- •2.Сетевые операции системы
- •2.1.Выбор ос
- •2.2.1.Состав сетевого по Netware
- •2.2.2.Функциональный состав сетевой ос
- •2.2.3.Функции файлового сервера
- •2.3.1.Базовые понятия
- •2.3.2.Характеристики ос
- •2.3.3.Функции ядра
- •2.4.1.Архитектура ос Windows
- •2.4.1.1.Диспетчер процесса
- •2.4.2.Рабочие станции и серверы Windows
- •2.4.3.Провайдеры и интерфейсы провайдера
- •2.4.4.NetBios и Windows сокеты
- •2.4.5.Межсетевое взаимодействие Windows
- •2.4.6.Серверы dhcp
- •2.4.7.Распознавание имен в сетях на базе Windows
- •2.4.8.Сервис Wins
- •2.4.9.Служба доменных имен dns
- •Основные понятия dns
- •3.Служба каталогов Active Directory
- •3.1.Основные понятия ad
- •3.2.Интеграция ad с dns
- •3.3.Роль хозяина операции
- •3.4.Доверительные отношения
- •3.5.Разделы каталога
- •3.5.1.Глобальный каталог
- •4.Учебные записи пользователя
- •4.3.Инструменты. Локальные пользователи и группы
- •5.1.Стандарты Internet в iis
- •5.2.Характеристики iis
- •5.3.Возможности iis
- •6.1.Основные понятия
- •6.2.Краткая характеристика редакции sql Server
- •6.3.Планирование конфигурации сервера
- •6.5.Конфигурация учетных записей
- •6.6.Инструменты работы ms sql Server 2000
- •6.6.1.Компоненты sql Server 2000
- •6.6.2.Ресурсы, повышающие производительность sql Server
- •6.6.3.Службы sql Server 2000
- •6.6.4.Управление службами sql Server 2000
- •6.6.5.Использование инструментов Windows
- •6.6.6. Учетные записи служб sql Server 2000
- •6.6.7.Утилита osql
- •6.6.8.Утилита sql Query Analyzer
- •6.6.9.Консоль sql Server Enterprise Manager
- •6.6.10.Выводы
- •6.7.Архтектура реляционной субд
- •6.7.1.Физическая структура бд
- •6.7.2.Логическая структура бд
- •6.8.Структура журнала транзакций
- •6.8.1.Принцип работы
- •6.8.2.Процесс контрольной точки
- •6.9.Системные таблицы sql Server
- •6.9.1.Системный каталог
- •6.9.2.Каталог бд
- •6.10.Системные хранимые процедуры
- •6.11.Системные функции
- •6.12.Представление информационной схемы
- •6.13.Пользовательские бд
- •6.13.1.Изменение размера бд
- •6.13.2.Изменение размера файла журнала транзакций
- •6.14.Конфигурации дисковой подсистемы
- •6.15.Средства импорта/экспорта данных
- •6.16.Преобразование данных средствами dts (служба преобразования данных)
- •7.Управление доступом sql Server
- •7.1.Основные механизмы безопасности
- •7.2.Архитектура системной безопасности
- •7.2.1.Проверка подлинности
- •7.2.2.Авторизация
- •7.3.Роли
- •7.3.1.Фиксированные роли сервера
- •7.3.2.Фиксированные роли бд sql Server 2000
- •7.3.3.Резервное копирование сервера
- •7.3.4.Размещение уровня бд
- •7.3.5.Наследуемое разрешение
- •7.3.6.Разрешение конфликтов наследования
- •7.3.7.Роли приложений
- •7.4.Резервное копирование и восстановление данных
- •7.4.1.Резервное копирование
- •7.4.1.1.Архивирование данных
- •7.4.1.2.Схема резервного копирования
- •7.4.1.3.Полное резервное копирование
- •7.4.1.4.Дифференциальное резервное копирование бд
- •7.4.1.5.Резервное копирование файлов или группы файлов
- •7.4.1.6.Дифференциальное резервное копирование файлов или групп файлов
- •7.4.1.7.Резервное копирование журнала транзакций
- •7.4.2.Восстановление данных
- •7.4.2.1.Автоматическое восстановление данных
- •7.4.2.2.Ручное восстановление бд
- •7.4.2.3.Восстановление с использованием транзакции sql
- •7.5.Сценарии восстановления после сбоев
- •7.5.1.Поломка диска с пользовательскими данными
- •7.5.2.Поломка диска с журналом транзакций
- •7.5.3.Поломка диска с бд master
- •8.Служба sql Agent
- •8.1.Задания job
- •8.1.4.Логика выполнение многоэтапного задания
- •8.1.5.Журнал ошибок службы sql Server Agent
- •8.2.Операторы operators
- •8.3.События alerts
7.3.5.Наследуемое разрешение
Владелец БД, члены фиксированной серверной роли sysadmin и фиксированной роли dbowner наследуют все разрешения для выполнения действий над объектом БД. Кроме того члены роли dbowner имеют права выполнения различных действий над БД.
Пример: члены роли db_securityadmin имеют право выполнить операции GRANT, DENY, REVOKE, но не могут выполнить операции CREATE и BACKUP. Db_ddladmin могут выполнить CREATE и BACKUP, но не могут GRANT, DENY, REVOKE.
Владелец объекта наследует все связи с объектами разрешения в том числе право на установку/отмену разрешения.
Члены фиксированных ролей securityadmin могут изменять владельца любого объекта.
7.3.6.Разрешение конфликтов наследования
Группам Win пользователь равен и отдельным пользователям можно назначить и блокировать наборы разрешений, связанные с ролями сервера, фиксированными ролями БД или отдельными разрешениями на доступ к отдельным объектам БД.
Чтобы пользователь, наследующий разрешения соответственной роли или группы мог выполнить операции с объектами БД, необходимо блокировать разрешение отдельных ролей, групп или пользователей.
Привилегии блокировки разрешений имеют более высокий приоритет, чем блокировка.
Пример: пользователь 1 имеет разрешение на просмотр таблицы, но он входит в группу (роль), для которой это разрешение заблокировано, следовательно, пользователь 1 не может просматривать эти таблицы.
Чтобы избежать использования блокировки, рекомендуют установить пользователю разрешение на выполнение операторов:
Create DataBase |
Данные разрешения наследования членами ролей сервера sysadmin и dbcreator. Эти разрешения доступа существуют только в БД MASTER |
BACKUP DataBase BACKUP Log |
Данные разрешения наследуются членами роли сервера sysadmin, а так же фиксированных ролей БД db_owner и db_backypoperatior |
Create Table Create View Create Procedure Create Function |
Эти разрешения наследуются членами роли сервера sysadmin и фиксированных ролей БД db_owner и db_ddladmin. Однако пользователи, не являющийся участником ни одной из этих ролей, не могут указывать другим пользователям пароль dbo в качестве владельца созданного ими объекта |
Create Trigger |
Данные разрешения доступ наследуют владельцы таблицы, в которой определены триггеры, а так же членами роли сервера sysadmin и фиксированных ролей БД db_owner и db_ddladmin. Они не могут предоставлять разрешения доступа на запуск этого оператора другой учетной записи |
Когда пользователь создает объект БД, он становится владельцем этого объекта до тех пор, пока другой пользователь или роль (группа) не будут определены пользователем данного объекта. В процессе разработки БД такое разграничение является эффективным. Однако в процессе реализации ИС могут возникать проблемы с ее эксплуатацией, т.е. dbo должен предоставть обращение к какому-либо объекту, в сценарий или объект и имя пользователя не указывать, и SQL Server сам определяет пользователя, которому разрешен доступ к объектам данной БД (разрешен на уровне БД либо dbo). Если пользователь не принадлежит этим ролям, возвращается сообщение об ошибке.
Разрешение доступа к объектам – разрешение на выполнение отдельных операций с таблицами, представлениями, хранимыми процедурами.
Предоставление или отзыв этих разрешений выполняются членами фиксированных роли sysadmin или роли db_owner и sysadm
Select – просмотр данных в таблицах, представлениях или полях таблицы или на определение пользовательских функций. Наследуется членами роли сервера sysadmin и постоянных ролей БД dbo_owner и db_datareader. Отказано всем членам фиксированной роли db_denydatareader.
Insert – добавление данных в таблицу, поле или представление. Наследует членами роли сервера sysadmin и фиксированных ролей БД db_datawriter. Отказано – db_denydatawriter.
Update – обновление данных в таблице, поле или представление. Наследуется членами роли сервера sysadmin и фиксированных ролей БД db_owner и db_datawriter. Отказано – db_denydatawriter.
Delete – удаление данных из таблицы или представления. Наследуется членами роли сервера sysadmin и фиксированных ролей БД db_owner и db_datawriter. Отказано – db_denydatawriter.
Executer – выполнение хранимых процедур и пользователей файлов. Наследуется членами роли сервера sysadmin и фиксированной роли БД db_owner.
References – обращение к таблице с ограничением FOREIGNKEY при отсутствии select на таблицу. Наследуется sysadmin, db_owner, db_owner, db_datareader. Отказано – db_denydatareader.
Чтобы посмотреть разрешение, назначается конкретный пользователь или объект, можно использовать хранимую процедуру sp_helprotect
Пример: Exec sp_helprotect NULL, //имя объекта NULL – текущий
NULL, //идентификатор пользователя
NULL, //учетная запись
‘S’ //s – разрешение пользователя
o – разрешение объекта
os –и то, и другое