Когда нескольким пользователям нужно выполнять похожие действия с отдельной базой данных (и для них нет соответствующей группы Windows), вы можете добавить роль базы данных, которая задает группу пользователей базы данных, имеющих доступ к одним и тем же объектам базы данных. Участниками роли базы данных могут быть любые следующие представители: ♦ группы Windows и учетные записи пользователей Windows; ♦ учетные записи SQL Server; ♦ другие роли. Архитектура безопасности в Database Engine включает несколько «систем» ролей, которые имеют специальные неявные полномочия. Существуют два типа предварительно определенных ролей (в дополнение к ролям, определенным пользователем): ♦ фиксированные серверные роли; ♦ фиксированные роли базы данных.…

Учетная запись sa является учетной записью системного администратора. В версиях, предшествующих SQL Server 2005, где отсутствовали роли, учетной записи sa были предоставлены все возможные полномочия по задачам системного администрирования. Теперь учетная запись sa включена лишь для обратной совместимости с предыдущими версиями. Эта учетная запись всегда является членом фиксированной серверной роли sysadmin и не может быть удалена из этой роли.

Для назначения учетной записи фиксированной серверной роли с использованием SQL Server Management Studio разверните сервер, разверните узлы Security и Server Roles. Щелкните правой кнопкой мыши по роли, в которую вы хотите добавить новую учетную запись, а затем выберите пункт Properties. На странице General диалогового окна Server Role Properties (рис. 12.4) щелкните по кнопке Add. Найдите учетную запись, которую вы хотите добавить. Эта учетная запись теперь становится членом выбранной роли и наследует все права, которые были назначены этой роли.  

Фиксированные роли базы данных определяются на уровне базы данных и поэтому существуют в каждой базе данных, принадлежащей этому серверу. В табл. 12.2 содержится список всех фиксированных ролей базы данных. Члены фиксированной роли базы данных могут выполнять различные действия. Для получения информации о том, какие действия допустимы для каждой фиксированной роли базы данных, см. документацию Books Online.     Помимо фиксированных ролей базы данных, указанных в табл. 12.2, существуют специальные фиксированные роли базы данных, называемые public, которые прямо сейчас и будут рассмотрены.

Роль public является специальной фиксированной ролью базы данных, которой принадлежит каждый легитимный пользователь базы данных. Она включает в себя все полномочия по умолчанию для пользователей базы данных. Это дает механизм по предоставлению всем пользователям без соответствующих полномочий набор (обычно ограниченных) полномочий. Роль public поддерживает все полномочия по умолчанию для пользователей базы данных и не может быть удалена. Эта роль не может иметь назначенных ей пользователей, групп или ролей, потому что они принадлежат роли по умолчанию. (В примере 12.19 далее В этом разделе показано использование роли public.) По умолчанию роль public дает возможность пользователям выполнять следующее: ♦ просматривать системные таблицы и…

Для назначения учетной записи пользователя фиксированной роли базы данных с использованием SQL Server Management Studio разверните сервер, разверните узел Databases, разверните нужную базу данных, разверните узлы Security | Roles | Database Roles. Щелкните правой кнопкой мыши по роли, в которую вы хотите добавить нового пользователя, а затем выберите пункт Properties. В диалоговом окне Database Role щелкните по кнопке Add и просмотрите список пользователей, чтобы найти того пользователя, которого вы хотите добавить. Его учетная запись теперь станет членом этой роли и будет наследовать все полномочия, которые были назначены данной роли.

Роли приложений позволяют вам усилить уровень безопасности для конкретного приложения. Другими словами, роли приложений позволяют самому приложению получить доступ к средствам ответственности за аутентификацию пользователей, вместо того, чтобы рассчитывать на средства системы базы данных. Например, если клерки в вашей компании имеют право изменять данные о ваших служащих только при использовании существующего приложения (а не операторами Transact-SQL или любыми другими инструментами), вы можете создать роль приложения для этого конкретного приложения. Роли приложений сильно отличаются от других типов ролей. Во-первых, роли приложений не имеют членов, потому что они используют только приложения, и им не нужно явно предоставлять полномочия пользователям. Во-вторых, вы должны…

Вы можете создавать, изменять и удалять роли приложений, используя либо язык Transact-SQL, либо системные процедуры. Поскольку все системные Процедуры, связанные с этой темой (sp_addapprole, sp_setapprole   и sp_dropapproie), не рекомендуются к использованию и будут удалены в одной из следующих версий SQL Server, в этом разделе рассматриваются лишь соответствующие операторы Transact-SQL. Оператор create application role создает роль приложения для текущей базы данных. Этот оператор имеет две опции: одна задает пароль, а другая определяет схему по умолчанию, т. е. первую схему, которая будет отыскиваться на сервере при разрешении имен объектов для этой роли. В примере 12.9 добавляется новая роль с именем weekly_report в…

После того как установлено соединение, вы должны выполнить системную процедуру sp_setapproie для активации полномочий, связанных с ролью приложения. Эта процедура имеет следующий синтаксис:     Здесь role- имя роли приложения, определенной в текущей базе данных; password задает соответствующий пароль; encrypt_styie определяет стиль шифрования, заданный для пароля. Когда вы активируете роль приложения, используя процедуру spsetapprole, вам нужно знать следующее: ♦ после активации роли приложения вы не можете деактивировать ее в текущей базе данных, пока сессия не отсоединится от системы; ♦ роль приложения всегда ограничена базой данных, т. е. ее областью видимости является текущая база данных. Если вы в сессии изменяете текущую…

Для создания роли приложения с использованием SQL Server Management Studio разверните сервер, разверните папку Databases, а затем разверните вашу базу данных и ее узел Security. Щелкните правой кнопкой мыши по узлу Roles, выберите пункт New, а затем - пункт New Application Role. В диалоговом окне Application Role введите имя новой роли. Дополнительно вы должны ввести пароль и можете ввести схему по умолчанию для новой роли.