Início / dba / Perguntas / 134301
Accepted
Hikari
Asked: 2016-04-05 06:31:25 +0800 CST

Negar permissão aos usuários para criar tabelas no mestre

  • 772

Percebi que posso criar tabelas, esquemas, procedimentos armazenados etc. no banco de dados mestre .

Não sei o que está concedendo essa permissão. É chato, porque quando abrimos um arquivo *.sql no SSMS, ele está relacionado por padrão ao master . Se uma CREATEoperação for executada sem perceber e definir o contexto correto do banco de dados, a tabela será criada no master .

Se não tivéssemos a permissão, receberíamos um erro, notamos e alteramos o contexto do banco de dados. Com a permissão, a tabela é criada e só vemos o erro depois, sendo necessário descartá-la e recriá-la. Percebi que já existem algumas tabelas criadas por engano no master .

Quero revogar essa permissão de todos os usuários humanos, mas tenho medo de quebrar alguma coisa. Não sei se alguma rotina do SQL Server precisa de permissão para criar ali.

Qual é a melhor maneira de revogar a permissão de criação do mestre sem interromper o SQL Server?

sql-server sql-server-2012

1 respostas

  1. Best Answer

    Você precisará determinar como os logins têm acesso para executar o DDL no mestre. A consulta a seguir retornará uma lista de logins com associação de função no nível do servidor:

    SELECT ServerName = @@SERVERNAME
    , RoleName = roles.name
    , MemberName = members.name
    , IsEnabled = CASE WHEN members.is_disabled = 1 THEN 0 ELSE 1 END
FROM sys.server_role_members srm
    INNER JOIN sys.server_principals roles ON srm.role_principal_id = roles.principal_id
    INNER JOIN sys.server_principals members on srm.member_principal_id = members.principal_id
WHERE members.name NOT LIKE 'NT %' --exclude builtin principals
ORDER BY roles.name
    , members.name;

    Você pode usar xp_logininfopara entender como uma determinada conta do Windows tem acesso ao SQL Server:

    EXEC xp_logininfo @acctname = 'DOMAIN\Username', @option = 'all';

    Se as pessoas em questão tiverem participação na sysadminfunção, você não poderá impedi-las de executar instruções DDL master(ou em qualquer outro lugar).

    Presumindo que as pessoas não sejam membros da função de sysadminservidor, as DENYpermissões terão precedência sobre as permissões que foram GRANTed.

    Você pode criar um grupo de segurança do Windows chamado "NoMasterDDL" e adicionar seus desenvolvedores a esse grupo. Crie um login para o grupo e, em seguida, DENYpermissões nas instruções DDL que você não deseja que as pessoas executem no mestre.

    USE master;
CREATE LOGIN [DOMAIN\NoMasterDDL] FROM WINDOWS;
CREATE USER [DOMAIN\NoMasterDDL] FOR LOGIN [DOMAIN\NoMasterDDL];
DENY ALTER ON DATABASE::master TO [DOMAIN\NoMasterDDL];

    O acima impedirá que os membros do [DOMAIN\NoMasterDDL]grupo executem qualquer instrução do tipo DDL, como CREATE TABLE.

    Como eu disse em resposta à sua pergunta anterior , e AMtwo mencionou em um comentário:

    Se um usuário for atualmente um membro do sysadmin , quaisquer DENYpermissões não terão efeito. Particularmente em um ambiente de desenvolvimento, os desenvolvedores podem ter esse acesso. Nesse caso, a CONTROL SERVERpermissão pode ser usada; é o mesmo que sysadmin , mas obedece às DENYpermissões.

    Portanto, você pode conceder CONTROL SERVERem vez de torná-los membros da função de servidor sysadminDENY ALTER e, em seguida, usar como mostrado acima para evitar DDL no banco de dados mestre .

    • 7

relate perguntas