none
Restrizione accesso a un database SQL Server 2008 RRS feed

  • Domanda

  • Ho una applicazione che utilizza un database SQL Server 2008. Il SQl Server 2008, il Management Studio e l'applicazione vanno installata su un server del cliente e ovviamente il cliente ne é amministratore.

    Il problema é questo: abbiamo la necesistà di limitare l'accesso al database della nostra applicazione, ovvero, l'utente deve potere accedere al database della nostra applicazione solo ed esclusivamente con un utente DI SQL Server da noi fornito e che ha SOLO autorizzazioni in lettura mentre noi fornitori utilizziamo un utente DI SQL Server con altri tipi di autorizzazioni.

    Come é possibile fare questo... vedo che quando si entra con Windows Authentication si può fare qualsiasi cosa!

    Grazie dell'aiuto.  

     

    mercoledì 14 luglio 2010 08:01

Risposte

  • Dunque, se rimuovo le login... vale per TUTTI i database. Giusto?


    Certo, le login sono a livello di istanza.

    Il problema é che il cliente può liberamente disporre della sua installazione di SQL su quel server ma noi non volgiamo che abbia libero accesso solo al nostro database.

    Per rimuovere l'accesso solo al vostro db è sufficiente rimuovere lo user account mappato alla login del cliente a livello di db, ma se il cliente è sysadmin può ricreare lo user account in qualunque momento :-)

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    • Contrassegnato come risposta Anca Popa venerdì 3 dicembre 2010 12:35
    mercoledì 14 luglio 2010 08:30
    Moderatore
  • Ancora un po' di pazienza... ho installato una nuova istanza...ho anche messo come utente autorizzato solo un utente che non é quello con il quale ora ho fatto il login su Windows..  e con Windiws authentication entro dove voglio e faccio quello che voglio. Mi puoi dire cosa devo disabilitare? Grazie 

    Devi eliminare/disabilitare la login relativa all'utente/gruppo per il quale intendi inibire l'accesso all'istanza.

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    • Contrassegnato come risposta Anca Popa venerdì 3 dicembre 2010 12:35
    mercoledì 14 luglio 2010 09:49
    Moderatore

Tutte le risposte

  • Come é possibile fare questo... vedo che quando si entra con Windows Authentication si può fare qualsiasi cosa!

    Ciao,

    Rimuovi le login Windows per le quali intendi inibire l'accesso amministrativo all'istanza utilizzando SSMS o sqlcmd con il comando DROP LOGIN.

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    mercoledì 14 luglio 2010 08:21
    Moderatore
  • Grazie della risposta e dell'aiuto.

    Dunque, se rimuovo le login... vale per TUTTI i database. Giusto?

    Il problema é che il cliente può liberamente disporre della sua installazione di SQL su quel server ma noi non volgiamo che abbia libero accesso solo al nostro database.

     

    mercoledì 14 luglio 2010 08:26
  • Dunque, se rimuovo le login... vale per TUTTI i database. Giusto?


    Certo, le login sono a livello di istanza.

    Il problema é che il cliente può liberamente disporre della sua installazione di SQL su quel server ma noi non volgiamo che abbia libero accesso solo al nostro database.

    Per rimuovere l'accesso solo al vostro db è sufficiente rimuovere lo user account mappato alla login del cliente a livello di db, ma se il cliente è sysadmin può ricreare lo user account in qualunque momento :-)

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    • Contrassegnato come risposta Anca Popa venerdì 3 dicembre 2010 12:35
    mercoledì 14 luglio 2010 08:30
    Moderatore
  • Già, ma possibile che non si possa fare? Caspitina.... ma é più facile limitare l'accesso ad un databaase access che a uno SQL Server?! Veramente non capisco il ragionamento: per quale motivo non é possibile in nessun modo fare questa cosa. Pratiacamente uno esce dalla porta e rientra dalla finestra... Il server può essere SUO ma il database é MIO!

     

    mercoledì 14 luglio 2010 08:43
  • Già, ma possibile che non si possa fare? Caspitina.... ma é più facile limitare l'accesso ad un databaase access che a uno SQL Server?! Veramente non capisco il ragionamento: per quale motivo non é possibile in nessun modo fare questa cosa. Pratiacamente uno esce dalla porta e rientra dalla finestra... Il server può essere SUO ma il database é MIO!


    SQL Server è del cliente, non tuo, pertanto il cliente HA DIRITTO di fare ciò che vuole su tutti i database dell'istanza.

    Se intendi blindare il tuo db, installa una nuova istanza e nega l'accesso sysadmin al cliente.

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    mercoledì 14 luglio 2010 08:46
    Moderatore
  • Ancora un po' di pazienza... ho installato una nuova istanza...ho anche messo come utente autorizzato solo un utente che non é quello con il quale ora ho fatto il login su Windows..  e con Windiws authentication entro dove voglio e faccio quello che voglio. Mi puoi dire cosa devo disabilitare? Grazie

     

    mercoledì 14 luglio 2010 09:46
  • Ancora un po' di pazienza... ho installato una nuova istanza...ho anche messo come utente autorizzato solo un utente che non é quello con il quale ora ho fatto il login su Windows..  e con Windiws authentication entro dove voglio e faccio quello che voglio. Mi puoi dire cosa devo disabilitare? Grazie 

    Devi eliminare/disabilitare la login relativa all'utente/gruppo per il quale intendi inibire l'accesso all'istanza.

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    • Contrassegnato come risposta Anca Popa venerdì 3 dicembre 2010 12:35
    mercoledì 14 luglio 2010 09:49
    Moderatore