Module 2

Affectation de rôles de serveur et

base de données
Présentation du module

• Utilisation des rôles de serveur

• Travailler avec les rôles de base de données fixes
• Rôles de base de données définis par l'utilisateur
Leçon 1: Utilisation des rôles de serveur

• Autorisations liées au serveur

• Serveur typique - Autorisations liées
• Présentation des rôles fixes du serveur
• Rôle public du serveur
• Utilisation des rôles serveur définis par l'utilisateur
Démonstration: Assigner des rôles fixes et rôles
définis par l'utilisateur
Autorisations étendues au serveur

• Contrôler l'accès aux ressources du serveur

• Organisé comme une hiérarchie
• CONTROL SERVEUR au sommet de la hiérarchie
• L'octroi d'une autorisation à un principal du server
accorde implicitement ses autorisations descendantes
aussi
• Peut être accordée aux principals server (pas aux
principals base de données)
Serveur type - Autorisations liées

• CONTROL SERVER
• ADMINISTER BULK OPERATIONS
• ALTER ANY DATABASE
• CREATE ANY DATABASE
• ALTER ANY LINKED SERVER
• ALTER ANY LOGIN
• ALTER SERVER STATE
• VIEW SERVER STATE
• ALTER SETTINGS
• ALTER TRACE
Vue d'ensemble des rôles de serveur fixe et
permissions serveur

• sysadmin
• serveradmin
• securityadmin
• processadmin
• setupadmin
• bulkadmin
• diskadmin
• dbcreator
• Public
Rôle public serveur

• Toutes les connexions (logins) sont membres de

Public; Ce rôle définit les autorisations par
défaut accordées à toutes les connexions
• Par défaut, Public dispose des autorisations:
• CONNECT
• VIEW ANY DATABASE

• Contrôle de l'accès aux éléments sécurisables au

niveau du serveur en accordant des autorisations
à Public n'est pas la meilleure pratique.
Travailler avec les rôles de serveur définis par
l'utilisateur

• Gestion des rôles définis par l'utilisateur

• CREATE SERVER ROLE
• DROP SERVER ROLE

• Gestion des autorisations

• GRANT, REVOKE et DENY

• Gestion des membres

• ALTER SERVER ROLE
• Par défaut, les membres d'un rôle de serveur défini par
l'utilisateur n'ont pas l'autorisation d’ajouter d'autres
entités de sécurité en tant que membres du rôle
Démonstration: Assigner les rôles fixes et définis
par l'utilisateur

Dans cette démonstration, vous verrez comment

travailler avec:
• Autorisations liées serveur
• Rôles serveur fixes
• les rôles serveur définis par l'utilisateur
Leçon 2: Utilisation des rôles de base de
données fixes

• Autorisations étendues à la base de données

• Présentation des rôles de base de données fixes
• Affectation des principaux de base de données
aux rôles de base de données
• Propriétaire de la base de données
• Démonstration: gestion des rôles et des
utilisateurs de la base de données
Base de données : autorisations liées (scoped
Permissions)

• Contrôler l'accès aux ressources de base de

données
• Organisées comme une hiérarchie
• CONTROL au sommet de la hiérarchie
• CREATE DATABASE est indépendante de la hiérarchie
• L'octroi d'une autorisation à un prinicipal de base de
données accorde implicitement les autorisations de son
descendant.
• Ne peuvent être accordées explicitement qu’aux
principals de base de données
• Certaines autorisations serveur accordent
implicitement les autorisations de base de
données
Vue d'ensemble des rôles de base de données
fixes
• rôles fixes communs à toutes les bases de données:

• msdb a des rôles fixes supplémentaires pour SSIS,

collecte de données, la mise en miroir, la gestion basée
sur les politiques et groupes de serveurs
• Dans Azure Database SQL, master comprend les rôles
fixes loginmanager et DBManager
Affectation des Principaux de base de données
aux rôles de base de données

• Ajouter et supprimer des membres d'un rôle en

utilisant l'instruction ALTER ROLE
• Un élément de rôle peut être un utilisateur ou un
rôle défini par l'utilisateur
• rôles de base de données fixes ne peuvent pas
être membres d'autres rôles
• L'adhésion aux rôles de base de données ne peut
être attribuée qu’aux Principaux de base de
données.
• les Principaux de serveur ne peuvent pas
contenir comme membres des rôles de base de
données
Propriétaire de Base de données

• dbo
• utilisateur : un alias pour le login (la connexion) qui
possède la base de donnée
• Schéma par défaut dbo

• db_owner
• rôle de base de données fixe avec des autorisations
administratives pour une base de données
• dbo est un membre du db_owner
Démonstration: Gestion des rôles de base de
données et les utilisateurs

Dans cette démonstration, vous verrez comment

travailler avec des rôles de base de données et les
utilisateurs
Leçon 3: Rôles de base de données définis par
l'utilisateur

• Travailler avec les rôles de base de données

définis par l'utilisateur Application des rôles dans
la démonstration des scénarios communs: Rôles
de base de données définis par l'utilisateur
Définition des rôles de démonstration
d'application: Rôles d'application
Travailler avec les rôles de base de données
définis par l'utilisateur

• Gestion des rôles définis par l'utilisateur

• CREATE ROLE
• DROP DROP

• gestion des autorisations

• GRANT, REVOKE et DENY

• gestion des membres

• RÔLE ALTER
Application des rôles dans des scénarios
communs

• Contrôle de l'accès aux objets de base de

données
• Niveau d'objet
• Niveau schéma
• niveau de base de données

• Le contrôle d'accès à des actions au niveau de

la base de données
• Par exemple, SHOWPLAN
• Comme une couche d'abstraction
• Lorsque les détails des utilisateurs ne sont pas connus,
par exemple, au cours du développement
Démonstration: Rôles de base de données
définis par l'utilisateur

• Dans cette démonstration, vous verrez comment

travailler avec des rôles de base de données
définis par l'utilisateur
Définition des rôles d'application

• Contexte de sécurité de l'utilisateur est remplacé

par le rôle d'application
• Création de rôles d'application
• Utilisez CREATE ROLE D'APPLICATION
• Mot de passe doit respecter la politique de mot de
passe Windows
• Utilisation des rôles d'application
• Utilisation sp_setapprole
• Utiliser une connexion réseau sécurisée pour éviter les
fuites le mot de passe de rôle d'application
• Quitter l'application rôle par fermeture de la connexion
ou à l'aide sp_unsetapprole (Nécessite cookie stocké)
• Limité à invité guest l'accès aux autres bases de
données
Démonstration: Rôles d'application

Dans cette démonstration, vous verrez comment

travailler avec des rôles d'application
Lab: Affectation de rôles serveur et base de
données

• Exercice 1: Affectation des rôles de serveur

Exercice 2: Affectation de rôles de base de
données fixes Exercice 3: Affectation de rôles Base
de données définis par l'utilisateur Exercice 4:
Vérification de la sécurité

Informations de connexion
Machine virtuelle: 20764C-MIA-SQL
Nom d'utilisateur: Adventureworks \ étudiants
Mot de passe: Pa55w.rd

Temps estimé: 60 minutes

Scénario Lab

Adventure Works Cycles est un fabricant mondial,

grossiste et détaillant de produits de cycle. Suite à
un audit de sécurité interne, la société vise à
simplifier l'administration de la sécurité des bases
de données en faisant des contrôles de sécurité
plus cohérente. Vous êtes un administrateur de
base de données pour Adventure Works, chargés
de mettre en œuvre les nouveaux contrôles de
sécurité grâce à des rôles au niveau de la base de
données de niveau serveur et.
Revue de laboratoire

• Votre organisation souhaite suivre l'accès aux

données par les utilisateurs Windows individuels.
Est-ce que cela veut dire vous ne pouvez pas les
connexions de base sur les groupes de Windows?
Révision du module et plats à emporter

• Meilleur entrainement