админы и авторизированные пользователи
От: &reY Украина http://www.livejournal.com/~1000turov/
Дата: 26.10.02 14:07
Оценка:
Привет All,

Есть такая непонятка

Есть сервер (допустим MSSQL), есть на этом сервере данные которые должны видеть только определенные пользователи

Как можно сделать так чтобы админы сервера не могли видеть эти данные, а авторизированные пользователи могли видеть

в общем подскажите правильный путь

1. это все решается простым администрированием (правда я не знаю как), но если кто скажет что по этому пути можно и нужно идти, то буду копать

2. для решения этих проблем заводят группу аудита (они то и штудируют логи и смотрят кто чем занимался)

3. все переносят на клиент, т.е на сервере хранят в табличках все в зашифрованном виде, а на клиенте уже занимаются шифрованием и разшифрованием (меня этот путь пока что совсем не прельщает)
Re: админы и авторизированные пользователи
От: Алекс Россия http://wise-orm.com
Дата: 27.10.02 12:10
Оценка:
Здравствуйте &reY, Вы писали:

[]

&Y>1. это все решается простым администрированием (правда я не знаю как), но если кто скажет что по этому пути можно и нужно идти, то буду копать

А нельзя сделать так:
1. Заводим роль (sp_addrole)
2. Добавляем в нее всех админов (sp_addrolemember)
3. DENY SELECT ON [table|view] TO <эта самая роль>

Правда не думаю, что это поможет, т.к. сисадмины всегда могут сделать REVOKE.
Re: админы и авторизированные пользователи
От: Lexey Россия  
Дата: 28.10.02 07:54
Оценка: 10 (1)
Здравствуйте &reY, Вы писали:

&Y>Есть сервер (допустим MSSQL), есть на этом сервере данные которые должны видеть только определенные пользователи

&Y>Как можно сделать так чтобы админы сервера не могли видеть эти данные, а авторизированные пользователи могли видеть

&Y>в общем подскажите правильный путь

&Y>1. это все решается простым администрированием (правда я не знаю как), но если кто скажет что по этому пути можно и нужно идти, то буду копать

Не получится. Админы на то и админы, что всегда могут поменять права.

&Y>2. для решения этих проблем заводят группу аудита (они то и штудируют логи и смотрят кто чем занимался)

Это вариант, но тут ты только по факту сможешь определить доступ к информации. Да и логи в принципе можно подчистить.

&Y>3. все переносят на клиент, т.е на сервере хранят в табличках все в зашифрованном виде, а на клиенте уже занимаются шифрованием и разшифрованием (меня этот путь пока что совсем не прельщает)

Единственно надежный вариант.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.