{"id":2814,"date":"2009-05-16T10:54:30","date_gmt":"2009-05-16T08:54:30","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/?p=2814"},"modified":"2009-05-19T12:42:59","modified_gmt":"2009-05-19T10:42:59","slug":"standardisierte-rechte-generieren","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2009\/05\/16\/sql-talk\/standardisierte-rechte-generieren","title":{"rendered":"standardisierte Rechte generieren"},"content":{"rendered":"

Normalerweise sollen die Anwender nur über die vorgegebenen Schnittstellen Daten aus der Datenbank auslesen oder ändern. Daher arbeiten etliche Anwendungen über SQL-Funktionsuser oder Application-Roles. Wenn die Kunden aber einen Teil der Daten direkt lesen müssen, dann lohnt es sich dafür spezielle Views einzurichten, die quasi eine Schnittstelle liefern, die man über die Versionszyklen konstant halten kann, egal wie sich die zugrunde liegende Tabellenstruktur verändert. Dann kann man Datenbank-Rollen einrichten, die auf diese Views Zugriff haben. Zu Beginn der Woche diskutierten wir in einem Kurs, ob man die Rechte für die Gruppe dann automatisch generieren kann.<\/p>\n

Wenn man die Views anhand des Names erkennen kann, dann ja. Dazu muss man die Systemtabellen auslesen und eine entsprechende Rolle anlegen. Die GRANT-Befehle kann man ganz einfach generieren. Dabei muss man nur beachten, dass seit SQL-Server-2005 immer "Schema.Name" angegeben wird, nicht mehr "Owner.Name":<\/p>\n

SELECT N'GRANT SELECT ON ['+s.name+N'].['+o.name+N'] TO [Reader_Role] -- Owner: '
\n\t\t+user_name(ISNULL(o.principal_id,s.principal_id)) AS [SqlCmd]
\n\tFROM sys.objects AS o
\n\tJOIN sys.schemas AS s
\n\t\tON (o.schema_id=s.schema_id)
\n\t\tWHERE o.type = 'V'
\n\t\t AND o.name LIKE 'Reader[_]%'<\/code><\/p>\n

Im folgenden Beispiel wird auch noch die Rolle angelegt und der komplete SQL-Batch als Ergebnis geliefert:<\/p>\n

SELECT [SqlCmd]
\nFROM (
\n\tSELECT 0 AS OrderNo, N'IF user_id(''[Reader_Role]'') IS NULL
\n\t\tCREATE ROLE [Reader_Role] AUTHORIZATION Thomas;' AS [SqlCmd]
\n\tUNION ALL
\n\tSELECT\tROW_NUMBER() OVER (ORDER BY s.name+o.name) AS OrderNo,
\n\t\t\tN'GRANT SELECT ON ['+s.name+N'].['+o.name+N'] TO [Reader_Role]; – Owner: '
\n\t\t\t+user_name(ISNULL(o.principal_id,s.principal_id)) AS [SqlCmd]
\n\t\tFROM sys.objects AS o
\n\t\tJOIN sys.schemas AS s
\n\t\t\tON (o.schema_id=s.schema_id)
\n\t\tWHERE o.type = 'V'
\n\t\t AND o.name LIKE 'Reader[_]%'
\n\t \t\t ) AS T
\nORDER BY OrderNo <\/code><\/p>\n

Das Ergebnis muss man dann nur noch auffangen und von einem Benutzer mit ausreichenden Rechten ausführen lassen, z.B. dem Besitzer der Datenbank oder einen anderen DDL-Admin. Das sieht zum Beispiel so aus:<\/p>\n

IF user_id('[Reader_Role]') IS NULL
\n\t\tCREATE ROLE [Reader_Role] AUTHORIZATION Thomas;
\nGRANT SELECT ON [Music].[Reader_Albums] TO [Reader_Role]; – Owner: Thomas
\nGRANT SELECT ON [Music].[Reader_Songs] TO [Reader_Role]; – Owner: Thomas
\nGRANT SELECT ON [Music].[Reader_Singers] TO [Reader_Role]; – Owner: Thomas <\/code><\/p>\n

Viel Erfolg.<\/p>\n","protected":false},"excerpt":{"rendered":"

Normalerweise sollen die Anwender nur über die vorgegebenen Schnittstellen Daten aus der Datenbank auslesen oder ändern. Daher arbeiten etliche Anwendungen über SQL-Funktionsuser oder Application-Roles. Wenn die Kunden aber einen Teil der Daten direkt lesen müssen, dann lohnt es sich dafür spezielle Views einzurichten, die quasi eine Schnittstelle liefern, die man über die Versionszyklen konstant halten […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[499,929],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/2814"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=2814"}],"version-history":[{"count":12,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/2814\/revisions"}],"predecessor-version":[{"id":2825,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/2814\/revisions\/2825"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=2814"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=2814"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=2814"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}