Преимущества ролевой модели доступа

Роли уровня базы данных позволяют достичь следующих преимуществ:

1. Обеспечить простой способ предоставления прав сотрудникам к объектам баз данных, без необходимости детализации прав каждого.
2. Добавлять пользователей в доменную группу, сопоставленную ролям в базах данных, может непосредственно сам руководитель.
3. Гибкость и простота объединения в роль логинов доменных и локальных учёток, а также собственных логинов SQL Server.
4. Простая для понимания форма описания прав и выдачи\согласования разрешений.
5. Управление доступом пользователей в единой точке – AD.
6. Простой способ отзыва всех разрешений и прав отключением доменной учётки.
7. Снижение нагрузки на системные метаданные SQL Server за счёт уменьшения числа логинов и пользователей.

Использование пользователей и локальных групп Windows, а также доменных групп позволяет администратору SQL Server создать мощную и гибкую модель безопасности.

Пронумерованные на рисунке действия обозначают следующее:

1. Пользователи и доменные группы в каждом трастовом домене назначаются на доменные группы Windows или сопоставляются логинам MSSQL.
2. Доменные группы трастовых доменов могут помещаться в локальные группы Windows.
3. Локальной группе Windows с учётками трастовых доменов предоставляются права на вход в SQL Server, для группы создаётся логин.
4. Логинам локальных групп Windows с учётками и группами домена, а также доменным группам и учёткам предоставляются права доступа к соответствующим базам данных. Эта локальная группа Windows не может быть той же самой, что и используемая для предоставления прав логинам на Шаге 3. Поэтому, Шаги 1 и 2 часто повторяются, чтобы сгруппировать пользователей в соответствии с требуемыми разрешениями доступа. При необходимости, логины могут объединяться в серверные роли, если необходимы разрешения уровня сервера.
5. Логинам локальных групп Windows, доменных групп и логинам SQL Server назначаются пользователи базы данных.
6. Пользователи базы данных добавляются в роли уровня базы данных. Этим ролям назначается необходимый набор разрешений на определенные объекты базы данных.