用戶管理:SQL Server中通用數(shù)據(jù)庫角色權(quán)限的處理
時間:2024-03-12 20:33作者:下載吧人氣:42
前言
安全性是所有數(shù)據(jù)庫管理系統(tǒng)的一個重要特征。理解安全性問題是理解數(shù)據(jù)庫管理系統(tǒng)安全性機制的前提。
最近和同事在做數(shù)據(jù)庫權(quán)限清理的事情,主要是刪除一些賬號;取消一些賬號的較大的權(quán)限等,例如,有一些有db_owner權(quán)限,我們?nèi)∠~號的數(shù)據(jù)庫角色db_owner,授予最低要求的相關權(quán)限。但是這種工作完全是一個體力活,而且是吃力不討好,而且推進很慢。另外,為了管理方便和細化,我們又在常用的數(shù)據(jù)庫角色外,新增了6個通用的數(shù)據(jù)庫角色。
如下截圖所示。
另外,為了減少授權(quán)工作量和一些重復的體力活,我們創(chuàng)建了一個作業(yè),每天定期執(zhí)行一個存儲過程db_common_role_grant_rigths,這個存儲過程的邏輯如下:
1:遍歷所有用戶數(shù)據(jù)庫(排除了系統(tǒng)數(shù)據(jù)庫以及一些特殊數(shù)據(jù)庫),發(fā)現(xiàn)該數(shù)據(jù)庫不存在這些通用數(shù)據(jù)庫角色,那么就創(chuàng)建相關數(shù)據(jù)庫角色。
2:遍歷所有用戶數(shù)據(jù)庫,為相關數(shù)據(jù)庫角色授權(quán),例如,如果發(fā)現(xiàn)某個新增的存儲過程,沒有授權(quán)給db_procedure_execute數(shù)據(jù)庫角色。那么就執(zhí)行授權(quán)操作。
當然目前還在測試、應用階段,以后會根據(jù)具體相關需求,不斷完善相關功能。
–==================================================================================================================
— ScriptName : db_common_role_grant_rigths.sql
— Author : 瀟湘隱者
— CreateDate : 2018-09-13
— Description : 創(chuàng)建數(shù)據(jù)庫角色db_procedure_execute等,并授予相關權(quán)限給角色。
— Note :
/******************************************************************************************************************
Parameters : 參數(shù)說明
********************************************************************************************************************
@RoleName : 角色名
********************************************************************************************************************
Modified Date Modified User Version Modified Reason
********************************************************************************************************************
2018-09-12 瀟湘隱者 V01.00.00 新建該腳本。
2018-09-12 瀟湘隱者 V01.00.01 注意@@ROWCOUNT的生效范圍;解決循環(huán)邏輯問題。
2018-09-26 瀟湘隱者 V01.00.02 修正類型為FT(CLR_TABLE_VALUED_FUNCTION)的函數(shù)問題。程序集 (CLR) 表值函數(shù)
*******************************************************************************************************************/
–===================================================================================================================
USE YourSQLDba;
GO
IF EXISTS (SELECT 1 FROM sys.procedures WHERE type=’P’ AND name=’db_common_role_grant_rigths’)
BEGIN
DROP PROCEDURE Maint.db_common_role_grant_rigths;
END
GO
CREATE PROCEDURE Maint.db_common_role_grant_rigths
AS
BEGIN
DECLARE @database_id INT;
DECLARE @database_name sysname;
DECLARE @cmdText NVARCHAR(MAX);
DECLARE @prc_text NVARCHAR(MAX);
DECLARE @RowIndex INT;
IF OBJECT_ID(‘TempDB.dbo.#databases’) IS NOT NULL
DROP TABLE dbo.#databases;
CREATE TABLE #databases
(
database_id INT,
database_name sysname
)
IF OBJECT_ID(‘TempDB.dbo.#sql_text’) IS NOT NULL
DROP TABLE dbo.#sql_text;
CREATE TABLE #sql_text
(
sql_id INT IDENTITY(1,1),
sql_cmd NVARCHAR(MAX)
)
INSERT INTO #databases
SELECT database_id ,
name
FROM sys.databases
WHERE name NOT IN ( ‘master’, ‘tempdb’, ‘model’, ‘msdb’,
‘distribution’, ‘ReportServer’,
‘ReportServerTempDB’, ‘YourSQLDba’ )
AND state = 0; –state_desc=ONLINE
–開始循環(huán)每一個用戶數(shù)據(jù)庫(排除了上面相關數(shù)據(jù)庫)
WHILE 1= 1
BEGIN
SELECT TOP 1 @database_name= database_name
FROM #databases
ORDER BY database_id;
IF @@ROWCOUNT =0
BREAK;
–PRINT(@database_name);
— SP_EXECUTESQL 中切換數(shù)據(jù)庫不能當參數(shù)傳入。
–創(chuàng)建數(shù)據(jù)庫角色db_procedure_execute
SET @cmdText = ‘USE ‘ + @database_name + ‘;’ +CHAR(10)
SELECT @cmdText += ‘IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =”db_procedure_execute”)
BEGIN
CREATE ROLE [db_procedure_execute] AUTHORIZATION [dbo];
END ‘ + CHAR(10);
–創(chuàng)建數(shù)據(jù)庫角色db_function_execute
SELECT @cmdText += ‘IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =”db_function_execute”)
BEGIN
CREATE ROLE [db_function_execute] AUTHORIZATION [dbo];
END’ + CHAR(10);
–創(chuàng)建數(shù)據(jù)庫角色db_view_table_definition
SELECT @cmdText += ‘IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =”db_view_table_definition”)
BEGIN
CREATE ROLE [db_view_table_definition] AUTHORIZATION [dbo];
END ‘ + CHAR(10);
–創(chuàng)建數(shù)據(jù)庫角色db_view_view_definition
SELECT @cmdText += ‘IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =”db_view_view_definition”)
BEGIN
CREATE ROLE [db_view_view_definition] AUTHORIZATION [dbo];
END ‘ + CHAR(10);
–創(chuàng)建數(shù)據(jù)庫角色db_view_procedure_definition
SELECT @cmdText += ‘IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =”db_view_procedure_definition”)
BEGIN
CREATE ROLE [db_view_procedure_definition] AUTHORIZATION [dbo];
END ‘ + CHAR(10);
–創(chuàng)建數(shù)據(jù)庫角色db_view_function_definition
SELECT @cmdText += ‘IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =”db_view_function_definition”)
BEGIN
CREATE ROLE [db_view_function_definition] AUTHORIZATION [dbo];
END ‘ + CHAR(10);
–PRINT @cmdText;
— EXECUTE SP_EXECUTESQL @cmdText;
EXECUTE (@cmdText);
–給角色db_procedure_execute授權(quán)
SET @cmdText =’USE ‘ + QUOTENAME(@database_name) + ‘;’
SET @cmdText +=’INSERT INTO #sql_text(sql_cmd)
SELECT ”GRANT EXECUTE ON ” + SCHEMA_NAME(schema_id) + ”.”
+ QUOTENAME(name) + ” TO db_procedure_execute;”
FROM sys.procedures s
WHERE NOT EXISTS ( SELECT 1
FROM sys.database_permissions p
WHERE p.major_id = s.object_id
AND p.grantee_principal_id = USER_ID(”db_procedure_execute”))’;
EXECUTE SP_EXECUTESQL @cmdText;
–給角色db_function_execute(標量函數(shù)授權(quán))
SET @cmdText =’USE ‘ + QUOTENAME(@database_name) + ‘;’
SET @cmdText += ‘INSERT INTO #sql_text(sql_cmd)
SELECT ”GRANT EXEC ON ” + SCHEMA_NAME(schema_id) + ”.” + QUOTENAME(name) + ” TO db_function_execute; ”
FROM sys.all_objects s
WHERE SCHEMA_NAME(schema_id) NOT IN (”sys”, ”INFORMATION_SCHEMA”)
AND NOT EXISTS ( SELECT 1
FROM sys.database_permissions p
WHERE p.major_id = s.object_id
AND p.grantee_principal_id =USER_ID(”db_function_execute”) )
AND ( s.[type] = ”FN”
OR s.[type] = ”AF”
OR s.[type] = ”FS”
–OR s.[type] = ”FT”
) ;’
EXECUTE SP_EXECUTESQL @cmdText;
–給角色db_function_execute(表值函數(shù)授權(quán))
SET @cmdText =’USE ‘ + @database_name + ‘;’
SET @cmdText += ‘INSERT INTO #sql_text(sql_cmd)
SELECT ”GRANT SELECT ON ” + SCHEMA_NAME(schema_id) + ”.” + QUOTENAME(name) + ” TO db_function_execute;”
FROM sys.all_objects s
WHERE SCHEMA_NAME(schema_id) NOT IN (”sys”, ”INFORMATION_SCHEMA”)
AND NOT EXISTS ( SELECT 1
FROM sys.database_permissions p
WHERE p.major_id = s.object_id
AND p.grantee_principal_id = USER_ID(”db_function_execute”))
AND ( s.[type] = ”TF”
OR s.[type] = ”IF”
) ; ‘
EXECUTE SP_EXECUTESQL @cmdText;
–查看存儲過程定義授權(quán)
SET @cmdText =’USE ‘ + @database_name + ‘;’
SET @cmdText +=’ INSERT INTO #sql_text(sql_cmd)
SELECT ”GRANT VIEW DEFINITION ON ” + SCHEMA_NAME(schema_id) + ”.”
+ QUOTENAME(name) + ” TO db_view_procedure_definition;”
FROM sys.procedures s
WHERE NOT EXISTS ( SELECT 1
FROM sys.database_permissions p
WHERE p.major_id = s.object_id
AND p.grantee_principal_id = USER_ID(”db_view_procedure_definition”))’
EXECUTE(@cmdText);
–查看函數(shù)定義的授權(quán)
SET @cmdText =’USE ‘ + @database_name + ‘;’
SELECT @cmdText += ‘INSERT INTO #sql_text(sql_cmd)
SELECT ”GRANT VIEW DEFINITION ON ” + SCHEMA_NAME(schema_id) + ”.”
+ QUOTENAME(name) + ” TO db_view_function_definition;”
FROM sys.objects s
WHERE type_desc IN (”SQL_SCALAR_FUNCTION”, ”SQL_TABLE_VALUED_FUNCTION”,
”AGGREGATE_FUNCTION” )
AND NOT EXISTS ( SELECT 1
FROM sys.database_permissions p
WHERE p.major_id = s.object_id
AND p.grantee_principal_id = USER_ID(”db_view_function_definition”))’;
EXECUTE SP_EXECUTESQL @cmdText;
–查看表定義的授權(quán)
SET @cmdText =’USE ‘ + @database_name + ‘;’
SET @cmdText +=’INSERT INTO #sql_text(sql_cmd)
SELECT ”GRANT VIEW DEFINITION ON ” + SCHEMA_NAME(schema_id) + ”.”
+ QUOTENAME(name) + ” TO db_view_table_definition ;”
FROM sys.tables s
WHERE NOT EXISTS ( SELECT 1
FROM sys.database_permissions p
WHERE p.major_id = s.object_id
AND p.grantee_principal_id = USER_ID(”db_view_table_definition”))’;
EXECUTE SP_EXECUTESQL @cmdText;
–查看視圖定義的授權(quán)
SET @cmdText =’USE ‘ + @database_name + ‘;’
SET @cmdText +=’INSERT INTO #sql_text(sql_cmd)
SELECT ”GRANT VIEW DEFINITION ON ” + SCHEMA_NAME(schema_id) + ”.”
+ QUOTENAME(name) + ” TO db_view_view_definition; ”
FROM sys.views s
WHERE NOT EXISTS ( SELECT 1
FROM sys.database_permissions p
WHERE p.major_id = s.object_id
AND p.grantee_principal_id = USER_ID(”db_view_view_definition”))’;
EXECUTE SP_EXECUTESQL @cmdText;
WHILE 1= 1
BEGIN
SELECT TOP 1 @RowIndex=sql_id, @cmdText = ‘USE ‘ + @database_name + ‘; ‘+ sql_cmd FROM #sql_text ORDER BY sql_id;
IF @@ROWCOUNT =0
BREAK;
PRINT(@cmdText);
EXECUTE(@cmdText);
DELETE FROM #sql_text WHERE sql_id =@RowIndex
END
DELETE FROM #databases WHERE database_name=@database_name;
END
DROP TABLE #databases;
DROP TABLE #sql_text;
END
相關推薦
- SQLServer2019數(shù)據(jù)庫如何配置端口號
- 深入了解PostgreSQL數(shù)據(jù)類型:解決您的數(shù)據(jù)庫存儲難題(postgresql數(shù)據(jù)類型)
- 社區(qū)MongoDB實戰(zhàn):在圖靈社區(qū)打造數(shù)據(jù)庫創(chuàng)新力量(mongodb實戰(zhàn)圖靈)
- 關于數(shù)據(jù)庫初始化及數(shù)據(jù)庫服務端操作詳解
- PostgreSQL登錄:體驗自由融洽的數(shù)據(jù)庫訪問(postgresql登陸)
- Postgresql數(shù)據(jù)庫備份實踐:簡單而又必要(postgresql數(shù)據(jù)庫備份)
- SQL開發(fā)知識:Sql Server數(shù)據(jù)庫常用Transact-SQL腳本
- SQL開發(fā)知識:淺談sqlserver下float的不確定性
- SQL開發(fā)知識:SQLServer查詢某個時間段內(nèi)購買過商品的用戶
- SQL開發(fā)知識:sqlserver實現(xiàn)樹形結(jié)構(gòu)遞歸查詢的方法
相關下載
熱門閱覽
- 1SQL開發(fā)知識:MyBatis SQL xml處理小于號與大于號正確的格式
- 2SQL異常:教你sqlserver連接錯誤之SQL評估期已過的問題解決方法
- 3SQL基礎:SQLServer2019 數(shù)據(jù)庫的基本使用之圖形化界面操作的實現(xiàn)
- 4SQL報錯:由于系統(tǒng)錯誤 126 (SQL Server),指定驅(qū)動程序無法加載問題的處理
- 5SQL開發(fā)知識:SQL中Truncate的用法
- 6一文教你SQL Server2012的數(shù)據(jù)庫備份和還原的教程
- 7SQL開發(fā)知識:SQL Server執(zhí)行動態(tài)SQL的正確方法
- 8數(shù)據(jù)庫恢復之 delete誤刪數(shù)據(jù)使用SCN號恢復的詳細方希
- 9SQL基礎:SQL?Server的全文搜索功能
- 10SQL開發(fā)知識:SQL Server數(shù)據(jù)庫查找表名或列名中包含空格的表和列
- 11Navicat 如何連接SQLServer數(shù)據(jù)庫詳細步驟截圖
- 12PL/SQL Developer過期的解決方法
最新排行
- 1SQL開發(fā)知識:SQL注入工具
- 2SQL開發(fā)知識:SQL 在自增列插入指定數(shù)據(jù)的操作方法
- 3Sql Server2012數(shù)據(jù)庫使用IP登錄服務器的配置教程
- 4SQL開發(fā)知識:Navicat導出.sql文件方法
- 5SQL開發(fā)知識:SQL Server表和索引存儲結(jié)構(gòu)
- 6SQL開發(fā)知識:Sql注入原理簡介
- 7SQL開發(fā)知識:SQL Server Management Studio(SSMS)復制數(shù)據(jù)庫的方法
- 8SQL開發(fā)知識:SQL Server執(zhí)行動態(tài)SQL的正確方法
- 9SQL開發(fā)知識:SQL Server Parameter Sniffing及其改進方法
- 10SQL開發(fā)知識:sql server2008調(diào)試存儲過程的步驟
- 11SQL開發(fā)知識:SQL Server非動態(tài) SQL語句來對動態(tài)查詢進行執(zhí)行
- 12一文帶你詳解SQL Server 2016數(shù)據(jù)庫快照代理過程
網(wǎng)友評論