Реферат: SQL Server 2000

О при подключении к SQL Server 2000 через Интернет, когда регистрация в домене не выполняется;

О под управлением операционной системы Windows 98.

Учтите, что в этом случае администратор SQL Server 2000 сам должен периоди­чески предупреждать пользователей о необходимости сменить пароль, чтобы обезопасить систему от несанкционированного доступа, поскольку в отличие от Windows NT, в SQL Server отсутствуют подобные средства системы безопасности.

В большинстве случаев учетная запись в SQL Server создается с целью предоставления доступа. Но бывают ситуации, когда необходимо запретить доступ пользователю или группе. Например, при наличии сложной системь! без­опасности Windows NT доступ обычно предоставляется группе пользователей. Однако если в группе имеется человек, которому нельзя разрешать доступ к SQL Server, его необходимо убрать из этой группы. Но такой подход неудов­летворителен, если группа предназначена не только для объединения пользова­телей, имеющих доступ к SQL Server, но имеет еще и какие-то дополнительные функции. SQL Server разрешает создать учетную запись с целью запрещения доступа. Это гарантирует, что пользователь никаким образом не сможет устано­вить соединение с сервером. Создав группу Windows NT и запретив ей доступ к SQL Server, вы можете включать в нее пользователей, которым необходимо отказать в доступе.

После установки SQL Server создаются две стандартные учетные записи: BUILTINXAdministrators и sa.

О BUILT INNAdministrators — это учетная запись Windows NT, обеспечивающая автоматический доступ всем членам группы Administrators к SQL Server. Учетная запись BUILTINNAdministrators по умолчанию является членом встроенной роли сервера sysadmin. Таким образом, системные администра­торы получают полный доступ ко всем базам данных. В ситуации, когда фун­кции системного администратора и администратора баз данных выполняют разные люди, скорее всего, следует исключить эту учетную запись из роли sysadmin, а возможно, и вообще удалить.

О s a — это специальная учетная запись SQL Server для администратора. По умолчанию она присвоена встроенной системной роли сервера sysadmin и не может быть изменена. Эта учетная запись сохранена в этой версии SQL Server для сохранения совместимости с приложениями, написанными для пре­дыдущих версий. Хотя s а и имеет административные права, ее не рекомен­дуется использовать в SQL Server 2000. Вместо этого следует создать новых пользователей и включить их в административную группу sysadmin. Учет­ную запись s а оставьте на крайний случай, когда учетные записи админист­раторов окажутся недоступными либо вы забудете пароль.

В процессе установки SQL Server 2000 мастер установки предлагает ввести пароль для учетной записи sa, но он также может быть оставлен и пустым. В этом случае следует обязательно устано­вить новый пароль сразу же после установки. В предыдущих версиях не было возможности уста­навливать пароль учетной записи sa во время установки сервера, и этот пароль всегда был пустым.

Компоненты структуры безопасности

Фундаментом системы безопасности SQL Server 2000 являются учетные записи
(login), пользователи (user), роли (role) и группы (group).           t

Пользователь, подключающийся к SQL Server, должен идентифицировать себя, используя учетную запись. После того как клиент успешно прошел аутентификацию, он получает доступ к SQL Server. Для получения доступа к любой базе дан­ных учетная запись пользователя (login) отображается в пользователя данной базы данных (user). Объект «пользователь базы данных» применяется для предостав­ления доступа ко всем объектам базы данных: таблицам, представлениям, храни­мым процедурам и т. д. В пользователя базы данных может отображаться:

О учетная запись Windows NT;

О группа Windows NT;

О учетная запись SQL Server.

Подобное отображение учетной записи необходимо для каждой базы данных, доступ к которой хочет получить пользователь. Отображения сохраняются в сис­темной таблице sysusers, которая имеется в любой базе данных. Такой подход обеспечивает высокую степень безопасности, предохраняя от предоставления пользо­вателям, получившим доступ к SQL Server, автоматического доступа ко всем базам данных и их объектам. Пользователи баз данных, в свою очередь, могут объеди­няться в группы и роли для упрощения управлением системой безопасности.

В ситуации, когда учетная запись не отображается в пользователя базы дан­ных, клиент все же может получить доступ к базе данных под гостевым именем guest, если оно, разумеется, имеется в базе данных. Обычно пользователю guest предоставляется минимальный доступ только в режиме чтения. Но в некоторых ситуациях и этот доступ необходимо предотвратить.

     Если в сети имеется небольшое количество пользователей, то достаточно легко предоставить до­ступ каждому пользователю персонально. Однако в больших сетях с сотнями пользователей по­добный подход займет много времени. Гораздо более удобным и эффективным является подход, когда доступ к SQL Server 2000 предоставляется целым группам пользователей. Как раз такой под­ход возможен при аутентификации средствами Windows NT/2000, когда на уровне домена создает­ся несколько групп, каждая из которых предназначена для решения специфических задач. На уровне SQL Server 2000 такой группе разрешается доступ к серверу, предоставляются необходимые права доступа к базам данных и их объектам. Достаточно включить учетную запись Windows NT в одну из групп, и пользователь получит все права доступа, предоставленные этой группе. Более того, одна и та же учетная запись может быть включена во множество групп Windows NT, что даст этой учет­ной записи возможность пользоваться правами доступа, предоставленными всем этим группам. Администратор SQL Server 2000 должен сам решить, как удобнее предоставлять доступ к серверу: персонально каждой учетной записи или группе в целом.

Пользователи

После того как пользователь прошел аутентификацию и получил идентифика­тор учетной записи (login ID), он считается зарегистрированным и ему предо­ставляется доступ к серверу. Для каждой базы данных, к объектам которой пользователю необходимо получить доступ, учетная запись пользователя (login) ассоциируется с пользователем (user) конкретной базы данных. Пользователи выступают в качестве специальных объектов SQL Server, при помощи которых определяются все разрешения доступа и владения объектами в базе данных.

Имя пользователя может использоваться для предоставления доступа как конкретному человеку, так и целой группе людей (в зависимости от типа учетной записи).

При создании базы данных определяются два стандартных пользователя: d b о и guest.

Если учетная запись (login) не связывается явно с пользователем (user), по­следнему предоставляется неявный доступ с использованием гостевого имени guest. То есть все учетные записи, получившие доступ к SQL Server 2000, авто­матически отображаются в пользователей guest во всех базах данных. Если вы удалите из базы данных пользователя guest, то учетные записи, не имеющие явного отображения учетной записи в имя пользователя, не смогут получить доступа к базе данных. Тем не менее, guest не имеет автоматического доступа к объектам. Владелец объекта должен сам решать, разрешать пользователю guest этот доступ или нет. Обычно пользователю guest предоставляется минималь­ный доступ в режиме «только чтение».

Для обеспечения максимальной безопасности можно удалить пользователя guest из любой базы данных, кроме системных баз данных master и Tempdb. В первой из них guest используется для выполнения системных хранимых процедур обычными пользователями, тогда как во второй позво­ляет создавать любым пользователям временные объекты.

Владелец базы данных (DataBase Owner, DBO) — специальный пользователь, обладающий максимальными правами в базе данных. Любой член роли sysadmin автоматически отображается в пользователя dbo. Если пользователь, являющийся членом роли sys admin, создает какой-нибудь объект, то владельцем этого объекта назначается не данный пользователь, a dbo. Например, если Liliya, член адми­нистративной группы, создает таблицу ТаЫ еА, то полное имя таблицы будет не Lil iya .ТаЫеА, a dbo.ТаЫ еА. В то же время, если Liliya, не будучи участни­ком роли сервера sysadmin, состоит в роли владельца базы данных db_owner, то имя таблицы будет Li I i уа. ТаЫ еА.

Пользователя dbo нельзя удалить.

Для связывания учетной записи (login) с определенным именем пользовате­ля (user) можно воспользоваться следующей хранимой процедурой:

sp_adduser [@loginame =]  'login' [,[@name_in_db =] 'user'] [.[@grpname =] 'role']

Ниже дается пояснение используемых в ней параметров:

О login— имя учетной записи, которую необходимо связать с именем пользо­вателя базы данных;

О user — имя пользователя базы данных, с которым ассоциируется данная учет­ная запись (в базе данных заранее не должно существовать пользователя с указанным именем);

О role — этот параметр определяет роль, в которую данный пользователь бу­дет включен (подробнее о ролях будет рассказано позже). Хранимая процедура sp_grantdbaccess позволяет отобразить учетную за­пись Windows NT в имя пользователя:

sp_grantdbaccess [@loginame =]   'login' [,[@name_in_db =] 'user']

Параметры означают следующее:

О login— имя учетной записи пользователя или группы пользователей Windows NT, которым необходимо предоставить доступ к базе данных. Имя должно снабжаться ссылкой на домен, в котором учетная запись определена. Указанной учетной записи не обязательно должен быть предоставлен персо­нальный доступ к SQL Server. Вполне возможно, что соединение с сервером устанавливается вследствие членства в группе Windows NT, которая имеет доступ к серверу;

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26