Wie die Abfrage für Bestimmte Benutzer Zugriffsrechte

Ich habe eine alte Datenbank, die ich bin, zu Erben. Die Zugriffsrechte sind nicht klar definiert sind überall und ich bin auf der Suche nach einem schnellen Weg, um Sie für alle. Sagen wir, ich habe einen user in meiner Datenbank, die nicht gehören zu jeder Mitgliedschaft Rollen. Jedoch Sie haben gegeben worden, den Zugriff auf bestimmte Dinge auf bestimmte Tabellen. Zum Beispiel, Sie können ausführen, select-Abfragen auf Tabelle X und update Abfragen auf die Tabelle Y. ich weiß, dass ich herausfinden kann, was Sie haben, gehen Sie zu den Eigenschaften für jeden Benutzer. Ich würde mir aber vorstellen, dass es eine system-Tabelle irgendwo, hat dies alles definiert in es und macht es leicht queryable. Was würde diese Abfrage Aussehen.

Zur info: ich arbeite mit SQL Server 2005

Update: gibt es auch eine Möglichkeit, dies für alle Datenbanken auf dem server?

InformationsquelleAutor Jason | 2009-12-18

  1. 5

    Werfen Sie einen Blick auf die Sicherheits-Katalogsichten, dann schauen Sie sich MrDenny Antwort hier gibt eine query-Liste die Rechte eines Benutzers. Ich Schreibe ihn hier (zu aufgeräumt für meinen Geschmack)..

    SELECT  [Schema]            =   sys.schemas.name 
,       [Object]            =   sys.objects.name 
,       username            =   sys.database_principals.name 
,       permissions_type    =   sys.database_permissions.type 
,       permission_name     =   sys.database_permissions.permission_name
,       permission_state    =   sys.database_permissions.state 
,       state_desc          =   sys.database_permissions.state_desc
,       permissionsql       =   state_desc + ' ' + permission_name 
                                 + ' on ['+ sys.schemas.name + '].[' + sys.objects.name 
                                 + '] to [' + sys.database_principals.name + ']' 
                                  COLLATE LATIN1_General_CI_AS 
FROM sys.database_permissions 
 INNER JOIN sys.objects ON sys.database_permissions.major_id =      sys.objects.object_id 
 INNER JOIN sys.schemas ON sys.objects.schema_id = sys.schemas.schema_id 
 INNER JOIN sys.database_principals ON sys.database_permissions.grantee_principal_id =  sys.database_principals.principal_id 
ORDER BY 1, 2, 3, 5

    InformationsquelleAutor doza

  2. 3

    Dinge sind ein bisschen schwieriger, eigentlich. Die effektiven Berechtigungen sind eine Kombination von internen Datenbank-Berechtigungen (queryable wie Denny ' s Abfrage oben zeigte, von doza) und windows-Gruppenmitgliedschaft. Th später leider gespeichert ist, die außerhalb von SQL, die im AD-schema, so dass Sie nicht wirklich Abfragen.

    Also, wenn Ihr Ziel ist die Anzeige 'Zugriff auf die Tabelle X ist gegeben, domain\someuser und domain\somegroup und verweigert domain\someothergroup' dann können Sie den Katalog von Metadaten und Abfragen, wie gezeigt in doza ' s post.

    Allerdings, wenn Ihr Ziel ist es, Antworten 'Stimmt Benutzer domain\someuser haben Zugriff auf Tabelle X?', werden Sie nicht bekommen kann die Antwort aus der obigen Abfrage. Das ist richtig, trotz der Tatsache, dass Sie sehen, einen Datensatz zu sagen, die domain\someuser Zugang gewährt wird, Sie nicht Antwort, wenn es einen effektiven Zugang. Denken Sie daran, dass eine einzelne verweigern übertrumpft alle Zuschüsse, und wenn die Domäne\Benutzer ist Mitglied von Domäne\someothergroup Gruppe dann Domäne\someuser ist effektiv verweigert Zugang.

    Antwort auf die spätere Frage müssen Sie einen anderen Mechanismus, nämlich Sie haben die Identität des Benutzers bei SQL-Ebene und überprüfen Sie die Berechtigung über HAS_PERM_BY_NAME:

    EXECUTE AS USER = 'domain\someuser';
SELECT HAS_PERMS_BY_NAME('X','TABLE','SELECT');
REVERT;

    Ist erwähnenswert, dass die erste Frage kann beantwortet werden, indem jeder Benutzer mit anzeigen-Berechtigungen auf die Sicherheit Kataloge, während die später benötigt die impersonate-Berechtigung, eine viel stärkere Berechtigung.

    sehr wahr - schöne Ausarbeitung

    InformationsquelleAutor Remus Rusanu

Schreibe einen Kommentar