Оператор представления привилегий

Синтаксис:

grant<привилегия>,...

ON < объект >, …

TO <имя>

[with grant option];

Атрибут with grant optionдает право пользователю самому раздавать права, которые он получил.

С помощью оператора grantдля каждого пользователя формируется список привилегий, привилегии управляют работой сервера данных с точки зрения защиты данных. Выполнению каждой транзакции предшествует проверка привилегий пользователя, сеанс которого породил транзакцию.

Пример: grant select, update (Sales, num) ON Sales_data TO user1

with grant option

Пользователь, предоставивший привилегию другому называется грантор (grantor — предоставитель). Привилегия является предоставляемой, если право на нее можно предоставить другим пользователям.

PUBLIC— имя роли, которую получает пользователь при добавлении в список пользователей конкретной БД, включает в себя минимальный набор прав на чтение данных из таблиц и представлений в БД.

Роль библиотекаря названа LIBRAR. Операторы назначения прав доступа для этой роли представлены ниже:

GRANT DELETE, INSERT, UPDATE, SELECT ON BOOKS TO LIBRAR

GRANT DELETE, INSERT, UPDATE, SELECT ON AUTHORS TO LIBRAR

GRANT DELETE, INSERT, UPDATE, SELECT ON DELIVERIES TO LIBRAR

GRANT EXECUTE TO LIBRAR

 

Роль читателя названа READER. Операторы назначения прав доступа для этой роли представлены ниже:

GRANT SELECT ON BOOKS TO READER

GRANT SELECT ON AUTHORS TO READER

GRANT SELECT ON PUBLISHING_HOUSE TO READER

Создание пользователей с определенной ролью

Пример создания библиотекаря Ivanov_Lib и присвоения ему роли:

Exec sp_addlogin 'Ivanov_Lib','Ivanov', 'Demo_DataBase'

use Demo_DataBase

Exec sp_adduser 'Ivanov_Lib','Ivanov_Lib'

EXEC sp_addrolemember 'LIBRAR', 'Ivanov_Lib'

 

Пример создания читателя Petrov_Read и присвоения роли:

Exec sp_addlogin 'Petrov_Read','Petrov', 'Demo_DataBase'

use Demo_DataBase

Exec sp_adduser 'Petrov_Read','Petrov_Read'

EXEC sp_addrolemember 'READER', 'Petrov_Read'

Оператор отмены привилегий

Синтаксис отмены привилегий:

Revoke[with grant option]

< привилегии >,…

ON < объект >,…

FROM <имя_пользователя>;

Предложение with grant optionсохраняет за пользователем перечисленные привилегии, но отменяет его право передавать их кому-либо другому.

Пример:

REVOKE SELECT ON AUTHORS FROM READER

Оператор изымания роли у пользователя:

Revoke <список ролей> from <список пользователей>.

Пример:

use Demo_DataBase

EXEC sp_droprolemember 'READER', 'Petrov_Read'

Варианты заданий к лабораторной работе №4

Общие положения

В утилите SQL Server Management Studio выполнить примеры, которые даны по ходу работы.

По варианту базы данных, которая выполнена в 3 лабораторной работе, определить 2-3 должностных лица, которые могут работать с таблицами БД. Для каждого должностного лица определить набор привилегий, которыми он может пользоваться.

В утилите SQL Server Management Studio создать под каждое должностное лицо соответствующую роль, наделить эту роль определенными привилегиями. Далее создать по одному пользователю на каждую должность и присвоить им соответствующие роли.

Сохранить последовательно операторы. Операторы создания ролей, привилегий и пользователей сохранить в сетевой папке.

Справочная информация

Для просмотра служебной информации можно обратиться к системным представлениям, как показано на рис. 4.5. в разделе Object Explorer. Также на рис. 4.5. показаны три команды и результат их выполнения, которые позволяют увидеть списки созданных пользователей и ролей всех БД; объектов, созданных на сервере; учетных записей сSQLServerаутентификацией.

Список разрешений для роли sysadmin

Можно посмотреть с помощью: EXEC sp_srvrolepermission 'sysadmin'

Список разрешений для роли securityadmin

Можно посмотреть с помощью: EXEC sp_srvrolepermission 'securityadmin'

Список разрешений для роли serveradmin

Можно посмотреть с помощью: EXEC sp_srvrolepermission 'serveradmin'