Как в mssql сделать так, что бы пользователь не мог видеть определенные базы совсем?

Question

[mr_blond97]

В mssql получается настроить доступы так, что бы пользователь не мог читать базы к которым у него нет доступа. Но проблема заключается в том что пользователь может видеть эти базы. Как в mssql сделать так, что бы пользователь не мог видеть базы, к которым у него нет доступа совсем?

Answer 1

[Aleksey Ratnikov]

Очень важно понимать различие между пользователем и логином в SQL Server. Тут используется двухуровневая система аутентификации: логин (Security - Logins) используются для входа в инстанс (запущенный экземпляр БД, их может быть несколько на одной машине) сервера. Для логинов сущесвуют роли и права, связанные с администрированием и получением информации об инстансе. Пользователи (Databases - Security - Users) существуют на уровне базы данных, у них также есть свои роли и права, связанные с взаимодействием базой данных. То, что вы хотите сделать - это запретить логину видеть все базы данных, если он не сисадмин и не является владельцем какой-либо базы. Лучше всего это сделать при помощи создания серверной роли и включения в нее логина:

create server role blind_users;

deny view any database to blind_users;

alter server role blind_users add member login_name;

Comments

[mr_blond97]

Подскажите как в этом случае дать права только на просмотр одной из баз?

[Aleksey Ratnikov]

mr_blond97: К сожалению, так нельзя сделать в рамках одного инстанса. По умолчанию логин не имеет доступа к бд, если не настраивать мэппинг с пользователями, то есть максимум, что он может узнать - это то, что такие бд существуют. Если вам принципиально скрыть факт их существования, то будет проще установить еще один инстанс SQL Server'а на машину и перенести логин и базу в него.