Здравствуйте, Joker3D, Вы писали:
JD>Здравствуйте, Mikst, Вы писали:
M>>Здравствуйте, Joker3D, Вы писали:
JD>>>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:
JD>>>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц JD>>>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД JD>>>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
M>> А что им помешает себя туда добавить, раз они администраторы домена?
JD>Собственно поэтому я и сделал предположение что это должна быть уже не NT-аутентификация. Тогда вопрос — как правильно настроить такой сервер? И не существует ли и здесь какой-то хак?
Если группа в Win-домене, то это NT аутентификация.
А так, заводи группы прямо в SQL, и там раздавай права,
правда не знаю что точно делать с NT аутентификацией, чтобы админы то в базу не попали, видимо ее придется выключить.
соответственно получаем следующие пожелания:
— есть группа "TeamLead" людей которые имеют full access на набор таблиц
— есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
— людей в группу TeamLead может добавлять/удалять только SalaryManager
в базе группа TeamLead, у нее права на нужные таблицы.
SalaryManager имеет права на изменение этой группы и является админом бд (ну или просто имеет права на все таблицы)
Это конечно все теория... но надеюсь похожая на правду
Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:
— есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц
— есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
— администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
— никто другой не имеет никакого доступа к БД
— людей в группу TeamLead может добавлять/удалять только SalaryManager
Konstantin Trunin http://blog.trunin.com — эффективное управление людьми, проектами, собой
Здравствуйте, Joker3D, Вы писали:
JD>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:
JD>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц JD>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД JD>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)! JD>- никто другой не имеет никакого доступа к БД JD>- людей в группу TeamLead может добавлять/удалять только SalaryManager
тут нужно обходиться только безопасностью SQL?
можно ли как-то шифровать данные, чтобы, администратор получив к ним физический доступ (например для бакапа) не мог их прочитать?
Konstantin Trunin http://blog.trunin.com — эффективное управление людьми, проектами, собой
Здравствуйте, Joker3D, Вы писали:
JD>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:
JD>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц JD>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД JD>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
А что им помешает себя туда добавить, раз они администраторы домена?
JD>- никто другой не имеет никакого доступа к БД JD>- людей в группу TeamLead может добавлять/удалять только SalaryManager
Здравствуйте, Mikst, Вы писали:
M>Здравствуйте, Joker3D, Вы писали:
JD>>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:
JD>>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц JD>>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД JD>>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
M> А что им помешает себя туда добавить, раз они администраторы домена?
Собственно поэтому я и сделал предположение что это должна быть уже не NT-аутентификация. Тогда вопрос — как правильно настроить такой сервер? И не существует ли и здесь какой-то хак?
Konstantin Trunin http://blog.trunin.com — эффективное управление людьми, проектами, собой
Здравствуйте, Joker3D, Вы писали:
JD>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:
JD>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
если они у вас действительно администраторы домена, а не ламеры, то вы не тем занимаетесь
Здравствуйте, bralgin, Вы писали:
B>Здравствуйте, Joker3D, Вы писали:
JD>>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:
JD>>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
B>если они у вас действительно администраторы домена, а не ламеры, то вы не тем занимаетесь
Ну зачем же так сразу.
У нас кстати была похожая ситуация. Есть домен, есть люди (менеджеры всякие) есть база. Админы win-домена не дураки, и именно по этой причине их требовалось оградить от доступа в базу данных (ну там сами понимаете, деньги и прочее) Естественно админ БД мог все поглядеть, но он не имел доступ к вин-домену. Все в этой схеме хорошо, пока админ БД не попил пива с админами домена
Вобщем каждый юзверь имел свои права на базу и свой пароль. и вин-домену я всеравно не доверяю.
Здравствуйте, Mikst, Вы писали:
M>А так, заводи группы прямо в SQL, и там раздавай права, M>правда не знаю что точно делать с NT аутентификацией, чтобы админы то в базу не попали, видимо ее придется выключить.
вопрос: достаточно ли выкинуть BUILTIN\Administrators из Logins? или нужно еще что-то делать?
M>соответственно получаем следующие пожелания: M>— есть группа "TeamLead" людей которые имеют full access на набор таблиц M>— есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД M>— людей в группу TeamLead может добавлять/удалять только SalaryManager
M> в базе группа TeamLead, у нее права на нужные таблицы. M> SalaryManager имеет права на изменение этой группы и является админом бд (ну или просто имеет права на все таблицы)
M>Это конечно все теория... но надеюсь похожая на правду
Если администратор имеет физический доступ — можно ли как-то зашифровать БД?
Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt)
кто-то пробовал проделать подобное?
Konstantin Trunin http://blog.trunin.com — эффективное управление людьми, проектами, собой
Здравствуйте, Joker3D, Вы писали:
JD>Здравствуйте, Mikst, Вы писали:
M>>А так, заводи группы прямо в SQL, и там раздавай права, M>>правда не знаю что точно делать с NT аутентификацией, чтобы админы то в базу не попали, видимо ее придется выключить. JD>вопрос: достаточно ли выкинуть BUILTIN\Administrators из Logins? или нужно еще что-то делать?
вот чего не знаю — того не знаю
MJD>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?
JD>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt) JD>кто-то пробовал проделать подобное?
Если имеет доступ в железу, то только шифрование (ну или 10КВольт на дверь )
Отобрать у админов логины на эту машину, включить шифрование в NTFS (ну или внешнее поставить) . Но в любом случае, ключ для расшифровки будет хранится на этой машине — соответственно сделав полную копию и потратив некоторое кол-во времени, можно все выудить, это уже вопрос знаний админа. Так что лучше машину под замок и сторожа дядю Ваню к ней приставить.
Здравствуйте, Joker3D, Вы писали:
JD>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?
JD>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt) JD>кто-то пробовал проделать подобное?
Наймите надежного админа, которому будете доверять. Все остальное от недопонимания, что такое админ домена.
Здравствуйте, bralgin, Вы писали:
B>Здравствуйте, Joker3D, Вы писали:
JD>>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?
JD>>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt) JD>>кто-то пробовал проделать подобное?
B>Наймите надежного админа, которому будете доверять. Все остальное от недопонимания, что такое админ домена.
Спасибо за предложение. В другой жизни я так и сделаю.
Однако сейчас есть предельно конкретная задача которую нужно решить.
Konstantin Trunin http://blog.trunin.com — эффективное управление людьми, проектами, собой
Здравствуйте, Joker3D, Вы писали:
JD>Здравствуйте, bralgin, Вы писали:
B>>Здравствуйте, Joker3D, Вы писали:
JD>>>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?
JD>>>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt) JD>>>кто-то пробовал проделать подобное?
B>>Наймите надежного админа, которому будете доверять. Все остальное от недопонимания, что такое админ домена.
JD>Спасибо за предложение. В другой жизни я так и сделаю. JD>Однако сейчас есть предельно конкретная задача которую нужно решить.