Establecer un grupo global para estrategias de planificación de seguridad para SQL Server

El siguiente paso en la construcción de una política de seguridad es determinar a qué grupos debe pertenecer el usuario. En términos generales, los usuarios de cada organización o aplicación se pueden dividir en varias categorías según sus requisitos específicos de acceso a los datos. Por ejemplo, los usuarios de software de aplicación de contabilidad generalmente incluyen: operadores de ingreso de datos, administradores de ingreso de datos, redactores de informes, contadores, auditores, gerentes financieros, etc. Cada grupo de usuarios tiene diferentes necesidades de acceso a la base de datos.

La forma más sencilla de controlar los permisos de acceso a datos es crear un grupo válido globalmente para cada grupo de usuarios que cumpla con los requisitos de los permisos del grupo de usuarios. Podemos crear grupos individualmente para cada aplicación, o podemos crear grupos que se apliquen a toda la empresa y cubran una amplia gama de categorías de usuarios.

Sin embargo, si quieres saber exactamente qué pueden hacer los miembros del grupo, crear grupos para cada aplicación es una buena opción. Por ejemplo, en el sistema contable anterior se creaban grupos como operadores de entrada de datos y administradores de entrada de datos contables. Recuerde, para simplificar la administración, es una buena idea darle a su grupo un nombre que indique claramente su función.

Además de los grupos específicos de la aplicación, también necesitamos varios grupos básicos. Los miembros del grupo básico son responsables de administrar el servidor. Según nuestros hábitos, podemos crear los siguientes grupos básicos: Administrador de SQL Server, Usuario de SQL Server, Usuario denegado de SQL Server, Creador de base de datos de SQL Server, Operador de seguridad de SQL Server, Operador de seguridad de base de datos de SQL Server, Desarrollador de SQL Server, Usuario DB_Name (donde DB_Name es el nombre de una base de datos en el servidor). Por supuesto, puedes crear grupos adicionales si es necesario.

Después de crear el grupo global, podemos otorgarles acceso a SQL Server. Primero, cree un inicio de sesión autenticado por NT para el usuario de SQL Server y concédale permisos de inicio de sesión. Configure la base de datos maestra como su base de datos predeterminada, pero no le otorgue acceso a ninguna otra base de datos y no configure esta cuenta de inicio de sesión como miembro de ninguna función de servidor.

Luego repita este proceso para los usuarios a los que SQL Server les negó, pero esta vez negará el acceso de inicio de sesión. En SQL Server, denegar permisos siempre tiene prioridad. Después de crear estos dos grupos, tenemos una forma conveniente de permitir o denegar el acceso de los usuarios al servidor.

No podemos usar ENTER PRIS MANGR al autorizar un grupo que no está registrado directamente en la tabla del sistema Sysxlogins, porque Enterprise Manager solo nos permite seleccionar de una lista de inicios de sesión existentes, no de todos en el dominio Seleccionar de la lista de grupos. Para acceder a todos los grupos, abra Query Analyzer y utilice los procedimientos almacenados del sistema sp_addsrvrolemember y sp_addrolemember para autorizar.

Para cada grupo que opera el servidor, podemos usar el procedimiento almacenado sp_addsrvrolemember para agregar cada inicio de sesión a la función de servidor adecuada: los administradores de SQL Server se convierten en miembros de la función de administradores de sistemas y los creadores de bases de datos de SQL Server se convierten en miembros de el rol Dbcreator Un miembro del operador de seguridad de SQL Server se convierte en miembro del rol Securityadmin.

Tenga en cuenta que el primer parámetro del procedimiento almacenado sp_addsrvrolemember requiere la ruta completa a la cuenta. Por ejemplo, JoeS en el dominio BigCo debería ser bigcojoes (si desea utilizar una cuenta local, la ruta debería ser nombre_servidorjoes).

Para crear usuarios que existen en todas las bases de datos nuevas, puede modificar la base de datos del modelo. Para facilitar las cosas, SQL Server copia automáticamente todos los cambios realizados en la base de datos del modelo a la nueva base de datos. Siempre que la base de datos modelo se utilice correctamente, no es necesario personalizar cada base de datos recién creada. Además, podemos agregar el operador de seguridad de SQL Server a db_securityadmin y el desarrollador de SQL Server a la función db_owner utilizando el procedimiento almacenado sp_addrolemember.

Tenga en cuenta que todavía no hemos autorizado a ningún grupo o cuenta a acceder a la base de datos. De hecho, no podemos autorizar el acceso a la base de datos a través de Enterprise Manager porque la interfaz de usuario de Enterprise Manager solo nos permite otorgar acceso a la base de datos a cuentas de inicio de sesión legítimas.

SQL Server no requiere que la cuenta NT acceda a la base de datos antes de configurar la cuenta nt como miembro de la función de la base de datos o asignar permisos de objeto, pero Enterprise Manager sí. No obstante, siempre que usemos el procedimiento almacenado sp_addrolemember en lugar de Enterprise Manager, podemos asignar permisos a cualquier cuenta NT sin otorgar acceso a la base de datos de cuentas NT en el dominio.

En este punto, se ha completado la configuración de la base de datos del modelo.

Sin embargo, si su grupo de usuarios tiene requisitos de acceso similares a varias bases de datos de aplicaciones dentro de la empresa, puede mover las siguientes operaciones a la base de datos modelo en lugar de a la base de datos orientada a aplicaciones.

上篇: ¿Puedo usar mi tarjeta VISA? 下篇: Descargue el último conjunto completo de texto de "Wang Shizhen and the Plum Blossom"