Примечание
Обратите внимание, что в роль базы данных включается не учетная запись, а пользователь базы данных, в которого отображается учетная запись.
Для включения пользователя в ту или иную роль базы данных достаточно установить флажок слева от имени нужной роли. Щелкнув на кнопке Properties (свойства), можно открыть окно Database Role Properties (свойства роли базы данных), в котором приводится список всех пользователей, уже включенных в выбранную роль базы данных. В этом окне также можно добавить новых или удалить уже включенных в роль пользователей. Кроме того, в окне имеется кнопка Permissions (права), щелкнув на которой можно открыть окно управления правами доступа роли к объектам базы данных.
Для изменения параметров созданной учетной записи в Enterprise Manager необходимо выбрать ее в списке и дважды щелкнуть на ней. Появившееся диалоговое окно позволяет выполнить конфигурирование учетной записи. Вы не сможете изменить режим аутентификации для учетной записи, поскольку архитектура учетных записей Windows NT и MS SQL Server 2000 сильно отличается.
Для удаления учетной записи щелкните на кнопке Delete (удалить) на панели инструментов или выберите одноименную команду в контекстном меню учетной записи.
Управление пользователями
Отображение учетной записи в пользователя базы данных необходимо для предоставления доступа к объектам этой базы данных. Как известно, доступ может быть предоставлен непосредственно при создании учетной записи. В процессе администрирования баз данных вам не раз потребуется создавать пользователей. Для этого откроите окно Enterprise Manager и в контекстном меню значка Users (пользователи) нужной базы данных выберите команду New Database User (новый пользователь базы данных). В появившемся диалоговом окне (рис. 5) введите имя пользователя в поле User name (имя пользователя), а в списке Login name (входное имя) выберите, какая учетная запись будет отображаться в создаваемого пользователя. Сразу же можно включить пользователя в необходимые роли базы данных.
Рис. 5 Создание пользователя БД
Создав пользователя, позже вы сможете изменить только его членство в ролях базы данных. Для этого откройте окно Enterprise Manager, а затем папку необходимой базы данных и выделите значок Users (пользователи). Дважды щелкните левой кнопкой мыши на нужном пользователе, после чего сделайте необходимые изменения. Однако некоторые действия разрешается выполнять только после того, как пользователь создан. На рисунке видно, что кнопка Permissions (права) в момент создания пользователя недоступна. Однако если открыть окно свойств уже созданного пользователя, то никаких проблем с использованием указанной кнопки не будет. После щелчка на ней откроется окно (рис. 6), c помощью которого можно управлять правами доступа пользователя к любым объектам базы данных.
Рис. 6 Доступ к объектам БД
В нижней части окна имеется кнопка Columns (столбцы), щелкнув на которой можно открыть окно Column Permission (права для столбцов) и настроить принцип доступа к конкретным столбцам таблицы (рис. 7). При работе с Enterprise Manager, поставляемым в составе MS SQL Server 7.0, такой возможности не было, и для управления правами доступа к конкретным столбцам приходилось обращаться к средствам Transact SQL.
Рис. 7 Окно Column Permissions
Для удаления пользователя базы данных щелкните на кнопке Delete (удалить) на панели инструментов или выберите одноименную команду в контекстном меню пользователя.
Управление ролями
Как было сказано ранее в этой главе, роли бывают двух типов: роли сервера и роли базы данных. При установке MS SQL Server 2000 создаются как фиксированные роли сервера, так и фиксированные роли базы данных.
Чтобы включить учетную запись в какую-либо из ролей сервера в окне Enterprise Manager, выберите папку Logins. Дважды щелкните левой кнопки мыши на необходимой учетной записи. Затем откройте вкладку Server Role (рил сервера) и установите флажки возле тех ролей сервера, в которые вы планируете включить конфигурируемую учетную запись. Эта операция была проиллюстрирована в предыдущем разделе.
Кроме того, для добавления учетной записи в какую-либо роль сервера можно воспользоваться значком Server Role (роли сервера) папки Security в Enterprise Manager. При выделении указанного значка в правой части окна Enterprise Manager будет отображен список фиксированных ролей, имеющихся на сервере. Дважды щелкните на какой-либо из ролей левой кнопкой мыши, после откроется окно свойств роли (рис. 8).
Рис. 8 Окно свойств фиксированной роли сервера
На вкладке General (общие) щелкните на кнопке Add (добавить) и добавьте необходимые учетные записи в выбранную роль сервера. Вкладка Permissions (права) покажет вам, какие права может получить пользователь путем членства в соответствующей роли (рис. 9).
Рис. 9 Вкладка Permissions окна свойств роли
Для предоставления учетной записи доступа к какой-либо базе данных включения этой учетной записи в одну из ролей выделите папку Security в окне Enterprise Manager и дважды щелкните на учетной записи. В появившемся окно выберите вкладку Database Access (доступ к базам данных).
Новую роль сервера администратор создать не может. Однако для упрощения администрирования системы безопасности MS SQL Server 2000 администратор может создавать пользовательские роли баз данных.
Для создания пользовательской роли в какой-либо базе данных средствами Enterprise Manager выберите необходимую базу данных в окне Enterprise Manager и в контекстном меню папки Roles выберите пункт New Database Role (новая роль базы данных). В открывшемся диалоговом окне (рис. 10) в поле Name (имя) необходимо указать имя роли, уникальное в пределах базы данных.
С помощью переключателей Database Role Type (тип роли базы данных) необходимо выбрать тип, который будет иметь создаваемая роль. При создании новой роли базы данных можно выбрать один из двух типов: стандартную роль либо роль приложения. При выборе варианта Standart (стандартная) с помощью кнопки Add (добавить) можно сразу же включить нужных пользователей в создаваемую роль. При выборе варианта Application (приложение) необходимо установить пароль, который будет использоваться для инициализации данной роли из приложения. Если вы создаете роль для приложения, вы не сможете добавлять в нее пользователей.
Единственный параметр конфигурирования фиксированных ролей (как ролей сервера, так и ролей базы данных) допускает установку членства в них соответственно учетных записей и пользователей. Для пользовательской роли базы данных можно дополнительно указать еще и ее права доступа к объектам базы данных. Для этого щелкните на кнопке Permissions (права). В появившемся окне (рис. 11) перечислены все объекты, созданные в базе данных, с возмож ными правами доступа. Вы можете установить одно из трех состояний доступа: предоставление (GRANT), запрещение (DENY) и неявное отклонение (REVOKE). Это, соответственно, галочка, крестик и пробел в соответствующем поле.
Рис. 10 Окно создания новой роли базы данных
Рис. 11 Окно Database Role Properties Permissions
Управление группами
Если ваша организация небольшая и обязанности системного администратора и администратора сервера баз данных совмещает один человек, то, скорее всего, администрирование пользователей MS SQL Server 2000 будет осуществляться с помощи групп Windows NT. Достаточно включить учетную запись Windows NT в группу, которой предоставлен доступ к SQL Server, чтобы пользователь имел доступ к серверу. Вы можете создать несколько групп Windows NT, отобразить их в учётные записи MS SQL Server 2000, а затем присвоить данным учетным записям соответствующие права доступа. Все администрирование доступа к MS SQL Server 2000 будет заключаться во включении учетных записей Windows NT в требуемые группы.
Не путайте группы Windows NT с группами MS SQL Server 2000, которые существовали в предыдущих версиях продукта. В MS SQL Server 2000 группы были заменены более мощным инструментом — ролями.
Использование мастера Create Login Wizard
Есть более простой и удобный путь для создания и конфигурирования учетных записей. Он состоит в использовании мастера Create Login Wizard. Для запуска мастера щелкните на кнопке Run a wizard (запустить мастера) на панели инструментов Enterprise Manager и выделите в папке Database пункт Create Login Wizard (мастер создания учетных записей). После щелчка на кнопке ОК откроется первое диалоговое окно мастера (рис. 12), содержащее перечень этапов, которые необходимо пройти в процессе работы мастера.
Рис. 12 Первое окно мастера Create Login Wizard
Щелкните на кнопке Next (далее) для перехода ко второму окну мастера (рис. 13). В этом окне нужно указать, какой способ аутентификации будет использован. Можно выбрать аутентификацию Windows NT или SQL Server.
Рис. 13 Второе окно мастера Create Login Wizard
Содержание следующего окна определяется выбранным режимом. Если вы ли аутентификацию Windows NT, достаточно указать имя учетной записи или группы Windows NT и домена, в котором они созданы. Здесь же задается тип доступа к MS SQL Server 2000, который будет назначен создаваемой учетной записи. Можно либо разрешить, либо запретить доступ (рис. 14).
Рис. 14 Третье окно мастера Create Login Wizard при аутентификации Windows NT
Если используется аутентификация SQL Server, то помимо имени учётной записи необходимо указать пароль, который пользователь должен будет вводить при подключении к SQL Server (рис. 15).
Рис. 15 Третье окно мастера Create Login Wizard при аутентификации SQL Server
Следующие окна не зависят от используемого режима аутентификации. Четвертое окно содержит список ролей сервера. Если необходимо включить создаваемую учетную запись в определенные роли сервера, установите флажки напротив этих ролей (рис. 16).
Рис. 16 Четвёртое окно мастера Create Login Wizard
Можно также сразу же разрешить доступ к созданным на сервере базам данных. Для этого в пятом окне установите флажки напротив нужных баз данных (рис. 17). По завершении работы мастер автоматически создаст нового пользователя в выбранных базах данных.
Рис. 17 Пятое окно мастера Create Login Wizard
Рис. 18 Последнее окно мастера Create Login Wizard
В последнем окне (рис. 18) содержится сводная информация о созданной учетной записи. Учетная запись будет создана сразу же после щелчка на кнопке Finish (готово). На этом создание учетной записи завершается.
Защита данных
Как бы хорошо ни была спланирована система безопасности MS SQL Server 2000, остается возможность копирования файлов с данными и просмотра их на другом компьютере. Кроме того, с использованием специальных устройств данные могут быть перехвачены при передаче их по сети. Необходимо продумать средства физической защиты данных. Учтите, что данные в файлах базы данных хранятся в открытой форме, то есть их можно просмотреть в текстовом редакторе. Конечно, они не будут структурированы, но все же часть информации можно будет прочитать.