Tạo Thủ tục Permission CHỈ

Question

Tôi có một yêu cầu trong SQL Server 2008 trong cơ sở dữ liệu phát triển

1. Chỉ DBA (là chủ sở hữu cơ sở dữ liệu) có thể tạo, thay đổi bảng. Nhà phát triển không được tạo hoặc thay đổi bảng.
2. Nhà phát triển có thể tạo/thay đổi Thủ tục được lưu trữ/Người dùng xác định chức năng trong lược đồ dbo và có thể thực thi SP/UDF.
3. phát triển nên có SELECT, INSERT, DELETE, UPDATE trên bảng ( bảng trong schema dbo

Làm thế nào để đạt được điều này sử dụng lệnh GRANT

---

Tìm thấy một giải pháp mẫu từ Google, nhưng vẫn có vấn đề

CREATE LOGIN testdev WITH PASSWORD = 'sldkjlkjlkj 987kj//' 

CREATE USER testdev 

GRANT ALTER ON SCHEMA::dbo TO testdev 
GRANT CREATE PROCEDURE TO testdev 
GRANT SELECT, INSERT, UPDATE, DELETE ON SCHEMA::dbo TO testdev 

CREATE TABLE mysig (a int NOT NULL) 
EXECUTE AS USER = 'testdev' 
go 

CREATE PROCEDURE slaskis AS PRINT 12 
go 

CREATE TABLE hoppsan(a int NOT NULL) -- FAILS! 
go 

INSERT mysig (a) VALUES(123) 
go 

REVERT 
go 

DROP PROCEDURE slaskis 
DROP TABLE mysig 
DROP USER testdev 
DROP LOGIN testdev 

Cú pháp trên có thể chặn nhà phát triển tạo bảng nhưng nhà phát triển khối không thể sử dụng SSMS d esign và thay đổi bảng.

Cảm ơn.

Answer 1

Trước hết, tôi sẽ sử dụng Vai trò thay vì cấp quyền truy cập trực tiếp cho người dùng. Bạn có thể đã làm điều này, nhưng tôi nghĩ tôi sẽ đề cập đến nó.

Được rồi, vấn đề ở đây là cấp ALTER cho giản đồ có nghĩa là người được cấp có quyền truy cập ALTER vào tất cả các loại đối tượng trong lược đồ. Thật không may, theo như tôi biết, không có cách nào để cấp quyền cho các loại đối tượng cụ thể vì vậy nó là tất cả hoặc không có gì. Ngược lại, bạn không thể cấp ALTER cho tất cả các đối tượng và sau đó từ chối ALTER đối với các loại đối tượng cụ thể.

Cách duy nhất tôi đã tìm thấy để làm điều này là cấp ALTER cho giản đồ và sau đó sử dụng Trình kích hoạt DDL để kiểm soát vai trò có thể thực hiện.

đây có một phiên bản cập nhật của các ví dụ của bạn thể hiện theo nguyên tắc:

--** Create a Developer Role 
CREATE ROLE [Developer] AUTHORIZATION db_securityadmin; 
GO 

--** Grant view and execute on all SPs to Devloper 
--GRANT VIEW DEFINITION ON SCHEMA::dbo TO [Developer]; 
GRANT CREATE PROCEDURE TO [Developer]; 
GRANT SELECT, INSERT, UPDATE, DELETE, ALTER, EXECUTE, VIEW DEFINITION ON SCHEMA::dbo TO [Developer] 

--** Create user and login for testdev and add to the Developer role 
CREATE LOGIN testdev WITH PASSWORD = 'sldkjlkjlkj987kj' 
CREATE USER testdev 
EXEC sp_addrolemember @rolename = 'Developer', @membername = 'testdev'; 
GO 

--** Create DDL trigger to deny drop and alter to the Developer role 
CREATE TRIGGER tr_db_DenyDropAlterTable_Dev 
ON DATABASE 
FOR DROP_TABLE, ALTER_TABLE 
AS 
BEGIN 
    IF IS_MEMBER('Developer') = 1 
    BEGIN 
     PRINT 'You are not authorized to alter or drop a table.'; 
     ROLLBACK TRAN; 
    END; 
END; 
GO 

--** Testing 
CREATE TABLE mysig (a int NOT NULL) ; 

EXECUTE AS USER = 'testdev'; 
GO 

CREATE PROCEDURE slaskis AS PRINT 12; 
GO 

CREATE TABLE hoppsan(a int NOT NULL); -- FAILS! 
GO 

INSERT mysig (a) VALUES(123); 
GO 

ALTER TABLE mysig ADD test INT; --** This will fail too 
GO 

REVERT; 
GO 

DROP PROCEDURE slaskis ; 
DROP TABLE mysig ; 
DROP USER testdev; 
DROP LOGIN testdev; 
DROP ROLE [Developer]; 
DROP TRIGGER tr_db_DenyDropAlterTable_Dev on DATABASE; 

Answer 2

Các mã sau đây sẽ tạo cho người sử dụng và vai trò trong sql máy chủ 2012:

USE PermissionDB; 
---Select Your database 
CREATE ROLE Employee; 
---Create role 
CREATE USER Employee1 Without Login; 
---Create User 

----Execute the Above query 
EXEC sp_addrolemember @rolename = 'Employee', @membername = 'Employee1'; 

Hope này sẽ rất hữu ích. ...