V administraci SQL Server existují 2 pojmy, které si mezi sebou můžeme snadno splést. Jde o SQL Login a SQL User. V minulém článku jsme se blíže podívali na Login a zde se budeme věnovat SQL Userovi.
SQL User – uživatel
Zatímco SQL Login slouží k příhlášení k SQL Serveru a definuje oprávnění na úrovni serveru, tak SQL User je definován až na úrovni databáze a slouží k definici oprávnění hromadně na úrovni jednotlivých databází nebo jednotlivých objektů v databázi – např práva pro čtení, zápis, prohlížení kódu, exekuci procedur, manipulaci s tabulkami, apod.
SQL User musí mít nejprve založen Login. Je to logické, protože pomocí loginu se připojujete k SQL Serveru a bez něj se na Server vůbec nedostanete. V momentě, kdy máte založen login, tak s ním můžete pracovat a namapovat login na jednotlivé databáze. V Server security – Logins poklikáte na daný login a v sekci User mapping přidělíte loginu přístup pro jednotlivé databáze. Nad každou databází si pak můžete zvolit z defaultních rolí, kterou loginu přidělíte. Po potvrzení se automaticky založí User. Můžete si to zkontrolovat nad příslušnou databází v sekci Security – Users. 1 Login může být namapován na více Users.
Databázové role, které lze přiřadit uživatelům
- db_owner – Nejsilnější databázová role, může dělat cokoliv v databázi
- db_securityadmin – Spravuje role a práva v rámci databáze
- db_accessadmin – Umožňuje uživateli přidávat nebo odstraňovat ostatní uživatele, NT groups
- db_backupoperator – Umožňuje provádět zálohování a obnovy ze zálohy
- db_ddladmin – oprávnění, které umožňuje uživatelům vykonávat DDL (data definition language) operace v rámci databáze. Mezi DDL patří CREATE, DROP, ALTER, TRUNCATE
- db_datareader – časté oprávnění pro non IT uživatele, které umožňuje prohlížet data v jakékoliv tabulce na úrovni dané databáze
- db_datawriter – oprávnění umožňující vkládat, mazat nebo měnit obsah tabulek
- db_denydatareader – zakáže uživateli číst z tabulek
- db_denydatawriter – zakáže uživateli vkládat, mazat nebo měnit obsah tabulek
Kromě defaultních databázových rolí je samozřejmě možné vytvořit vlastní role.
SQL Script na vytvoření Usera (Create User)
CREATE USER User FOR LOGIN [Login];
EXEC sp_addrolemember ‘db_datareader’, ‘User’