Обычно определенные пользователем роли базы данных применяются, когда группе пользователей базы данных нужно выполнять общий набор действий с базой данных, а подходящей группы Windows не существует. Такие роли создаются (и удаляются) с помощью операторов Transact-SQL или системных процедур. В этом разделе обсуждаются только операторы Transact-SQL, потому что системные процедуры, относящиеся к ролям, определенным пользователем (sp_addrole и spdroprole), не рекомендуются к использованию.

Оператор create role создает новую определенную пользователем роль базы данных в текущей базе данных. Синтаксис этого оператора: create role role_name [authorization owner_name] Здесь role_name- имя создаваемой роли, определенной пользователем; owner_name задает пользователя или роль базы данных. Если никакой пользователь не задан, ролью будет владеть тот пользователь, который выполняет оператор create role. Оператор alter role изменяет имя определенной пользователем роли базы данных. Аналогично, оператор drop role удаляет роль из базы данных. Роли, которые владеют объектами базы данных, не могут быть удалены из базы данных. Для удаления такой роли вы должны вначале изменить владельца этих объектов.

Все еще существует несколько системных процедур, которые вы должны использовать, если вам нужно добавлять или удалять членов определенных пользователем ролей: ♦ sp_addroleitiember; ♦ sp_droprolemember; ♦ sp_helprole. После того как вы добавили роль в текущую базу данных, вы можете использовать системную процедуру sp_addrolemember для добавления членов в эту роль. Членом роли может быть любой правильный логин, учетная запись пользователя или группа Windows либо другая роль. Только члены базы данных ролей db_owner могут выполнять эту системную процедуру. Владельцы роли могут также выполнять процедуру sp_addrolemember для добавления членов в любую роль, которой они владеют. Системная процедура sp_droproiemember удаляет существующего члена из роли. Эту…

Только авторизованные пользователи имеют возможность выполнять операторы и осуществлять операции над сущностями. Если неавторизованный пользователь попытается выполнить оператор Transact-SQL или операцию с объектом базы данных, такое действие будет отменено системой. Существуют три оператора Transact-SQL, связанные с авторизацией: ♦ grant; ♦ deny; ♦ revoke. Прежде чем вы приступите к чтению об этих трех операторах, вы должны знать об одном из наиболее важных свойств безопасности Database Engine: он поддерживает множество областей и полномочий, чтобы помочь системному     администратору обрабатывать полномочия. Модель авторизации разделяет мир на принципалов и объекты безопасности. Каждый объект безопасности имеет связанные с ним полномочия, которые могут быть предоставлены…

Оператор grant предоставляет полномочия к объектам безопасности. Синтаксис оператора grant: grant {all [privileges]} I permission_list [on [class::]  securable] to principal_list [with grant option] [as principal] Предложение all указывает, что все полномочия, применимые к данному объекту безопасности, будут назначены указанному принципалу. (Список объектов безопасности см. в документации Books Online.) Параметр permission_list задает операторы или объекты (разделенные запятыми), которым предоставляются полномочия; class задает или класс безопасности, или имя объекта безопасности, которому предоставляются полномочия, on securabie задает объект безопасности, которому предоставляются полномочия (см. пример 12.15). principai_iist задает список всех учетных записей (разделенных запятыми), которым предоставляются полномочия, principal и компоненты principai_iist могут быть учетными…

Оператор deny не дает пользователям возможности выполнять действия. Это означает, что такой оператор удаляет существующие полномочия у учетных записей пользователей или не разрешает пользователям применять полномочия от их участия в группах/ролях, которые могут быть получены в будущем. Этот оператор имеет следующий синтаксис: deny {all  [privileges]} I permission_list [on  [class::]  securable] to principal_list [cascade]   [ as principal ] Все опции оператора deny имеют то же логическое значение, что и опции с теми же самыми именами в операторе grant, deny имеет дополнительную опцию cascade, которая указывает, что полномочия не будут применяться для пользователя А и для любого пользователя, которому пользователь А передаст…

Оператор revoke удаляет одно или более из ранее предоставленных или отмененных полномочий. Этот оператор имеет следующий синтаксис: revoke  [grant option for] {[all  [privileges]] I permission_list ]} [on [class::  ] securable ] from principal_list  [cascade]   [ as principal ] В операторе revoke есть только одна новая опция - grant option for. (Все другие опции имеют то же самое логическое значение, что и опции с теми же именами в операторах grant или deny.) grant option for используется для удаления эффекта with grant option в соответствующем операторе grant. Это означает, что пользователь продолжает иметь ранее полученные полномочия, но больше не может предоставлять указанное…

Пользователи базы данных могут выполнять предоставленные им действия. В этом случае существует соответствующая запись в представлении просмотра каталога sys.database_permissions (т. е. значение столбца state установлено в g). Негативная запись в таблице не дает возможности пользователям осуществлять деятельность. Значение d (deny, отменить) в столбце state перекрывает полномочие, которое было предоставлено пользователю явно или неявно с помощью роли, которой принадлежит пользователь. Поэтому в любом случае пользователь не может выполнять такую деятельность. И в последнем случае (значение к) пользователь не имеет явно установленных привилегий, но может осуществлять некую деятельность, если роль, которой принадлежит этот пользователь, имеет соответствующие полномочия. Для управления полномочиями пользователя или…

Отслеживание изменений означает документирование всех действий по добавлению, изменению и удалению данных применительно к таблицам базы данных. За документированные изменения затем могут быть просмотрены для выяснения того, кто обращался к данным и когда были выполнены эти обращения. Существуют два способа, при помощи которых вы можете выполнять отслеживание изменений: ♦ использование триггеров; ♦ применение   средств   перехвата,   отслеживающих   изменения   данных (change data capture, CDC). Вы можете использовать триггеры для создания контрольного журнала, содержащего сведения о действиях с одной или более таблицами базы данных. В разд. «Триггеры AFTER» в примере 14.1 показано, как могут быть использованы триггеры для отслеживания подобных изменений. По этой…

Как было сказано, представления могут быть использованы: ♦ для ограничения использования отдельных столбцов и/или строк таблицы: ♦ для сокрытия деталей сложных, запутанных запросов; ♦ для ограничения значений добавляемых или изменяемых значений заданным диапазоном. Ограничение использования отдельных столбцов и/или строк означает, что механизм представлений обеспечивает управление доступом к данным. Например, если таблица employee также содержит заработные платы каждого сотрудника, то доступ к этим зарплатам может быть ограничен при использовании представления, которое предоставляет доступ ко всем столбцам этой таблицы за исключением столбца salary. В итоге, выборка данных из этой таблицы может быть предоставлена всем пользователям базы данных, использующим это представление, тогда как…