Jak zezwolić użytkownikowi programu SQL Server na wstawianie/aktualizowanie/usuwanie danych, ale nie modyfikowanie schematu?

Question

Moja aplikacja (C#, ASP.Net) musi wstawiać, aktualizować i usuwać dane w bazie danych oraz uruchamiać procedury składowane. Muszę uniemożliwić mu modyfikację schematu DB - bez zmieniania tabel, tworzenia lub upuszczania, bez zmian w procedurach przechowywanych.

Jaką kombinację uprawnień muszę przyznać użytkownikowi aplikacji? Po prostu "wybierz" nie będzie działać, ponieważ musi wstawić/zaktualizować/usunąć dane w tabelach.

Jak sprawdzić uprawnienia i dostęp do określonego loginu? Jak przyznawać lub odmawiać uprawnień i dostępu do logowania? Muszę dać uprawnienia nowemu użytkownikowi (loginowi), aby uzyskać dostęp tylko do jednej bazy danych.

Korzystanie z SQL Server 2008 R2, z SSMS.

Answer 1

Jeśli naprawdę chcą kontrolować to na poziomie obiektu, można zrobić:

GRANT SELECT,UPDATE,INSERT,DELETE ON dbo.table TO user; 

Na poziomie schematu:

GRANT SELECT,UPDATE,INSERT,DELETE ON SCHEMA::dbo TO user; 

Idealnie jednak, byś nie pozwalają DML ad hoc przeciwko tabelom i kontrolować wszystkie DML za pomocą procedur przechowywanych. W takim przypadku po prostu trzeba przyznać exec na samej procedury, a nie do obiektów dotyka:

GRANT EXEC ON dbo.procedure TO user; 

Podobnie, jeśli chcesz zezwolić exec na temat wszystkich procedur w określonym schemacie, można powiedzieć:

GRANT EXEC ON SCHEMA::dbo TO user; 

Jedynym wyjątkiem jest sytuacja, gdy procedura składowana tworzy dynamiczny kod SQL. W takich przypadkach może być konieczne zastosowanie uprawnień do tabel podstawowych w kontekście dynamicznego wykonywania instrukcji SQL lub może być możliwe użycie EXECUTE AS OWNER.