Discussion :

[Invité]

Hello.
Je cherche un moyen simple d'interdire le shrink qui est lancé quotidiennement par voie applicative en même temps que des sauvegardes.
L'application utilise un utilisateur local qui a bien « évidemment » les droits sysadmin sur l'instance.
Je ne voudrais pas trop jouer avec les rôles parce que je ne connais pas l'étendue réelle de cet utilisateur et je ne veux pas créer de problème sur l'application qui est en prod et tourne sans problème.
Bref, je cherche une solution de fainéant, clef en main et sans problème qui prépare même le café
Est-ce que l'on pourrait gérer ça par un déclencheur ou un droit très spécifique ?
L'instance est une version 2008R2 Express.
Merci de vos contributions.

[SQLpro]

ça n'est pas possible sans passer par une gestion des privilèges.

Un déclencheur peut intercepter un SHRINK après exécution, mais comme il ne s'agit pas d'une commande logique, mais physique, il n'est pas possible d'en annuler l'exécution.

A +

[Invité]

ça n'est pas possible sans passer par une gestion des privilèges.

Merci, même si ce n'est pas ce que je voulais lire
As-tu une idée du privilège à retirer qui comprend le shrink ?

[SQLpro]

ça n'est pas possible par ce biais. En effet tant que vos utilisateurs sont sysadmin ils peuvent rétablir tous les privilèges. Les enlever n'a donc aucun effet !

Il faut créer des utilisateurs qui n'ont pas de droit de vie ou de mort sur le serveur et gérer finement les privilèges. Il n'y a AUCUNE autre alternative !

Vous pouvez cependant conserver l'utilisateur sa si c'est par ce biais que les applications se connectent.

Il suffit de passer par exemple le script suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
----------------------------------------
---> SE CONNECTER AVEC sa :
----------------------------------------
-- création d'un utilisateur super admin
CREATE LOGIN SUPER_ADMIN WITH PASSWORD = '{#~[€fds128/';
GO
ALTER SERVER ROLE sysadmin ADD MEMBER SUPER_ADMIN;
GO
 
----------------------------------------
---> SE CONNECTER AVEC SUPER_ADMIN : 
----------------------------------------
 
-- retrait du role sysadmin à SA
ALTER SERVER ROLE sysadmin DROP MEMBER sa;
 
-- ajout du rôle de serveur vrasemblement nécessaire à SA 
ALTER SERVER ROLE [bulkadmin] ADD MEMBER sa;
 
----------------------------------------
---> passer dans la base de production
----------------------------------------
-- créer le nouvel utilisateur SQL lié à sa (ce ne sera plus dbo)
CREATE USER usa FROM LOGIN sa;
-- lui donner les privilèges adéquats :
GRANT BACKUP DATABASE,
      BACKUP LOG,
      SELECT,
      INSERT,
      UPDATE,
      DELETE,
      REFERENCES,
      EXECUTE,
      VIEW DATABASE STATE,
      VIEW DEFINITION TO usa;

À bien, bien, bien tester !!!!!


A +