Discussion :

[mikedavem]

Un role server - Backup operator

Denali avec la possibilité de créer des rôles au niveau serveurs vont être utiles pour toi je pense

Effectivement tablediff existe.

Cependant:
1 - C'est une application qui tourne en commandline
2 - Il faut descendre au niveau des tables pour effectuer une comparaison (tablediff -sourceserver ... -sourcedatabase ... -targetserver ... -targetdatabase ...) ne suffit pas pour avoir une comparaison directe de l'ensemble de la structure d'une base de donnees comparee a une autre.
3 - Pas de report des differences de permission sur les objects.
4 - Pas de comparaison sur un schema (je me disais que ca eviterai peut etre de devoir descendre au niveau de la table)

Il existe bien un outil chez Microsoft qui réalise la plupart des tâches que tu as cité et qui est disponible avec certaines éditions de Visual Studio (Schema compare). Il me semble qu'avec la prochaine version Denali, cet outil sera "gratuit" avec le nouvel environnement de développement pour SQL Server (SSDT avec le projet code Juneau).

++

[elsuket]

Visual Studio le fait ... mais Ringo Star seul sait pourquoi ce n'est pas dans SSMS.

J'ajouterai un vraie recherche floue dans le moteur d'indexation de texte intégral.

@++

[Ptit_Dje]

Hello David,

Merci pour ton feedback.

Je ne pense pas que la notion de creation de role au niveau serveur va specialement aider.
db_backupoperator doit etre grante au niveau de chaque base sur une instance.
L'idee serait de pouvoir faire au niveau d'une instance un commande genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
grant backup any database to [<backup service account AD group>]

Effectivement, si la possibilite de faire cela apparait avec Denali, c'est dans ce cas interessant de creer un role custom de backup operateur au niveau de l'instance.

Si vous avez des propositions a proposer pour work arounde ca, je suis preneur (pour l'instant, l'idee d'un job qui tourne avant les backups et qui grant la permissions sur toutes les DB d'une instance).


Concernant l'outil dans Visual Studio, est ce disponible dans BIDS qui vient avec SQL Server ou faut il installer des choses supplementaires ?
J'aimerai bien tester car ca manque...

C'est une bonne chose s'il y a quelque chose de la sorte qui arrive avec Denali

[elsuket]

Concernant l'outil dans Visual Studio, est ce disponible dans BIDS qui vient avec SQL Server ou faut il installer des choses supplementaires ?

BIDS n'ayant pas été porté sous VS2010, en tout cas pas à ma connaissance, la réponse est malheureusement non.

L'idee serait de pouvoir faire au niveau d'une instance un commande genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

GRANT backup any DATABASE TO [<backup service account AD group>]

Visiblement on peut faire ça avec un GRANT BACKUP (ANY ?) DATABASE TO ...

@++

[Ptit_Dje]

En 2008 aussi apparement !
J'avais juste pas la syntaxe correcte...
A tester

Merci pour l'input.

Resultat du test:
Le scope est au niveau de la DB, pas de l'instance. (dans la doc: Base securable - Database)

[mikedavem]

Précision quand même ..

Je recitife mes propos sur Denali ..
Pas de possibilité de créer cela au niveau serveur .. donc par conséquent pas au niveau rôle fixe de serveur.

Cela peut paraître logique en fait si l'on regarde bien .. donner le droit de backup sur toutes les bases à un compte de connexion peut engendrer une faille de sécurité certaine (hors des rôles prédéfinis qui le permettent)

++

[Ptit_Dje]

Effectivement, je te comprend bien et je comprend bien la situation - la securite des donnees devant etre geree au niveau d'une base de donnees.

Cependant, un role de backup operator au niveau d'une instance faciliterai pas mal les choses et eviterait de faire tourner ces meme backups avec un compte SA (SA et serveur admin ! et pour rajouter du context... Qui de plus est enregistre dans l'application tournant les jobs et donc pourrait etre utilise a d'autres fins que les backups. Le programme de scheduling etant owner par une autre team que la team DB... Genre vive le trou de secu !)

[mikedavem]

Il est bien possible de faire tourner un compte de connexion sans privilèges particuliers en lui affectant par la même occasion pour chaque base un user qui serait membre du rôle db_backupoperator. Donner le compte sa pour faire tourner un backup c'est quand même loin des bonnes pratiques de sécurité tu avoueras

Cependant je comprends bien que cela engendre des manipulations fastidieuses ... c'est l'inconvénient .. mais je reste persuadé que le côté pratique ici qui est de donner la possibilité de donner le droit de tout sauvegarder à quelqu'un sans se poser de questions peut très vite engendrer des problèmes de sécurité sur un serveur qui comporte plusieurs applications sensibles .. à mon humble avis.

++

[Ptit_Dje]

Ce que tu proposes je l'ai propose ce matin effectivement.
C'est ce qui me parait le plus propre.

Le probleme est:

However, there is a predefined database role db_backupoperator (just allow to take backup).
Therefore, from my point of view, the backup service account should be given this role in each database on the server.
We need to make it automatically set up to make sure the permission is given to each new database created/restored on a server.

The open question is how ?
I suggest whether to have a SQL agent job doing so (we need to make sure the job run before the backup) whether to adapt our create database process/restore database process.
Another point is regarding the SharePoint instances where SharePoint creates its own databases (and may be other applications working like that). How to handle this ? SQL agent job ?
If you have any other idea, feel free to share.

Feel free to share

[mikedavem]

Oui je savais bien que de toute façon tu aurais proposé la bonne pratique

Une idée également est de mettre ca dans un trigger niveau DDL avec l'événement CREATE_DATABASE ..

++

[SQLpro]

J'ajouterai un vraie recherche floue dans le moteur d'indexation de texte intégral.

Depuis IFTS (2008) il est possible de rajouter cela dans une fonction UDF.

A +

[fsmrel]

Bonjour,

Ça repart vers des sujets certainement très intéressants mais qui sortent du cadre relationnel, auquel je suis plus sensible. Je vais donc marquer la discussion comme étant résolue.

Vous pouvez poursuivre en participant à la discussion entamée par mikedavem :

http://www.developpez.net/forums/d10...on-sql-server/