SQL Server: явные права на схему?
accessenum работал бы на Ваш пример использования, интересно?
По умолчанию права на объекты в схеме не предоставляют пользователю. Однако существует несколько путей, которыми пользователь может получить права на объект. Например, права можно предоставить явно пользователю и/или группе, в которой пользователь является участником.
DENY команда отклоняет права пользователю или группе, даже если пользователю предоставили права на объект. Например, предположите, что пользователь A является членом группы MyGroup, и группе предоставили право получить доступ к таблице MyTable. Все пользователи в MyGroup могут запросить MyTable. Теперь, можно запретить доступа к MyTable для пользователя A. User A, не сможет запросить MyTable, но остальная часть элементов группы может все еще запросить таблицу.
Так, вероятно, лучше явно отклонить права пользователям, которые не должны иметь доступа к схеме.
-
1я забыл упоминать Группы, хорошую выгоду. +1 – Dave Holland 6 September 2010 в 20:06
Думайте о Схеме в SQL как дерево. Чем далее назад к корню схемы, что пользователь имеет позволенное право, тем далее соединительная линия и переходит, пользователь поддержит, что позволяют прямо, пока Вы не отклоняете его. Если у пользователя A есть полномочия выполнить сохраненный procs на базе данных, то они имеют права на доступ, все сохранили procs на том, что DB, и если бы Вы не хотите, чтобы они имели права работать на сингле, необходимо было бы отметить его, как отклоняют. То же идет с чтением, запишите, обновите, и т.д. и т.д. права. Если бы пользователь имеет те права в более высоком уровне затем да, необходимо было бы неявно отклонить. Я ни о чем не могу думать (включая вход в систему), который пользователь имеет права сделать, если Вы не предоставляете им тот доступ во-первых. При учете, конечно, некоторые из них можно предоставить после пользовательского создания.
Последняя вещь, которую я скажу, то, что никогда не повреждает быть уверенным. Я буду часто указывать, позволяют или отклоняют на объектах, которые являются большей безопасностью, чувствительной даже при том, что я знаю, что это должен уже быть тот путь.