettél, ha több felhasználónak vagy csoportnak kell jogait biztosítani a példány szintjén, és biztosítania kell e jogok szinkronizálását? Például meg kell adnia a Rendszerállapot Rendszer számára a jogot, hogy nagyszámú felhasználó jelenjen meg a fejlesztési központokban tárolt információkról. A jogokat külön-külön kellett megadni minden egyes felhasználóhoz vagy tartománycsoporthoz.
Ha minden bejelentkezést az a tartomány egy megoldás: akkor létrehozhat egy tartományi csoportot, amely tartalmazza az összes felhasználó számára, akinek szüksége van az ilyen jogok (ebben az esetben szükséges volt, hogy hozzon létre egy külön csoport minden egyes szerverhez, ha szükséges volt, hogy jogokat, hogy több szerver). Felveheti felhasználót a csoportba, hozzon létre egy felhasználói nevet domainhez társított csoportot, majd megadja a csoport joga megtekinteni Server állam a szerveren. De nagyon óvatosan kellett megtenni. Ellenkező esetben megadhatja a hozzáférési jogot azokhoz a felhasználókhoz, akik korábban nem rendelkeztek ilyen jogokkal. Volt még az a lehetőség is, hogy olyan felhasználói jogokat biztosítsanak, amelyeket nem lehet nekik nyújtani.
Szerep létrehozása a T / SQL használatával
Sokféleképpen hozhat létre egyéni szerepet a kiszolgálón, például a T / SQL, az SQL Server Management Studio és a Windows PowerShell. Ha azt szeretnénk, hogy hozzon létre egy egyéni szerver szerepét a T / SQL, meg kell kihasználni három csapat: Create Server szerepkör nyilatkozat létrehoz egy egyéni szerver szerepét, használati Alter kiszolgáló szerepkör felhasználókat hozzáadni a szerepet, és végül Grant utasítások biztosítják a szükséges jogi szerepet.
E három utasítás használatát a következő kód mutatja, amely egy ViewServerState néven megadott egyéni szerver szerepkört hoz létre. A felhasználó hozzá van adva a SomeFakeLogin szerephez, és a szerepkörben a Szerverállapot megtekintése látható. Ha ezt a jogot más felhasználóknak meg szeretné adni, egyszerűen add hozzá őket a kész szerephez az Alter Szerver Szerep utasításával.
USE [master]
GO
CREATE SERVER ROLE [ViewServerState] AUTHORIZÁCIÓ [sa]
GO
ALTER SERVER ROLE [ViewServerState] ADD TAG [NéhányFakeLogin]
GO
GRANT VIEW SERVER STATE [ViewServerState]
GO
Egy felhasználó szerepének törléséhez használja az Alter kiszolgáló szerepkörnyilatkozatot. Ezt a Add tag paraméterhez használják, és a Drop Member:
ALTER SZERVER ROLE [ViewServerState] DROP MEMBER [NéhányFakeLogin]
GO
Amikor egy vagy több felhasználói szerver szerepkört kell telepíteni az SQL Server számos példányára. számos lehetőség létezik. Biztosan nem szeretne egyedileg kapcsolódni az egyes kiszolgálókhoz, és egyedi szerver szerepeket hozhat létre rájuk. Az egyik lehetőség az SQL Server Management Studio konzol használata. Ebben a programban több példányban egyszerre elindíthatja a T / SQL parancsfájlokat.
Az SQL Server Windows PowerShell összetevőit is felhasználhatja új szerver szerepkörök telepítéséhez az SQL Server összes példányán a szervezeten belül. (A Windows PowerShell használatával sokféle módon végezhet el egy feladatot, de nem tartoznak a cikk hatálya alá.)
SQL Server Management Studio konzol
A feladat könnyen elvégezhető az SQL Server Management Studio grafikus felületével. Egyéni kiszolgálói szerepkör létrehozásához csatlakozzon a példányhoz az Object Explorer használatával. Az objektumböngészőben keresse meg a csomópontot <имя_экземпляра>/ Biztonság / Szerver szerepkörök. Kattintson jobb gombbal a Szerver szerepkörökre, és válassza az Új kiszolgáló szerepkör lehetőséget. A Megjelenő új kiszolgáló szerepkörben a Szerver szerepkör neve mezőben adja meg a szerepkör nevét, a Tulajdonos mezőben adja meg a szerepeltetőt, majd adja meg azokat a tárgyakat és engedélyeket, amelyeket a szereptagok számára biztosítania kell (lásd 1. ábra).
Ábra. 1. Adja meg a szerepkör által biztosított jogokat
Amikor befejezte az Általános lapon végzett munkát, menjen a Tagok oldalra (2. ábra), és adja meg az SQL Server bejelentkezési adatokat. amely ennek a felhasználói szerver szerepnek a részét kell képeznie.
Ábra. 2. Szereptagok meghatározása
Miután meghatározta a tagok szerepét a Tagok oldalon, lépjen a Tagságok oldalra. Itt vannak kiszolgálói szerepkörök, amelyeknek a felhasználó szerver szerepkörének tagnak kell lennie. Ha az oldalon egy szerepet választ, akkor azok a felhasználók is, akik létrehozzák a felhasználó szerver szerepét, szintén a kiválasztott szerep joga lesz.
Ha létrehoz egy felhasználói szerepkört, és tagja lesz a serveradmin fix szerver szerepkörnek (lásd a 3. ábrát), akkor az újonnan létrehozott felhasználói szerepkör minden tagja rendelkezik a serveradmin szerepjogokkal. Ugyanúgy, mint a domaincsoportok vagy az adatbázis szerepkörök fészkelésénél, a szerepek csatolásakor ügyelni kell arra, hogy ne adjon meg olyan felhasználói jogokat, amelyeknek nem kellene
Ábra. 3. Az egyes szerepköröket más kiszolgálói szerepkörökbe is beillesztheti
A szerepek szerepeltetésének megszervezéséhez a T / SQL használatával ismét szüksége lesz az Alter kiszolgálói szerepvállalásra az Add Tag paraméterrel. Például ahhoz, hogy a ViewServerState egyéni kiszolgálói szerepkört betöltse a setupadmin fix szerver szerepkörének, meg kell változtatnia az állandó telepítési adminisztrátori szerepköröket.
ALTER SERVER ROLE [setupadmin] TAG hozzáadása [ViewServerState]
GO
A felhasználók szerver szerepkörében sok felhasználó lehet. Több tucat példányszintű jogosultsággal rendelkezik, amelyek segítségével a felhasználói kiszolgáló szerepkörében egyszerűbbé teheti ezeket a jogokat. Hozzon létre egy szerepet a junior adatbázis-adminisztrátor számára is, amely biztosítja a részt, de nem minden rendszergazdai jogot. Létrehozhat egy AlwaysOnAdmin csoportot, amely megadja a jogot az AlwaysOn adatbázis-áttelepítés végrehajtására (amelyet az SQL Server-ben kell végrehajtani) anélkül, hogy teljes adminisztratív jogokat biztosítana.
Sok olyan helyzet létezik, amelyben a felhasználói kiszolgálói szerepek nagyon hasznosak. Nagyon megkönnyítik az adminisztrátor munkáját. Ezenkívül ezek a csoportok javítják az SQL Server példányok biztonságát, csökkentve annak valószínűségét, hogy véletlenszerűen megadják a nem biztosítható felhasználói jogosultságokat.