После нескольких поисков Google и быстрого рассмотрения здесь вопросов я не могу найти то, что, как я думал, будет ответом кулинарной книги для разрешений SQL Server.Соответствующие разрешения для SQL Server для разработчиков
Как я часто вижу в небольших магазинах, большинство разработчиков здесь использовали учетную запись администратора для SQL Server при разработке. Я хочу настроить роли и разрешения, которые я могу назначить разработчикам, чтобы мы могли выполнить наши задания, но также делать это с минимальными разрешениями. Может ли кто-нибудь предложить советы о том, какие разрешения SQL Server назначить?
Компоненты:
- SQL Server 2008
- службы отчетов SQL Server (SSRS) 2008
- службы интеграции SQL Server (SSIS) 2008
Платформы:
- Производство
- Постановка/QA
- Разработка/интеграция
Мы бежим «Mixed Mode» безопасность из-за некоторых устаревших приложений и сетей, но переходят на Windows, Авт. Я не уверен, действительно ли это влияет на настройку роли.
Я планирую настроить доступ для разработчиков к базам данных Prod и Staging/QA как только для чтения. Тем не менее, я все еще хочу, чтобы разработчики сохраняли возможность запуска профилирования.
Нам нужны учетные записи развертывания с более высокими уровнями привилегий. В настоящее время мы пытаемся выяснить, какие именно привилегии необходимы для развертывания пакетов SSIS.
Внутри сервера разработки разработчикам нужны широкие привилегии. Тем не менее, я не уверен, что просто сделать их всеми админами - действительно лучший выбор.
Трудно поверить, что никто не опубликовал достойный примерный сценарий, который устанавливает такие роли с хорошим набором соответствующих разрешений для разработчиков и развертывателей.
Возможно, мы все-таки исправим все это, заблокировав вещи, а затем добавив разрешения, когда мы обнаружим необходимость, но это будет слишком большой PITA для всех.
Может ли кто-нибудь указать мне или предоставить хороший пример для разрешений для этих ролей на этих платформах?
Что делают разработчики? Создать таблицы? Индексы? Хранимые процедуры? Создать скрипты для заполнения таблиц? Могут ли они удалять таблицы или sprocs? Могут ли они предоставить разрешения? Могут ли они добавлять логины и роли? Широкие вариации в том, что могут сделать разработчики, могут объяснить, почему здесь нет стандартного ответа. – DOK
Все вышеперечисленное, кроме логинов, на сервере Dev DB. Вероятно, вы правы, DOK, поэтому нет стандартного ответа. Во многих небольших магазинах разработчиками являются админы на dev-сервере. Я искал набор разрешений, который предоставил бы им административные возможности в большинстве случаев, но отказывал им в самых рискованных операциях (например, создавать логины). Итак, я буду реализовывать первое хорошее предположение, а затем пройти процесс PITA по добавлению привилегий, когда мы сталкиваемся с стенами в неправильных местах. +1 для комментария, который, вероятно, является ответом. –
DOK, пожалуйста, напишите свой ответ как ответ, чтобы я мог продолжить и отметить этот вопрос, как было сказано. Я ненавижу оставлять открытые вопросы, не говоря уже о «создании щедрости». –