Санкционирование доступа

Обеспечение безопасности хранимых данных является неотъемлемой частью любой современной СУБД.

Как и в большинстве СУБД, в SQL Server защита данных основывается на том, что существует концепция пользователей, которые получают те или иные права для работы с каждым объектом внутри базы данных. Под пользователем понимается регистрационная запись, состоящая из имени пользователя (логина) и идентифицирующего его пароля.

Системный администратор заводит необходимое число пользователей и назначает им нужные для работы права, разрешая доступ только к той информации, которая нужна для выполнения должностных обязанностей.

Среди всех пользователей основным является пользователь SA – системный администратор сервера. Имя SA предопределено и не может меняться. По умолчанию этот пользователь обладает всеми правами над любым объектом базы данных.

Для создания новых пользователей, как правило, используют среду Management Studio, реже – инструменты командной строки. C помощью команд T-SQL создать или удалить пользователя MS SQL Server нельзя.

По возможности следует включать пользователей в предопределенные роли (Role), которые служат для организации пользователей с одинаковыми правами в группы. Например, если имеется группа пользователей, для которых нужен доступ только на чтение, то можно создать роль с именем READER (SQL-команда СREATE ROLE READER). При использовании механизма ролей при соединении с базой данных следует указывать и имя пользователя, и его желаемую роль.

Разрешение (Permission) в MS SQL Server – это право какому-либо пользователю, роли, хранимой процедуре или триггеру совершить какую-либо операцию над определенным объектом базы данных. Операторы GRANT, REVOKE и DENY используются для управления разрешениями на работу с объектом или исполнение SQL-выражений.