Модель безопасности VOGBIT требует завышенных прав. Так для администрирования требуется подключение от имени SA, иначе часть функций будет недоступна. Подобная практика является не рекомендуемой и неприемлемой. Пользователь SA обладает слишком широкими правами, чтобы предоставлять его пароль администраторам Vogbit, некомпетентным в администрировании сервера SQL. По должностным обязанностям и требованиям к безопасности нашего предприятия, администратор Vogbit не может обладать правами SA.
Чтобы избежать потенциальных проблем, в своем развертывании Vogbit мы создали пользователя vogbit_sa со следующими правами:
• Securityadmin – для управления пользователями. Попутно этот пользователь получил и право управлять пользователями других баз данных, но уж на это мы закрыли глаза.
• dbowner для базы данных Vogbit – полные права на производство любых операций в рабочей базе данных.
• Vogbit_sa настроен как администратор в Vogbit
Данных прав достаточно для нормального развертывания и эксплуатации системы.
Однако, хотя пользователь vogbit_sa обладает всеми необходимыми правами, для него закрыт функционал удаления устаревших данных о пользовательских сессиях vogbit (возможно и какой-то другой, с которым мы пока не столкнулись). Даже добавление пользователю vogbit_sa серверной роли sysadmin не открывает нужный функционал. Данный функционал включается только если подключается пользователь SA.
Каким образом дать возможность полноценного администрирования Vogbit пользователю, владельцу (dbowner) базы данных Vogbit, но не являющемуся SA и не обладающего серверной ролью sysadmin.
Чтобы избежать потенциальных проблем, в своем развертывании Vogbit мы создали пользователя vogbit_sa со следующими правами:
• Securityadmin – для управления пользователями. Попутно этот пользователь получил и право управлять пользователями других баз данных, но уж на это мы закрыли глаза.
• dbowner для базы данных Vogbit – полные права на производство любых операций в рабочей базе данных.
• Vogbit_sa настроен как администратор в Vogbit
Данных прав достаточно для нормального развертывания и эксплуатации системы.
Однако, хотя пользователь vogbit_sa обладает всеми необходимыми правами, для него закрыт функционал удаления устаревших данных о пользовательских сессиях vogbit (возможно и какой-то другой, с которым мы пока не столкнулись). Даже добавление пользователю vogbit_sa серверной роли sysadmin не открывает нужный функционал. Данный функционал включается только если подключается пользователь SA.
Каким образом дать возможность полноценного администрирования Vogbit пользователю, владельцу (dbowner) базы данных Vogbit, но не являющемуся SA и не обладающего серверной ролью sysadmin.