1

特定のデータベースに読み取り専用ユーザーを作成するためのベスト プラクティスは何ですか?

新しいユーザーを作成し、db_datareader ロールを付与しましたが、このユーザーは master db やその他のシステム データベースにアクセスできます。それは大丈夫ですか?または、より安全にするために、一部のシステムテーブル/データベースへのアクセスも拒否する必要がありますか?

ありがとう。

新しいユーザーを作成すると、拒否しなければならないデフォルトのアクセス許可がさらに追加されますか? ~create login ~create user for login.. ~grant EXECUTE for user を行う場合

ユーザーは、EXECUTE パーミッションのみを持っていますか、それともアクティブなデータベースに対する追加のパーミッションも持っていますか?

4

2 に答える 2

0

ロール オプションとして denywrite を使用できます。マスターには、最終的に接続するデータベースのリストが含まれているため、ユーザーはマスターを「見る」必要がありますが、そこにはゲスト特権しかありません。その後、他の特定のデータベースへのアクセスを拒否できます。私の知る限り、これらにアクセスするSQLエンジンとしてtempdbまたはmsdbを確認する必要はありません

于 2013-04-25T12:41:43.190 に答える
0

こんにちは、ユーザーはオブジェクト エクスプローラーでも他のデータベースを表示できると思います。

CREATE LOGIN me with password = 'me', check_policy = off

sp_changedbowner 'me'
GO

USE MASTER
GO


DENY VIEW ANY DATABASE TO me
GO
于 2013-04-25T11:00:04.393 に答える