解決SQL Server數(shù)據(jù)庫權(quán)限沖突的三大妙招_Mssql數(shù)據(jù)庫教程
推薦:淺談SQL Server 2008數(shù)據(jù)挖掘查詢?nèi)蝿?wù)數(shù)據(jù)挖掘查詢?nèi)蝿?wù)根據(jù) Analysis Services 內(nèi)置的數(shù)據(jù)挖掘模型運(yùn)行預(yù)測查詢。預(yù)測查詢通過使用挖掘模型來創(chuàng)建對新數(shù)據(jù)的預(yù)測。例如,預(yù)測查詢可以預(yù)測夏季可能銷售多少帆板,或生成可能購買帆板的預(yù)期客戶列表。 查詢是數(shù)據(jù)挖掘擴(kuò)展 (DMX) 語句。DMX 語言是 S
在SQL Server數(shù)據(jù)庫中,主要是通過角色來繼承相關(guān)的權(quán)限。但是,這個權(quán)限繼承很容易造成權(quán)限上的沖突。如現(xiàn)在有個銷售員賬戶SALE1,有一個銷售部門角色DE_SALES。其中銷售部門角色DE_SALES具有查詢所有客戶信息,即CUSTOM表的權(quán)限。但是銷售員賬戶SALE1其由于是為試用期的員工設(shè)置的臨時帳戶,所以其不能夠查詢CUSTOM表。但是,SALE1帳戶其是屬于銷售部門這個角色,其會繼承銷售部門這個角色的所有訪問權(quán)限。此時,SALE1帳戶所屬角色的權(quán)限跟自己帳戶的權(quán)限就產(chǎn)生了沖突。遇到這種情況,SQL Server數(shù)據(jù)庫該如何處理呢?
在SQLServer數(shù)據(jù)庫中,授予組或者角色的權(quán)限由該組或者角色的成員所繼承。雖然某個用戶可能在一個級別上授予或者廢除權(quán)限,但如果這些權(quán)限與更高級的權(quán)限發(fā)生沖突的話,則可能會打破數(shù)據(jù)庫管理員的權(quán)限設(shè)計思路,讓某個用戶意外的禁止或者允許訪問某個數(shù)據(jù)庫對象。為了避免因?yàn)閿?shù)據(jù)庫權(quán)限沖突所導(dǎo)致的一系列問題,SQLServer數(shù)據(jù)庫提出了一些解決措施。雖然通過這些措施不能夠完全避免權(quán)限之間的沖突,但是,至少讓數(shù)據(jù)庫管理員看到了解決問題的希望。
招數(shù)一:明確拒絕
應(yīng)用場景:現(xiàn)在數(shù)據(jù)庫中有用戶Landy,其屬于銷售員SALES角色。其中,銷售員角色具有查詢客戶信息表Customs的權(quán)限。而由于某種原因,數(shù)據(jù)庫管理員限制用戶Landy訪問數(shù)據(jù)庫對象Customs表的權(quán)利。此時就會有對象訪問權(quán)限上的沖突。此時,數(shù)據(jù)庫管理員該如何才能夠避免這種沖突呢?
第一個招數(shù)就是學(xué)會使用拒絕操作。在數(shù)據(jù)庫中,拒絕權(quán)限始終優(yōu)先。在任何級別(無論是用戶或者角色)上的拒絕權(quán)限都拒絕該對象上的權(quán)限,無論該用戶現(xiàn)有的權(quán)限是否已授予權(quán)限還是被廢除權(quán)限。這聽起來比較繞口,或許根據(jù)上面的例子來講,大家更容易明白。如上例,若要解決上面的權(quán)限沖突問題,則我們只需要在用戶Landy的權(quán)限設(shè)置中,拒絕其具有數(shù)據(jù)庫對象表Customs表的Select權(quán)限。由于顯示的拒絕其總被優(yōu)先執(zhí)行,所以即使其所屬的角色具有表Customs的訪問權(quán)限,但是其成員Landy由于被顯示的拒絕,根據(jù)拒絕優(yōu)先的選擇,則其最終不會有數(shù)據(jù)庫表Customs的訪問權(quán)限。
所以筆者所傳授給大家的第一個招數(shù)就是要學(xué)會使用拒絕操作。各位數(shù)據(jù)庫管理員要牢記,在權(quán)限管理中,拒絕操作總是被優(yōu)先執(zhí)行。另外還有一個極端的例子,可以說明這個問題。如果數(shù)據(jù)庫管理員把Public進(jìn)行設(shè)置,設(shè)置為拒絕權(quán)限。此時由于拒絕權(quán)限被優(yōu)先執(zhí)行,則數(shù)據(jù)會禁止任何用戶訪問能數(shù)據(jù)庫對象。故拒絕權(quán)限一般往往用在用戶級別上,可以實(shí)現(xiàn)對個別特殊用戶的權(quán)限控制,而不用給他們設(shè)置獨(dú)立的組。這讓數(shù)據(jù)庫權(quán)限管理更加的靈活。
招數(shù)二:廢除權(quán)限,可以讓某些帳戶恢復(fù)正常
應(yīng)用情景:現(xiàn)在數(shù)據(jù)庫中有用戶Landy,其屬于銷售員SALES角色。其中,銷售員角色具有查詢客戶信息表Customs的權(quán)限。而由于某種原因,數(shù)據(jù)庫管理員限制用戶Landy訪問數(shù)據(jù)庫對象Customs表的權(quán)利。此時,數(shù)據(jù)庫管理員給Landy用戶顯示的拒絕訪問Customs表的權(quán)利。但是,現(xiàn)在這個限制其訪問客戶表的原因已經(jīng)消除,用戶Landy 可以正常訪問表Customs了。此時,該如何處理呢?
此時,數(shù)據(jù)庫管理員可以通過廢除權(quán)限操作來完成需求。廢除權(quán)限只刪除所廢除級別(如用戶、角色或者組)上的已授予權(quán)限或者已拒絕權(quán)限,而在另外級別上所授予或者拒絕的同一權(quán)限仍然適用。廢除權(quán)限類似于拒絕權(quán)限,因?yàn)槎叨际窃谕患墑e上刪除已經(jīng)授予的權(quán)限。但是,廢除權(quán)限是刪除已經(jīng)授予的權(quán)限,并不妨礙用戶、組或者角色從更高級別繼承已授予的權(quán)限。為此,如果廢除用戶查看表的權(quán)限,并不一定能夠防止用戶查看該表。這跟拒絕權(quán)限操作就有本質(zhì)的區(qū)別。
舉例來說,在上面這個例子中,Landy用戶剛開始其被顯示的拒絕訪問表Customs。雖然其所屬的角色具有訪問表Customs的權(quán)限,但是因?yàn)榫芙^優(yōu)先,所以用戶Landy最終不能過訪問這個表。此時,若限制原因消除,則數(shù)據(jù)庫管理員可以采取廢除權(quán)限操作,把Landy用戶上的拒絕權(quán)限廢除掉。因?yàn)閺U除權(quán)限只刪除用戶Landy上已拒絕訪問這個表的權(quán)限,而不影響從角色SALES中繼承統(tǒng)一權(quán)限。為此,用戶Landy最終具有訪問這個表Customs的權(quán)限。這就是廢除權(quán)限操作的本質(zhì)。
在實(shí)際工作中,廢除權(quán)限操作與拒絕權(quán)限操作往往被用來處理一些特殊的帳戶。如不少企業(yè)中,試用期員工其權(quán)限往往會受到限制。出于安全起見,企業(yè)不會讓一些還在試用期的員工訪問所有的數(shù)據(jù)。為此,就要對他們的權(quán)限進(jìn)行限制。此時,就可以在這些用戶帳戶級別上顯示的拒絕,實(shí)現(xiàn)部分訪問限制的需求。當(dāng)他們試用期過后,若試用合格的話,就可以把這些帳戶的拒絕權(quán)限廢除掉。如此的話,他們就可以正常繼承他們所屬角色或者組的權(quán)限。可見,拒絕權(quán)限與廢除權(quán)限結(jié)合,可以讓數(shù)據(jù)庫全縣的管理更加的統(tǒng)一。最終要的是,可以最大程度的避免因?yàn)闄?quán)限沖突而導(dǎo)致的數(shù)據(jù)管理上的安全漏洞。
另外,在實(shí)際配置中,需要注意一個問題,雖然廢除權(quán)限具有廢除拒絕權(quán)限的能力,但是,他只能夠在一個級別上其作用。如上面這個例子中,另外還有一個T_SALES的角色,其權(quán)限設(shè)置中,顯示的拒絕訪問表Customs。此時,若用戶Landy同時屬于SALES角色和T_SALES角色。雖然通過廢除權(quán)限廢除了用戶Landy級別上的拒絕訪問表Customs的權(quán)限。但是,用戶Landy所屬的T_SALES角色中的拒絕權(quán)限仍然具有優(yōu)先執(zhí)行的權(quán)力。所以,最終這個用戶仍然不能夠訪問表Customs。所以,通過廢除對權(quán)限的拒絕可以刪除已經(jīng)拒絕的權(quán)限。但是,如果用戶在其他組或者角色級別有其他拒絕權(quán)限的話,在該用戶訪問某個對象的權(quán)限仍然會被拒絕。
招數(shù)三:授權(quán)操作,讓用戶訪問權(quán)限一目了然
應(yīng)用情景:現(xiàn)在數(shù)據(jù)庫中有用戶Landy,其屬于銷售員SALES
角色。其中,銷售員角色具有查詢客戶信息表Customs的權(quán)限。而由于某種原因,數(shù)據(jù)庫管理員限制用戶Landy訪問數(shù)據(jù)庫對象Customs表的權(quán)利。此時,數(shù)據(jù)庫管理員給Landy用戶顯示的拒絕訪問Customs表的權(quán)利。但是,現(xiàn)在這個限制其訪問客戶表的原因已經(jīng)消除,用戶Landy 可以正常訪問表Customs了。此時,該如何處理呢?
此時,除了可以通過上面的廢除權(quán)限操作來處理,還可以通過授權(quán)操作來完成。廢除權(quán)限操作有一個缺陷,就是數(shù)據(jù)庫管理員要判斷這個用戶到底是否具有某個數(shù)據(jù)庫對象的訪問權(quán)限時,還需要去查看其所屬的角色或者組中的權(quán)限設(shè)置。這會增加一定的工作量。而授權(quán)操作則可以避免這種情況。授予權(quán)限刪除所授予級別傷的已經(jīng)拒絕權(quán)限或者已經(jīng)廢除權(quán)限,而在另一級別上所拒絕權(quán)限的同一權(quán)限仍然適用。但是,雖然在另一級別上所廢除的同一權(quán)限仍然適用,但他不阻止用戶訪問該對象。也就是說,如果Sales角色可以訪問表Customs,現(xiàn)在數(shù)據(jù)庫管理員授予了用戶Landy訪問Customs表的權(quán)限,則用戶最終具有訪問表Customs的權(quán)限。但是,如果Sales角色顯示的拒絕了表Customs的查詢權(quán)限,此時即使顯示的授予用戶Landy表Customs的訪問權(quán)限,則該用戶仍然不能夠訪問表Customs。因?yàn)榫芙^權(quán)限總是被優(yōu)先執(zhí)行。所以說,用戶最終得到的是對象上所授予、拒絕或者廢除權(quán)限的全部權(quán)限的并集。其中,拒絕權(quán)限具有最優(yōu)先的權(quán)利。
通過拒絕、廢除、授權(quán)等權(quán)限操作,可以減少因?yàn)闄?quán)限繼承所導(dǎo)致的權(quán)限沖突。最后,筆者建議,在高級別的權(quán)限設(shè)置上,如組或者角色上,最好不要輕易使用拒絕權(quán)限。拒絕權(quán)限因?yàn)榫哂凶顑?yōu)先的執(zhí)行權(quán)力,所以一般在用戶級別上采用即可。若在組或者角色上采用拒絕權(quán)限,則在用戶上所采取的廢除權(quán)限或者授予權(quán)限操作都將不能夠其作用。為此,為了提高權(quán)限管理的靈活性,筆者認(rèn)為拒絕權(quán)限在用戶級別上實(shí)施比較合理,可以提高權(quán)限管理的靈活性。
分享:是什么讓SQL Server加速運(yùn)行并行查詢其優(yōu)勢就是可以通過多個線程來處理查詢作業(yè),從而提高查詢的效率。SQL Server數(shù)據(jù)庫為具有多個CPU的數(shù)據(jù)庫服務(wù)器提供并行查詢的功能,以優(yōu)化查詢作業(yè)的性能。也就是說,只要數(shù)據(jù)庫服務(wù)器有多個CPU,則數(shù)據(jù)庫系統(tǒng)就可以使用多個操作系統(tǒng)進(jìn)程并行執(zhí)行
- sql 語句練習(xí)與答案
- 深入C++ string.find()函數(shù)的用法總結(jié)
- SQL Server中刪除重復(fù)數(shù)據(jù)的幾個方法
- sql刪除重復(fù)數(shù)據(jù)的詳細(xì)方法
- SQL SERVER 2000安裝教程圖文詳解
- 使用sql server management studio 2008 無法查看數(shù)據(jù)庫,提示 無法為該請求檢索數(shù)據(jù) 錯誤916解決方法
- SQLServer日志清空語句(sql2000,sql2005,sql2008)
- Sql Server 2008完全卸載方法(其他版本類似)
- sql server 2008 不允許保存更改,您所做的更改要求刪除并重新創(chuàng)建以下表
- SQL Server 2008 清空刪除日志文件(瞬間日志變幾M)
- Win7系統(tǒng)安裝MySQL5.5.21圖解教程
- 將DataTable作為存儲過程參數(shù)的用法實(shí)例詳解
- 相關(guān)鏈接:
- 教程說明:
Mssql數(shù)據(jù)庫教程-解決SQL Server數(shù)據(jù)庫權(quán)限沖突的三大妙招。