08 pravila za dostap

1. Професионална гимназия по механотехника и електротехника "М. В. Ломоносов" - гр. Добрич
www.pglomonosov.org
Красимир Дойчев Правила за достъп до обекти и конструкции. Неявни права 1 от 3
Тема 8. Правила за достъп до обекти и конструкции. Неявни права.
инж. Красимир Дойчев kdoychev@gmail.com
В урока „Преглед на сигурността” се запознахте с начина за задаване на
разрешенията, но не ви беше обяснен смисъла на различните разрешения: BACKUP,
UPDATE, INSERT, DELETE, EXECUTE, CREATE, SELECT, както и смисъла на трите
състояния на разрешенията: предоставяне (Grant); отказ (Deny) и отнемане (Revoke).
Целта на настоящия урок е: Разширяване на знанията и уменията за гарантиране
сигурността в сървъра на РБД, чрез запознаване с разрешенията за обекти и
конструкции, както и с неявните разрешения; придобиване на знания за трите
състояния на разрешенията: предоставяне, отказ и отнемане.
Задачи:
1. Запознаване със състоянията на разрешенията.
2. Определяне на действителното състояние на разрешенията за потребителя, в
зависимост от разрешенията, които са му предоставени директно и разрешенията на
групите и ролите, в които потребителят членува.
3. Запознаване с разрешенията за обекти, конструкции и неявни разрешения
1. Състояния на разрешенията
Съществуват три състояния на разрешенията:
 предоставяне (Grant);
 отказ (Deny);
 отнемане (Revoke).
Когато изпълните предоставяне на разрешение (Grant), на потребителя, групата
или ролята (акаунт на системата за сигурност) се присвоява явно това разрешение.
Когато изпълните отнемане на разрешение (Deny), разрешението се премахва от
акаунта на системата за сигурност.
Когато изпълните отказ на разрешение (Revoke), явно се създава ограничение на
акаунта на системата за сигурност за съответното разрешение.
Разрешенията за потребители представляват сбора от всички разрешения, които
се присвояват директно или на потребител, или на група или роля, на които
потребителят е член. SQL Server обработва първо състоянията отказ на разрешения,
които отменят разрешенията, предоставени другаде. Следователно, ако един
потребител наследи това състояние на разрешения, или ако то директно се присвои на
съответния потребител, всички други разрешения не могат да се приложат. Например
да предположим, че на User0l е предоставено разрешение SELECT за Table01, a User01
е член на Group01, на която е предоставено разрешение INSERT за Table01. Вследствие
на това действителните права на акаунта за потребител са SELECT и INSERT за
Table01. Ако обаче Group01 е член на Role01, на която е присвоен отказ за
разрешенията SELECT и INSERT за Table01, User01 няма да може да чете или добавя в
Table01.

2. Професионална гимназия по механотехника и електротехника "М. В. Ломоносов" - гр. Добрич
www.pglomonosov.org
Красимир Дойчев Правила за достъп до обекти и конструкции. Неявни права 2 от 3
2. Разрешения за конструкции и разрешения за обекти. Неявни (косвени) права
В SQL Server съществуват три вида разрешения:
 за обекти;
 за конструкции;
 косвени.
2.1. Разрешенията за обекти се прилагат към обектите на базата данни и са
различни за различните обекти. Например можете да присвоите разрешение
EXECUTE за съхранена процедура и разрешение SELECT за таблица.
За обекти се използват следните разрешения:
 SELECT - Четене на таблици, изгледи и колони от таблиците и изгледите;
 UPDATE - Модифициране на таблици, изгледи и колони от таблиците и
изгледите;
 INSERT - Добавяне на таблици, изгледи и записи от тях;
 DELETE - Премахване на таблици, изгледи и записи от тях;
 EXECUTE - Изпълнение на съхранени процедури;
2.2. Разрешенията за конструкции се прилагат към конструкциите в Transact-SQL
CREATE и BACKUP, които се изпълняват спрямо база данни.
 CREATE е разрешение за създаване на база данни, таблица, изглед,
съхранена процедура, подразбираща се стойност, правило и функция
 BACKUP е разрешение за архивиране на файловете на базата данни и
файловете-дневници
Например разрешението за конструкция CREATE TABLE позволява на един
потребител да създава таблици в база данни.
2.3. Косвените разрешения се присвояват на собственици на обекти, фиксирани
роли за сървър и фиксирани роли за база данни и не могат да бъдат отнети от
собствениците или ролите.
Някои от косвените разрешения за конструкции се присвояват само чрез
членството във фиксирана роля. Например, даден потребител трябва да бъде член на
фиксираната роля за сървър ServerAdmin, за да може да изпълнява конструкция
SHUTDOWN. Членовете на фиксираната роля за сървър sysadmin наследяват
автоматично пълни разрешения да правят или да виждат всичко в SQL Server.
Собствениците на обекти на бази данни също имат косвени разрешения, които
им позволяват да изпълняват всички дейности с обекта, на който са собственик.
Например, потребител, който притежава таблица, може да преглежда, добавя или
изтрива данни, да променя дефинициите на таблицата или управлява разрешенията,
които позволяват на други потребители да работят с таблицата.
Обобщение
Съществуват три състояния на разрешенията: предоставяне (Grant); отказ
(Deny); отнемане (Revoke). Разрешенията за потребители представляват сбора от

3. Професионална гимназия по механотехника и електротехника "М. В. Ломоносов" - гр. Добрич
www.pglomonosov.org
Красимир Дойчев Правила за достъп до обекти и конструкции. Неявни права 3 от 3
всички разрешения, които се присвояват директно или на потребител, или на група или
роля, на които потребителят е член.
В SQL Server съществуват три вида разрешения: за обекти; за конструкции;
косвени. За обекти се използват следните разрешения: SELECT - Четене; UPDATE -
Модифициране; INSERT - Добавяне; DELETE - Премахване; EXECUTE - Изпълнение
на съхранени процедури. Разрешенията за конструкции се прилагат към конструкциите
CREATE - създаване и BACKUP – архивиране на файловете на базата данни и
файловете-дневници.
Следващ урок : Създаване и редактиране на акаунти
ЛИТЕРАТУРА
1. Microsoft. MSCE Microsoft SQL Server 2000 Проектиране и реализация на бази
данни Training kit. С., Софтпрес, 2001.