Salut,

De doua zile ma gandesc la o solutie cat mai profi la urmatoarea problema.
Am in grija un server SQL 2005 ce este instalat pe un Windows Server 2003. Serverul nu este in niciun domeniu :( si are un singur utilizator activ de Windows, Administrator, iar SQL a fost instalat cu autentificare atat Windows cat si Server . Pe server am atat eu cat si anumiti colegi ai mei sa intru prin REMOTE DESKTOP(evident cu useru -ul Administator).
De cateva zile am creat o BD noua foarte importanta pentru organizatie care trebuie sa fie "invisible" pentru ceilalti colegi. I-am facut un utilizator de SQL separat, am taiat drepturile tuturor celorlalti utilizatori de SQL pe BD. Totul este okay.
Problema mea este ca daca se face REMOTE DESKTOP si se foloseste Windows Authentication ca metoda de logare local pe server se poate intra in BD si se poate vedea informatiile din ea. Database Ownerul este pus pe BUILTIN\Administrator. Pot schimba ownerul acela pe alt user de windows ???, ca eu nu am reusit.
Ce ma sfatuiti sa fac ??? Astept sugestii !!

MULTUMESC.

---

MCP (C Sharp)
Software Engineer,
Cluj Napoca

Cel mai ok ar fii sa faci cate un user de windows pt fiecare coleg si fiecare sa aibe drepturi limitate in SQL, adica sa nu faca parte din Server Administrator insa sa faca parte din db_owner (in fiecare baza de date in care are acces).

O alta varianta ar fii sa faci useri de sql pt fiecare (user sau grup de privilegii) si fiecare coleg sa se conecteze de pe statiile locale prin Management Studio (adica sa renunti la remote desktop pt conectarea la sql).


Nu este ok pt ca toata lumea sa foloseasca acelasi user de windows si apoi sa se conecteze prin useri de sql diferiti pt ca cineva isi poate baga credentialele in Management Studio si din greseala sau nu sa bifese remember password.

Sa schimbi owner-ul poti folosi:
USE [Baza de date]
GO
EXEC dbo.sp_changedbowner @loginame = N'BUILTIN\UtilizatorNouDeWindows'
GO

---

Cătălin D.

Acel lucru cu remember password :( e adevarat de aia m-am si gandit ca ar trebui sa fac altfel. Varianta cu renuntatul la Remote Desktop :( inca nu se poate :( nu am domeniu.
Voi incerca prima varianta :) si daca am intrebari o sa postez.

Merci,
Daniel.

---

MCP (C Sharp)
Software Engineer,
Cluj Napoca

Selecteaza userii care au dreptul sa se conecteze pe remote desktops cu privilegii administrative.
Foloseste login-uri / grupuri de Windows care corespund unor login-uri SQL care sunt in server role public si carora nu le dai acces la baza critica. Poti sa vezi aceste informatii in SSMS ---> "login properties" - "server roles" si "user
mapping".
Pentru corespondentul TSQL vezi
http://www.mssqltips.com/tip.asp?tip=1718

...permisiunea CONNECT.
E bine ca userul "guest" din baza critica sa fie disabled.

USE CriticalDB
REVOKE CONNECT FROM GUEST
Scuze :)

Vezi ca membrii sysadmin au access implicit la orice baza ca "dbo".
http://www.mssqltips.com/tip.asp?tip=2038

:( am observat. Am reusit sa schimb owner -ul pe BD -ul respectiv. Acum am situatia urmatoare.
Am 2 user Windows adica Administrator si user1 ambii sunt din grupul Administrators. In SSMS am schimbat owner -ul BD de pe SERVER\Administrator pe SERVER\user1. Problema insa inca persista. User -ul Administrator din cauza ca se conecteaza pe respecitva BD cu user ul dbo tot are drepturi. Iar noul user user1 (owner al BD) tot prin intermediul user -ului dbo se conecteaza la BD.
Cum as putea sa fac cumva disable user -ul dbo pe bd respectiva, pentru ca am observat ca de sters de pe bd respectiva nu pot :( desi as vrea ....

Multumesc

---

MCP (C Sharp)
Software Engineer,
Cluj Napoca

După cum s-a scris mai sus, soluţia ar fi să scoţi user-ii din grupul Administrators. Poţi şi să scoţi login-ul pentru BUILTIN\Administrators, dar asta nu-l împiedică pe un administrator să oprească serviciul, să copieze baza de date pe un alt calculator (sau să instaleze altă instanţă de SQL Server) şi să o acceseze.

Răzvan