MS SQL Server | Безопасность

Пользователи баз данных могут быть как доменными (пользователи и группы пользователей домена) так и локальными – сущностями MS SQL Server.

С помощью зарегистрированных пользователей, так называемых Logins на SQL Server, можно управлять доступом к таблицам и запросам для этих групп.

Локальные пользователи MS SQL Server – это зарегистрированные учетные записи на уровне SQL сервера. Для аутентикации таких пользователей требуется только совпадение введеных данных на логин и пароль (SQL Server Authentication) – такому пользователю не требуется Windows-аутентикация. Локальной сущностью SQL Server-а может быть гость, которого не имеет смысла или запрещено добавлять в Active Directory, но которому разрешен доступ к БД сервера.

Авторизация каждого пользователя зарегистрированной на сервере группы домена будет выполнена на уровне домена. Таким образом, вы управляете доступом к таблицам для пользователей уже успешно авторизованных в Windows (доменный тип аутентикации / Windows Authentication).

Рекомендуется регистрировать на сервере именно доменную группу учетных записей, а не одного или нескольких пользователей домена в отдельности. Даже если в некую группу будет включена только одна учетная запись, не исключен случай, когда появится в домене еще один пользователь с теми же правами доступа, что и первый в группе. В каждом случае появления нового пользователя достаточно добавить его учетную запись в существующую группу домена (обычно этим управляет системный администратор), а на сервере баз данных ничего уже не предпринимать.

При появлении новых таблиц в базах данных, также немаловажно не путаться от множества зарегистрированных пользователей с одинаковыми правами.

Чем грамотнее вы однажды распределите пользователей в группы для доступа к объектам баз данных, тем проще и экономнее будет решена каждая задача по открытию прав.

Ниже приведен пример регистрации и настройки прав на MS SQL Server для группы пользователей домена. Эту задачу можно решить как с помощью узла Security | Logins (обычно этим управляет системный администратор), так и с помощью узла базы данных – Users (где вы можете, также, и просто добавлять нового пользователя из имеющегося списка зарегистрированных Logins и настраивать для него права).