Skip to main content

Nastavení práv na relační databáze

Nastavení práv je nutno provést, pokud byly pro restore databází použity zálohy vytvořené na jiném serveru, případně pokud byly tyto zálohy v okamžiku, kdy skupinám BNSUsers a BNSAdmins ještě nebyla práva nastavena. 

Pokud byly pro restore použity zálohy vytvořené na daném serveru (a to v okamžiku, kdy na databáze byla již práva nastavena), pak se ze zálohy databáze obnoví včetně potřebných nastavení práv. V tomto případě je ale vhodné po provedení restore databází zkontrolovat, že jsou níže popsaná práva příslušným skupinám uživatelů skutečně přiřazena. 

Skupina všech uživatelů BNS (BNSUsers)

Jedná se o lokální skupinu, do které budou zařazováni všichni uživatelé BNS. Je to skupina využívaná pro obecná nastavení v BNS. Pokud je pro všechny uživatele BNS vytvořena také doménová skupina, pak se do této lokální skupiny zařazuje jen tato doménová skupina.

Založení (registrace) skupiny všech uživatelů BNS v SQL Serveru 

embedded-image-hehjhpsl.png 

embedded-image-uc3ptryk.png 

Vzhledem k tomu, že budeme registrovat lokální skupinu, nemusíme zadávat účet pro čtení ActiveDirectory a tedy pokračujeme stiskem tlačítka „Cancel“:

embedded-image-nn9rbgnt.png 

Je nutno doplnit, že budeme prohledávat skupiny uživatelů (typ objektu „Groups“):

embedded-image-znszizld.png 

embedded-image-kkt1urxc.png 

Ponecháme, že skupinu uživatelů budeme hledat na lokálním počítači (tedy BNS1-DS), zadáme požadovanou skupinu (BNSUsers) a necháme ověřit její existenci:

embedded-image-y3mge1oz.png 

Pokud dojde k úspěšnému ověření, je ověřovaná skupina (případně uživatel) podtržena a můžeme pokračovat pomocí tlačítka „OK“: 

embedded-image-izvxpvjv.png 

A registraci loginu dokončíme:

embedded-image-qlavepke.png

Nastavení práv skupině všech uživatelů BNS

Této skupině se přiřazují práva jen na aplikační databázi BNS (tedy databázi BNS-CPO). Požadované právo je dáno databázovou rolí „bnsUser“:

embedded-image-gcsk34wq.png

embedded-image-qciojkwt.png

Skupina administrátorů BNS (BNSAdmins)

Jedná se opět o lokální skupinu, do které budou zařazováni všichni uživatelé BNS (v případě existence doménové skupiny pro administrátory BNS opět jen tato doménová skupina), kteří mají mít z pohledu dat neomezená oprávnění (tedy z pohledu relačních databází BNS jsou to uživatelé, kteří mají práva i na spouštění „ručních“ (tj. neplánovaných) aktualizací datového skladu). 

Založení (registrace) skupiny administrátorů BNS

Postup je stejný, jako u skupiny pro všechny uživatele BNS 

Nastavení práv skupině administrátorů BNS

Vzhledem k tomu, že všichni tito uživatelé jsou zároveň ve skupině všech uživatelů BNS, tak této skupině stačí nastavit jen rozšiřující práva. Tj. práva na databázi datového skladu BNSI (BNSI-CPO). Konkrétně se jedná o přiřazení databázové role „bnsi_updater“:

embedded-image-ihnn2f5k.png 

Uživatelský účet pro aktualizace (process) analytické databáze (BNSCPOasdb)

Jedná se o účet, pod kterým budou při aktualizacích (případně vytvoření/modifikacích) analytické databáze probíhat tyto akce:

  • vytváření WriteBack tabulek v databázi BNSO-CPO
  • čtení a zápisy dat do WriteBack tabulek v databázi BNSO-CPO
  • čtení dat z datového skladu, tedy databází BNSO-CPO (resp. BNSI-CPO) a jejich zápis do analytické databáze CPO

Z důvodu ochrany dat je pro tyto akce využíván specifický účet SQL serveru založený přímo pro tyto účely a jeho heslo znají jen vybraní „administrátoři“. 

Založení (registrace) uživatele BNSCPOasdb

Na rozdíl od Windows účtů vyplníme „Login name“ přímo a nastavíme i další parametry:

embedded-image-zpmoqu3c.png

Nastavení práv uživateli BNSCPOasdb

Na databázi datového skladu BNSI-CPO jsou dostatečná práva (číst data z databáze) obsažena v roli „db_datareader“:

embedded-image-rkfn58mq.png 

Na databázi BNSO-CPO jsou pak krom práv „čtení“ nutná i práva pro „zápis“ a „vytváření tabulek“ (z důvodu WriteBack tabulek). Tedy krom role „db_datareader“ jsou to i role „db_datawriter“ a „db_ddladmin“:

embedded-image-fgl3mrjj.png


 

Back to top