Permissions pour ajouter un groupe de fichiers et ses fichiers

elsuket · 04/10/2011, 10h24

Bonjour,

Sous SQL Server 2008 (R2), je suis à la recherche des permissions nécessaires à un utilisateur membre du rôle de bases de données db_owner pour être capable d'ajouter un groupe de fichier et ses fichiers.
Je ne trouve pas la documentation relative à cela dans ALTER DATABASE.

Avez-vous une idée ?

@++

mikedavem · 04/10/2011, 10h59

Lut

http://msdn.microsoft.com/en-us/library/ms174269.aspx

++

elsuket · 04/10/2011, 11h07

Désolé maître

, il n'y a rien sur les permissions.
Si je lis la description de db_owner, je lis :

Les membres du rôle de base de données fixe db_owner peuvent réaliser toutes les activités de configuration et de maintenance sur la base de données.

Donc comme d'habitude, la sécurité m'ennuie excessivement ...

@++

elsuket · 04/10/2011, 11h14

Je lui ai donné comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
USE myDB
GO
 
GRANT ALTER ON DATABASE::myDB TO [myUser]

Ne lui permet pas d'ajouter un groupe de fichiers.
Membre de diskadmin non plus.
Membre de dbcreator non plus.
GRANT ALTER ANY DATASPACE TO [myUser] non plus.
sysadmin, en revanche, oui. Mais ce n'est pas ce que je veux.

Ce que je comprend encore moins, c'est que si je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SETUSER 'myUser'

Je me prends l'erreur :

Citation:

Msg 15404, Level 16, State 19, Line 1
Could not obtain information about Windows NT group/user 'myUser', error code 0x5.

Alors qu'il peut tout à fait interroger et naviguer dans la même base de données ... on va de surprise en surprises

Help

mikedavem · 04/10/2011, 13h05

Ca te donne quoi cette requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

EXEC xp_logininfo '<account>'

++

WOLO Laurent · 04/10/2011, 16h28

Essaie quelque chose comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

GRANT ALTER ANY DATABASE TO mon_login

elsuket · 06/10/2011, 05h19

@Mikedavem : même erreur que lorsque je tente un SETUSER

Citation:

Msg 15404, Level 16, State 19, Procedure xp_logininfo, Line 62
Could not obtain information about Windows NT group/user 'AGODA\krattanasrim', error code 0x5.

@WOLO Laurent : justement je ne veux pas que cette personne puisse modifier d'autres bases de données hébergées par la même instance

@++

mikedavem · 06/10/2011, 08h13

Quel OS utilises-tu ? Windows 2008 ? Windows 2008 R2 ?

Pour faire simple, le code erreur que tu rencontres signifie que tu as un Access Denied lorsque tu essaies de récupérer les informations du compte Windows depuis ton AD.

Avec 2008 j'ai déjà eu le souci au cours d'un audit de sécurité et la seule façon de régler ce problème pour le moment a été d'ajouter le compte de service SQL dans le groupe de domaine BUILTIN\Windows Authorization Access Group.

++

mikedavem · 06/10/2011, 19h32

Comme le suggère WOLO LAURENT tu dois octroyer le droit ALTER ANY DATABASE à ton login ou l'ajouter au rôle de serveur fixe dbcreator.

Le fait que ton utilisateur soit propriétaire de la base de données ne lui donne pas forcément le droit de modifier sa structure physique.

Comme je te l'ai dit tout à l'heure tu peux voir les droits octroyés au rôle de bases de données db_owner de la façon suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

EXEC sp_dbfixedrolepermission 'db_owner';

++

04/10/2011, 10h24	#1
elsuket Modérateur Nicolas Souquet Administrateur de base de données Inscription : janvier 2005 Messages : 4 669 Détails du profil Informations personnelles : Nom : Nicolas Souquet Âge : 30 Localisation : Thaïlande Informations professionnelles : Activité : Administrateur de base de données Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2005 Messages : 4 669 Points : 8 729 Points : 8 729	Permissions pour ajouter un groupe de fichiers et ses fichiers Bonjour, Sous SQL Server 2008 (R2), je suis à la recherche des permissions nécessaires à un utilisateur membre du rôle de bases de données db_owner pour être capable d'ajouter un groupe de fichier et ses fichiers. Je ne trouve pas la documentation relative à cela dans ALTER DATABASE. Avez-vous une idée ? @++ __________________ En bases de données relationnelles SQL, il n'y a ni tableaux, ni enregistrements, ni champs: il y a des tables, des lignes et des colonnes. Blog \| Profil\| Consulter ou télécharger les fichiers d'aide de SQL Server, des versions 2000 à 2012
	00

04/10/2011, 10h59	#2
mikedavem Responsable SQL Server David BARBARIN Expert SQL Server Inscription : août 2005 Messages : 3 724 Détails du profil Informations personnelles : Nom : David BARBARIN Localisation : France, Haute Savoie (Rhône Alpes) Informations professionnelles : Activité : Expert SQL Server Secteur : Conseil Informations forums : Inscription : août 2005 Messages : 3 724 Points : 6 848 Points : 6 848	Lut http://msdn.microsoft.com/en-us/library/ms174269.aspx ++ __________________ Blog \| Articles SQL Server \| TSQL Challenges \| English blog
	00

04/10/2011, 11h07	#3
elsuket Modérateur Nicolas Souquet Administrateur de base de données Inscription : janvier 2005 Messages : 4 669 Détails du profil Informations personnelles : Nom : Nicolas Souquet Âge : 30 Localisation : Thaïlande Informations professionnelles : Activité : Administrateur de base de données Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2005 Messages : 4 669 Points : 8 729 Points : 8 729	Désolé maître , il n'y a rien sur les permissions. Si je lis la description de db_owner, je lis : Les membres du rôle de base de données fixe db_owner peuvent réaliser toutes les activités de configuration et de maintenance sur la base de données. Donc comme d'habitude, la sécurité m'ennuie excessivement ... @++ __________________ En bases de données relationnelles SQL, il n'y a ni tableaux, ni enregistrements, ni champs: il y a des tables, des lignes et des colonnes. Blog \| Profil\| Consulter ou télécharger les fichiers d'aide de SQL Server, des versions 2000 à 2012
	00

04/10/2011, 13h05	#5
mikedavem Responsable SQL Server David BARBARIN Expert SQL Server Inscription : août 2005 Messages : 3 724 Détails du profil Informations personnelles : Nom : David BARBARIN Localisation : France, Haute Savoie (Rhône Alpes) Informations professionnelles : Activité : Expert SQL Server Secteur : Conseil Informations forums : Inscription : août 2005 Messages : 3 724 Points : 6 848 Points : 6 848	Ca te donne quoi cette requête : Code : Sélectionner tout - Visualiser dans une fenêtre à part EXEC xp_logininfo '<account>' ++ __________________ Blog \| Articles SQL Server \| TSQL Challenges \| English blog
	00

04/10/2011, 16h28	#6
WOLO Laurent Rédacteur/Modérateur Laurent WOLO Architecte de base de données Inscription : mars 2003 Messages : 2 696 Détails du profil Informations personnelles : Nom : Laurent WOLO Âge : 35 Localisation : Congo-Brazzaville Informations professionnelles : Activité : Architecte de base de données Secteur : Finance Informations forums : Inscription : mars 2003 Messages : 2 696 Points : 3 917 Points : 3 917	Essaie quelque chose comme ceci : Code : Sélectionner tout - Visualiser dans une fenêtre à part GRANT ALTER ANY DATABASE TO mon_login __________________ Découvrez la FAQ de MS SQL Server. La chance accorde ses faveurs aux esprits avertis !
	00

06/10/2011, 08h13	#8
mikedavem Responsable SQL Server David BARBARIN Expert SQL Server Inscription : août 2005 Messages : 3 724 Détails du profil Informations personnelles : Nom : David BARBARIN Localisation : France, Haute Savoie (Rhône Alpes) Informations professionnelles : Activité : Expert SQL Server Secteur : Conseil Informations forums : Inscription : août 2005 Messages : 3 724 Points : 6 848 Points : 6 848	Quel OS utilises-tu ? Windows 2008 ? Windows 2008 R2 ? Pour faire simple, le code erreur que tu rencontres signifie que tu as un Access Denied lorsque tu essaies de récupérer les informations du compte Windows depuis ton AD. Avec 2008 j'ai déjà eu le souci au cours d'un audit de sécurité et la seule façon de régler ce problème pour le moment a été d'ajouter le compte de service SQL dans le groupe de domaine BUILTIN\Windows Authorization Access Group. ++ __________________ Blog \| Articles SQL Server \| TSQL Challenges \| English blog
	00

06/10/2011, 19h32	#9
mikedavem Responsable SQL Server David BARBARIN Expert SQL Server Inscription : août 2005 Messages : 3 724 Détails du profil Informations personnelles : Nom : David BARBARIN Localisation : France, Haute Savoie (Rhône Alpes) Informations professionnelles : Activité : Expert SQL Server Secteur : Conseil Informations forums : Inscription : août 2005 Messages : 3 724 Points : 6 848 Points : 6 848	Comme le suggère WOLO LAURENT tu dois octroyer le droit ALTER ANY DATABASE à ton login ou l'ajouter au rôle de serveur fixe dbcreator. Le fait que ton utilisateur soit propriétaire de la base de données ne lui donne pas forcément le droit de modifier sa structure physique. Comme je te l'ai dit tout à l'heure tu peux voir les droits octroyés au rôle de bases de données db_owner de la façon suivante : Code : Sélectionner tout - Visualiser dans une fenêtre à part EXEC sp_dbfixedrolepermission 'db_owner'; ++ __________________ Blog \| Articles SQL Server \| TSQL Challenges \| English blog
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email