Travaux pratiques : TP1

gestion droits Dure : 20 minutes

Objectifs: A la fin de ce TP, vous saurez :

Affecter des droits Vrifier les droits dun utilisateur

Affecter les droits suffisants

Le but ici est d'affecter les droits en respectant la rgle : "Pour chaque rle, on ne doit fournir que les droits ncessaires et suffisants l'excution des diffrentes tches". Pour cela, nous allons utiliser deux connections diffrentes la base de donnes : La premire nous servira affecter les droits La deuxime nous servira vrifier les droits d'un utilisateur particulier

1. Ouvrez une premire connexion (utilisateur dont on veut vrifier les droits) :

cliquez sur "Connect" entrez les informations de connection (serveur, login, mot de passe...)

Sauf cas particuliers, les objets qui apparaissent sont ceux pour lesquels l'utilisateur connect a les droits d'accs.

Si l'utilisateur a le droit VIEW DEFINITION (octroy par l'instruction GRANT VIEW DEFINITION), l'utilisateur aura en plus la possibilit de voir des objets auxquels il n'a pas accs (c'est un des cas particuliers mentionn prcdemment).

Si un objet n'apparat pas, c'est que l'utilisateur n'a pas les droits suffisants. Nous allons donc ouvrir une autre connexion afin d'affecter les droits manquants.

2. Ouvrez une deuxime connexion (utilisateur avec pouvoirs) :

cliquez sur "Connect" loguez-vous en tant que super utilisateur ("sa", ou autre utilisateur avec pouvoirs)

Grce cette connexion, il est possible de grer les droits, Aprs avoir modifiez les droits, vous pouvez vrifier que l'utilisateur en question a bien accs aux objets dsirs. Pour cela, slectionnez la premire connexion (utilisateur dont on veut vrifier les droits), et rafrachissez l'affichage (bouton droit > Proprits > Refresh). Grce cette technique (utilisation de deux connexions : l'une pour affecter les droits, l'autre pour vrifier que les droits affects sont les bons), il est possible d'affecter les droits de manire trs fine (et de ne donner que les droits ncessaires).

Connatre les droits au niveau applicatif

Dans SQL Server, il existe un certain nombre de vues systmes qui permettent de connatre les droits affects. Par exemple grce aux vues sys.database_principals et sys.database_role_members, il est possible de savoir quels rles appartiennent les diffrents utilisateurs.

Ceci peut se rvler utile au niveau applicatif : en fonction des diffrents rles attribus, on peut activer ou dsactiver certaines options dans l'interface utilisateur.

Travail a faire : Faite une connexion a votre serveur en utilisant une connexion avec pouvoir (par exemple le compte administrateur windows) si ctait le compte administrateur pendant linstallation de sql server 2008

Vous crer une connexion (login1) Vous faite le mappage sur une base de donnes de votre choix cette opration de mappage cre un utilisateur qui a le mme nom (login1) dans la base de donnes choisie

Sur la barre des tches il est affich le nom de la connexion et la base de donnes active Maintenant sur la mme instance vous ouvrez une connexion avec login1

puis

Une fentre vous demande de saisir un nouveau mot de passe (car au moment de la cration de la connexion login1 on a choisi loption avec expiration de mots de passe )

A ce niveau vous spcifiez votre nouveau mot de passe puis OK A ce stade vous avez deux connexions

Avec Connexion Login1 : Que remarquez vous si vous tentez daccder a une base de donnes diffrente a la base vente ?

Important :

Pour avoir la possibilit de faire une modification sur les tables aprs leur cration Il faut dcocher (Empcher lenregistrement de modifications qui ncessitent une recration de table) Qui se trouve dans le volet outilsoptiondesignersconcepteur de base de donnes