Управление пользователями и системой безопасности

Администрирование ролей баз данных

Вы можете упростить задачу управления многими полномочиями для многих пользователей путем использования ролей для баз данных. Роли баз данных используются, чтобы предоставлять группам пользователей одни и те же полномочия доступа к базам данных без необходимости присваивания этих полномочий по отдельности. Вместо присваивания отдельных полномочий отдельным пользователям вы можете создать роль, представляющую полномочия, используемые группой пользователей, и затем присвоить их этой группе.

Обычно роли создаются для определенных рабочих групп, классов работ или задач. При этом подходе новые пользователи могут становиться членами одной или нескольких ролей баз данных, исходя из заданий, которые они будут выполнять. Например, роли можно определять для классов работ, таких как счета кредиторов, проектирование и использование людских ресурсов. Если пользователь включается в один из этих отделов или групп, то он просто становится членом (участником) роли, созданной для этой группы. Пользователь может быть членом одной или нескольких ролей, но это не является обязательным требованием. Кроме участия в какой-либо роли базы данных, пользователю можно также присваивать отдельные полномочия.

Создание и модифицирование ролей

Для выполнения задач создания и модифицирования ролей баз данных используются те же средства, что и для выполнения большинства задач, относящихся к администрированию баз данных: Enterprise Manager или операторы T-SQL. (В SQL Server нет мастера для этих задач.) Используя любое из этих средств, вы должны выполнить следующие задачи при реализации роли.

• Создать роль базы данных.
• Предоставить полномочия этой роли.
• Назначить пользователей-участников этой роли.

Просматривая свойства роли, вы увидите как полномочия, предоставленные этой роли, так и пользователей, назначенных для этой роли.

Использование Enterprise Manager для администрирования ролей

Для создания ролей базы данных с помощью Enterprise Manager выполните следующие шаги.

1. Раскройте группу серверов, раскройте сервер и затем раскройте папку Databases. Щелкните правой кнопкой мыши на имени базы данных, в которой хотите создать роль (мы будем использовать для данного примера Northwind), укажите в контекстном меню команду New и затем выберите пункт Database Role (Роль базы данных). Альтернативный способ – раскрыть базу данных, щелкнуть правой кнопкой мыши на Roles (Роли) и выбрать из контекстного меню пункт New Database Role (Создать роль базы данных). При любом способе появится окно Database Role Properties (Свойства роли базы данных) (рис. 34.18).
   

   
   Рис. 34.18. Окно Database Role Properties (Свойства роли базы данных)
2. Задайте описательное имя для роли в текстовом поле Name – выберите имя, которое поможет вам вспомнить назначение этой роли. На рис. 34.18 показано имя Accounts Payable (Счета кредиторов), выбранное для этой роли.
3. Чтобы назначить пользователей для этой роли, щелкните на кнопке Add (Добавить). Появится список пользовательских учетных записей, имеющих доступ к соответствующей базе данных (рис. 34.19). Выберите пользователей, которых хотите назначить для этой роли. Для отмены выбора просто щелкните еще раз на имени соответствующего пользователя. По окончании выбора членов роли щелкните на кнопке OK, после чего произойдет создание данной роли. Произойдет возврат в окно Enterprise Manager.
   

   
   Рис. 34.19. Диалоговое окно Add Role Members (Добавление членов роли)
4. Чтобы задать полномочия для данной роли, откройте окно Database Role Properties. Для этого раскройте папку Roles, щелкните правой кнопкой мыши на имени роли и выберите из контекстного меню пункт Properties. Затем щелкните на кнопке Permissions, чтобы появилось окно Database Role Properties – Northwind (рис. 34.20).
   

   
   Рис. 34.20. Окно Database Role Properties – Northwind

В этом окне вы можете присваивать данной роли различные полномочия доступа к объектам базы данных, содержащей эту роль. Для этого установите нужные флажки в окне списка. Объекты базы данных приводятся в списке колонки Object. Вы можете использовать кнопки выбора вверху этого окна, чтобы включить в список все объекты (первая кнопка выбора) или только те объекты, к которым уже имеет полномочия доступа данная роль. Назначив данную роль какому-либо пользователю, вы предоставляете этому пользователю все полномочия, присвоенные данной роли.

После создания роли вы можете модифицировать ее в окне Database Role Properties. Чтобы модифицировать роль, выполните шаги, используемые для добавления полномочий к роли. Вы можете добавлять или удалять пользователей и полномочия в окне Database Role Properties.