Benutzer & Rollen

 

Beispielbenutzer erstellen mit dem Microsoft Management Studio

 
In den folgenden Schritten wird aufgezeigt, welche Einstellungen via dem Microsoft Management Studio des Microsoft SQL Server vorzunehmen sind.
Ziel ist es einen Benutzer im Microsoft SQL Server zu erstellen, der die Verwendung der Q-MATRIX ermöglicht.
Anzumerken ist bei dieser Methode, das die Feineinstellung der minimalen und notwendigen Rechte stark eingeschränkt sind.
Im nächsten Abschnitt wird dann aufgezeigt, wie die minimalen Rechte mit einer anderen Methode eingestellt werden können.
 
Nach erfolgreicher Anmeldung an einen SQL Server via dem Microsoft Management Studio wird kann ein neuer Benutzer über den Objekt-Explorer über das Kontextmenü im Bereich <SQL Server>\Sicherheit\Anmeldung erstellt werden.
Dieses Dialogfenster beinhaltet alle Elemente für das Anlegen für einen neuen Benutzer. Unter (1)  kann hier auch zwischen der Nutzung eines integrierten Microsoft SQL Server-Benutzers oder einem Microsoft Active Directory-Benutzers ausgewählt werden.
Für die SQL Server integrierten Benutzer kann im linken Bild die empfohlene Einstellung abgelesen werden.
Dafür ist unter (1) der Anmeldename oder auch die Benutzerkennung einzugeben. In (2) ist das Kennwort für diesen neuen Benutzer zweimal identisch einzugeben. Bei (3) kann der Zugriff auf eine dedizierte Datenbank reduziert werden, wodurch der Benutzer die eingestellte Rechte nur für diese Datenbank hat. Im Rahmen der Q-MATRIX ist hier die erstellte / zu verwendende Q-MATRIX Datenbank einzustellen.
Unter der Seite „Serverrollen“ können die beschriebenen Standardrollen für den Serverzugriff eingestellt werden.
Die Rolle public ist Standardmäßig immer ausgewählt und minimal beizubehalten. Sofern ein Benutzer für die initiale Datenbankerstellung von Q-MATRIX erstellt werden soll, ist hier zusätzlich die Rolle sysadmin auszuwählen.
Über die Benutzerzuordnung können die feineren Berechtigungen eingestellt werden.
 
Dafür ist zuerst via (1) die zu verwendende Datenbank auszuwählen.
 
Dadurch wird es dann via (2) möglich die weiteren Rechte einzustellen. Neben der Rolle db_datawriter muss via diese grafische Einstellung/Erstellung auch die Rolle db_owner gesetzt werden. Andere minimalen Einstellungen können mit dieser Methode nicht verwendet werden.
 
Über (3) kann zusätzlich das Schema eingestellt werden. In Q-MATRIX wird derzeit kein Schema verwendet und somit ist der Default (keine Eingabe) anzuwenden.
Das linke Fenster zeigt die verschiedenen Schema im Microsoft SQL Server auf. Für die Q-MATRIX wird kein extra Schema verwendet und das Default Schema des Benutzers dbo wird verwendet.
Die finale Einstellung ist über die Seite „Status“ zu prüfen. Dort wird eingestellt, ob der neue Benutzer sich an dem SQL Server anmelden darf und ob der Benutzer aktiv ist.
 
Sind alle diese Einstellungen in Ordnung, kann über den „OK“-Knopf das Anlegen/Erzeugen des neuen Benutzers veranlasst werden.
 
Eine weitergehende Erstellung eines Benutzers wird im folgenden Abschnitt über Transact-SQL (T-SQL) aufgezeigt.
Dies ist die einzige Methode, um einen Benutzer mit minimalen Rechte für die verschiedenen Aufgaben und Verwendung der Q-MATRIX zu erzeugen.
 
 

Transact SQL: Benutzer erstellen

 
Je nach Bedarf können für die unterschiedlichen Aufgaben (Verwendung/Betrieb, Update/Aktualisieren und initiale Erstellung) eigene Benutzer
oder auch verweise auf Microsoft Active Directory Gruppen eingestellt werden.
 
Sofern nicht drei (3) Benutzer, sondern nur zwei (2) oder gar ein Benutzer verwendet werden soll, ist die nächsthöhere Berechtigungseinstellung zu verwenden.
Folgende Benutzer und Berechtigungshierarchie kommt dafür zum Tragen:
 
1.6.1.5. Benutzer & Rollen
 
1

Standardbenutzer

 
 
Folgendes Skript kann verwendet werden, um einen Standardbenutzer via dem Management Studio in T-SQL zu erzeugen:
 
USE [master]
GO
-- Create user Windows Authentication
-- CREATE LOGIN [YourDomainName] FROM WINDOWS WITH DEFAULT_DATABASE=[YourDB];
-- Create SQL Server Authentication
CREATE LOGIN [LoginName] WITH PASSWORD=N'qm', DEFAULT_DATABASE=[YourDB], CHECK_EXPIRATION=OFF, CHECK_POLICY=ON
GO
USE [YourDB]
GO
CREATE USER [LoginName] FOR LOGIN [LoginName]
GO
------------------------------
ALTER ROLE [db_datareader] ADD MEMBER [LoginName];
ALTER ROLE [db_datawriter] ADD MEMBER [LoginName];
GRANT ALTER ON SCHEMA::[dbo] TO [LoginName];
GRANT EXECUTE ON SCHEMA::[dbo] TO [LoginName];
GRANT SELECT ON SCHEMA::[dbo] TO [LoginName];
GO
 
Das Löschen eines Benutzers erfolgt über folgendes Skript:
 
DROP USER [LoginName]
GO
DROP LOGIN [LoginName]
GO
 
2

Updatebenutzer (= db_ddladmin)

 
 
Folgendes Skript kann verwendet werden, um einen Updatebenutzer via dem Management Studio in T-SQL zu erzeugen:
 
USE [master]
GO
-- Create user Windows Authentication
-- CREATE LOGIN [YourDomainName] FROM WINDOWS WITH DEFAULT_DATABASE=[YourDB];
-- Create SQL Server Authentication
CREATE LOGIN [LoginName] WITH PASSWORD=N'qm', DEFAULT_DATABASE=[YourDB], CHECK_EXPIRATION=OFF, CHECK_POLICY=ON
GO
USE [YourDB]
GO
CREATE USER [LoginName] FOR LOGIN [LoginName]
GO
------------------------------
ALTER ROLE [db_datareader] ADD MEMBER [LoginName];
ALTER ROLE [db_datawriter] ADD MEMBER [LoginName];
ALTER ROLE [db_ddladmin] ADD MEMBER [LoginName];
GRANT ALTER ON SCHEMA::[dbo] TO [LoginName];
GRANT EXECUTE ON SCHEMA::[dbo] TO [LoginName];
GRANT SELECT ON SCHEMA::[dbo] TO [LoginName];
GO
 
 
Das Löschen eines Benutzers erfolgt über folgendes Skript:
 
DROP USER [LoginName]
GO
DROP LOGIN [LoginName]
GO
 
3

Initialbenutzer (= sysadmin)

 
 
Folgendes Skript kann verwendet werden, um einen Initialbenutzer via dem Management Studio in T-SQL zu erzeugen:
 
USE [master]
GO
-- Create user Windows Authentication
-- CREATE LOGIN [YourDomainName] FROM WINDOWS WITH DEFAULT_DATABASE=[YourDB];
-- Create SQL Server Authentication
CREATE LOGIN [LoginName] WITH PASSWORD=N'qm', DEFAULT_DATABASE=[YourDB], CHECK_EXPIRATION=OFF, CHECK_POLICY=ON
GO
USE [YourDB]
GO
CREATE USER [LoginName] FOR LOGIN [LoginName]
GO
------------------------------
ALTER SERVER ROLE [sysadmin] ADD MEMBER [LoginName]
GO
 
 
Das Löschen eines Benutzers erfolgt über folgendes Skript:
 
DROP USER [LoginName]
GO
DROP LOGIN [LoginName]
GO