Руководство по основным приемам работы в ms sql server 2014 по дисциплине

62 
Server обеспечивает соблюдение прав доступа, которые применяются к роли 
приложения, а не пользователя базы данных. 
Роли приложений не содержат элементов и по умолчанию находятся в 
неактивном состоянии. Роли приложений работают с обоими режимами 
проверки подлинности. Роли приложений активируются с помощью 
процедуры sp_setapprole, которая требует указания пароля. Так как роли 
приложений являются участниками на уровне базы данных, они имеют 
доступ к другим базам данных только с разрешениями, предоставленными 
учетной записи пользователя guest в этих базах данных. Таким образом, 
любая база данных, в которой была отключена учетная запись пользователя 
guest , не будет доступна для ролей приложений в других базах данных. 
Разрешения в SQL Server 
Управление доступом к защищаемым объектам осуществляется путем 
предоставления или отзыва разрешений, либо путем добавления имен входа 
и пользователей к ролям, имеющим доступ. 
Архитектуры безопасности часто являются иерархическими, в первую 
очередь для того, чтобы упростить управление разрешениями. В архитектуре 
иерархической безопасности защищаемые объекты могут содержать другие 
защищаемые объекты, и участники могут содержать другие сущности 
(Principal), например, пользователи могут быть добавлены в группу. Обычно 
разрешения наследуются как в иерархии защищаемых объектов, так и 
иерархиями участников. Для тонкой настройки доступа можно явно 
переопределить унаследованные разрешения на разных уровнях иерархии. 
Такая иерархическая организация упрощает управление разрешениями: 

Меньшее количество индивидуальных разрешений должны быть 
предоставлены, что снижает риск неправильной конфигурации 
безопасности. Можно задать общие разрешения, которые требуются на 
самом высоком уровне в иерархии и только применять явные 
переопределения разрешения далее вниз по иерархии для обработки 
исключительных случаев. 

После того, как были установлены разрешения, ими можно управлять с 
помощью членства в группе. Это облегчает управление разрешениями в 
средах, где приходят новые пользователи, а существующие пользователи 
уходят или меняют роль. 
При планировании конфигурации безопасности надо учитывать следующие 
рекомендации: 

Предоставляйте каждому участнику только те разрешения, которые ему 
на самом деле нужны. 

Используйте наследование прав доступа, чтобы минимизировать 
количество неявных разрешений, которые должны быть установлены для 
того, чтобы обеспечить необходимый уровень доступа. 

Используйте основные контейнеры, такие как группы или роли, чтобы 
создать уровень абстракции между участниками и разрешениями на 

63
доступ к защищаемым объектам. Затем используйте членство этих групп 
для управления доступом к ресурсам с помощью разрешений, которые 
вы определили. Кадровые изменения никогда не должны приводить к 
корректировке разрешений. 

Download 2,26 Mb.

Do'stlaringiz bilan baham: