我必须建立一个UserA几乎完全控制数据库(而不是服务器)的系统,除了 所使用的一个表,sa因此sa总是需要访问该表。
到目前为止我有:
-- executing as sa
CREATE SCHEMA [sa_schema];
CREATE TABLE [sa_schema].[table1] ( ... );
GRANT SELECT , REFERENCES ON OBJECT::[sa_schema].[table1] TO PUBLIC
CREATE USER [UserA] WITHOUT LOGIN;
GRANT CONTROL TO [UserA] WITH GRANT OPTION;
DENY ALTER , DELETE , INSERT , TAKE OWNERSHIP , VIEW CHANGE TRACKING , UPDATE
ON SCHEMA::[sa_schema] TO [UserA];
DENY ALTER ON USER::[sa] TO [UserA];
我认为这就足够了,但事实证明并非如此。运行是完全合法的UserA:
-- executing as UserA
CREATE ROLE [Denied]
DENY SELECT ON OBJECT::[sa_schema].[table1] TO [Denied]
ALTER ROLE [Denied] ADD MEMBER [sa]
现在sa不能再从这张表中读取。
-- executing as sa
SELECT * FROM [sa_schema].[table1]
消息 229,级别 14,状态 5,第 2 行
对对象“table1”、数据库“mydb”、架构“sa_schema”的 SELECT 权限被拒绝。
当然,sa可以查询数据库以找出它已添加到的角色并将其自身从角色中删除,但这似乎只是为了执行选择而进行的大量工作。我想我可以通过确保UserA没有能力添加sa到任何数据库角色或通过确保UserA不能修改该对象的权限来避免这个问题,所以无论sa添加什么角色都永远不会DENY在这个目的。
是否有人对如何确保无论其他更改如何始终都可以访问此表sa有任何UserA想法?
SA 是一个登录名,就像任何其他登录名一样。您可能想要对有关 SA 帐户的最佳实践进行一些研究。它不需要有超能力。
然而,sysadmin 角色的成员不能被锁定在任何东西之外,并且该角色的成员绕过安全检查。如果 SA 是 sysadmin 的成员,则您不需要做任何事情。
一种编程方法可能是创建一个 SQL 代理作业来恢复管理员帐户的正确(根据您的)成员资格。将其设置为按计划运行,您就可以保证恢复权限(除非 UserA 决定搞砸这项工作)。
然而,这实际上更像是一个人事问题。在服务器上拥有此级别权限的人员应该有足够的经验和值得信赖,不会混淆管理级别的权限。如果他们不知道自己在做什么,他们应该做不到。如果他们知道自己在做什么并且以任何方式去做,那么您就会遇到不同的问题。这可能最好由一项业务政策来处理,该政策表明任何扰乱管理级别权限的人都可能受到纪律处分。
我想我已经想出了一个复杂的方法来做到这一点。我必须将其更改
DENY为:这有两个作用:
UserA尽管它是公开的,但从表中进行选择要困难得多:无法修改表的权限:
这仍然感觉有点笨拙,但总比
sa不断重置其权限要好。从尝试向系统管理员授予/拒绝权限开始,到对 SA 用户进行操作,这个问题完全是疯狂的。数据库中不能有任何 SA 用户,你只是不允许执行
此尝试将始终因错误而失败
消息 15405,级别 16,状态 1,第 1 行
不能使用特殊主体“sa”。