Salut....sa va explic ce as vrea sa fac :)

am un server cu Win 2003 Server si SQL Server 2000

am doi colegi care se conecteaza remote pe acel server cu un user cu drepturi de administrator. Singurele modificari pe care le fac ei legat de SQL Server 2000 este sa intre in Enterprise Manager sa faca un simplu SELECT dupa care un UPDATE. As vrea sa le restrictionez cumva sa aiba voie sa faca exact numai acest lucru...si exact numai pe niste tabele anume. Din neatentie sau curiozitate nu as vrea sa modifice si altceva.

care sunt variantele?

multumesc

Cum se face autentificarea în SQL Server?

Dacă se face SQL Server Authentication şi ai conturi pentru utilizatori.... poţi face nişte proceduri, funcţii, view iar apoi să acorzi drepturile de care este nevoie (execuţie, select, insert etc. ) care realizează exact ceea ce vrei să facă însă daca autentificarea este Windows Authentication ...ar trebui să te gândeşti să modifici acest lucru.

 

---

Cătălin D.

Poti face autentificare mixta si sa stergi grupul BUILTIN\Administrators. Insa inainte de a face asta studiaza problema bine.

---

Cristian Andrei Lefter, SQL Server MVP
MCT, MCSA, MCDBA, MCAD, MCSD .NET,
MCTS, MCITP - Database Administrator SQL Server 2005
http://sqlserver.ro

Alex,

daca e vorba numai de astfel de lucruri simple , cea ma sigura varianta e sa faci un proiect in Access care sa refere acea baza de date SQL( se preteaza autenticare mixta); iar formularele in Access sunt un moment de distractie; pe de alta parte, ati elimina riscurile ca, asa din intamplare, colegii sa stearga o tabela, doua ...

---

Gheorghe Ciubuc,SQL Server Influencer, MCP(SQL 2000), MCTS (SQL Server 2005) , OCA(Oracle 9i), Sybase(Brainbench)

După cum scria şi Cristi, poţi să pui autentificare mixtă (SQL+Windows), pentru tine cu sa, pentru ceilalţi cu un login nou căruia îi dai doar drepturile care sunt necesare şi apoi scoţi login-ul pentru BUILTIN\Administrators.

Dar oricum, un utilizator care e administrator pe maşina respectivă poate face orice cu datele de pe acel server (dacă e hotărât şi ştie cum). Dacă se supără, reinstalează SQL Server-ul şi ataşează din nou bazele de date sau copiază bazele de date pe alt server (după ce opreşte serviciul) şi le ataşează acolo (unde are drepturi complete). Cel mai bine ar fi să nu se logheze cu drepturi de administratori decât persoane de încredere.

Altfel spus, securitatea SQL-ului se bazează pe securitatea sistemului de operare (care se bazează şi ea pe securitatea la nivel fizic): nu poţi să faci un server de SQL bine securizat dacă nu este deja bine securizat Windows-ul şi accesul fizic la calculator.

Totuşi, dacă tu vrei să te fereşti doar de greşeli neintenţionate (nu şi de un utilizator rău-voitor), soluţia din primul aliniat poate fi suficientă.

Răzvan

Ai putea de asemenea sa permiti accesul la baza doar printr-o aplicatie avand asociat un "application role" cu permisiuni bine definite.

Oricum trebuie sa tii seama de sfatul lui Razvan - securizarea la nivel de Windows este esentiala...colegii tai chiar au nevoie sa fie admini pe server? 

multumesc pt sfaturi tuturor...

am hotarat sa fac asfel......tinand cont ca ei se logheaza Remote si ei chiar nu au nevoie de a fi admini pe acel server....o sa incerc sa creez un rol cu drepturile respective (select,update,delete pe tabelele respective) apoi o sa creez un user sql caruia inafara de rolul public o sa-i dau dreptul si pe rolul respectiv.....pana aici totul pare ok.....mai ramane creearea userului de win...care nu prae inteleg cum se face ce dreptuir sa aiba...

cred ca am reusit....am creat un user win membru al Debugger Users,OLAP Administrators(nu ma intrebati de ce membru al acestora....asa am vazut si eu la un alt user),Users,Remote Desktop Users....dupa care l-am adus in SQL si i-am dat dreptul pe respectivul rol creat.....

dar oare or avea dreptul sa execute si DTS-uri atata timp cat respectivele DTS-uri executa delete,insert pe tabelele respective?

pas 1 Activeaza autentificarea mixta windows+sql,asta daca mai ai aplicatii care nu folosesc windows authentication sau clienti non windows .

pas 2 Creaza un grup pe acel server (domain ,local ) in functie de ce fel de server e , pune userii aia doi in grupul ala.

pas 3 Pe serverul sql creaza un rol si mapeaza-l la grupul windows creat la pasul anterior.

pas4 Da permisiuni ,pe serberul sql, acestui rol ,in functie de ce vrei tu sa faca acei useri pe serverul de bd

---

Secolul XXI ori va fi religios ori nu va fi deloc