0

サーバーにソフトウェアをセットアップするサードパーティベンダーがあります。彼らは、sa アカウントを使用して、そのサーバーとそのサーバー上の sql-server に完全にアクセスできます。トリガーがリモート マシン上のデータを更新できるように、リンク サーバーをセットアップしたいと考えています。sa アカウントへのアクセスは、リンクされたサーバーへの完全なアクセス権を持っていることを意味しますか、それとも sa から身を守る方法はありますか?

編集: 彼らに完全な責任を持たせたいので、彼らにサーバーの完全な制御を与えたかったのです。それが機能しなくなったとき、それは私たちの責任を取り除きます。「ねえ、私たちはそれに触れていません。あなたはそれを修正します。あなたには完全な権限があります」. そうすれば、ソフトウェアを機能させるために必要なことは何でもできますが、それはサンドボックス環境にあります。データベースから最終的なレコードを取得し、本番データベースに挿入するためのトリガーが必要なだけです。それには、私たちが彼らに与えたくない権限が必要です。質問は、その鼻の下のサンドボックス環境でパスワードを保存する方法があるかどうかを尋ねることを意図していました. いわば。

4

2 に答える 2

4

SAアカウントへのアクセスを誰にも許可しないでください。

代わりに、完全なシステムレベルの権限がある場合でも、名前付きのユーザーアカウントを付与します。

次に、リンクサーバーは、もう一方の端で名前付きユーザーになりすますことができる名前付きユーザーでセットアップされます。最初のサーバーで完全な権限を持つアカウントを持っている場合は、他のサーバーにアクセスできます。リモートサーバーへのアクセスを許可されているユーザーアカウントのパスワードを変更するのと同じくらい簡単です。

それは私たちを別の項目に導きます:彼らが箱を所有していない限り、外部の実体に何かに対する完全な権利を決して与えないでください。奇妙な理由で他に選択肢がない場合は、このサーバーから本番サーバーにデータを転送する別の方法を見つける必要があります。

1つの方法は、リモートサーバーがピックアップを監視するディレクトリにデータをドロップするSSISパッケージを設定することです。確かにこれはもう少し複雑さを追加しますが、最終的にはあなたのものがまだ安全であることを意味します。

最後に、リンクサーバーは一般的に不安定なことで有名です。SSISメソッドを使用するなど、データを転送する別の方法を見つける方がはるかに優れています。

于 2010-12-30T16:44:16.247 に答える
3

名前付きユーザーを使用するようにリンク サーバーを設定できます。サード パーティの請負業者は引き続きリンクの「反対側」を見ることができますが、その名前付きユーザーに付与された権限のみが必要です。

于 2010-12-30T16:20:23.853 に答える