Discussion :

[Bernardos]

Bonjour,
on me demande de configurer un utilisateur pour qu'il puisse créer lui même des utilisateurs et leur attribuer les roles db_datareader et role db_datawriter.

Au niveau de l'instance, j attribue le rôle securityadmin.
Au niveau base de données, j'attribue les roles db_accessadmin et db_securityadmin(+ db_datareader et db_datawriter)

ca ne suffit pas...

J'ai lu sur plusieurs forum qu'il fallait obligatoirement être db_owner:
Ca me semble démesuré...

Pourriez-vous me confirmer ou m'infirmer cette info et le cas échéant me dire quel(s) droit(s) ajouter?

Merci d'avance,

Bernardos

[dbnsql]

Bonjour,

Pour les rôles fixes, c'est microsoft qui fixe les règles du jeu.

https://docs.microsoft.com/en-us/sql...l-server-ver15

Quand on a un besoin particulier/spécialisé, rien n'empêche de créer un rôle, ou d'affecter directement les privilèges requis.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
--db_datareader
GRANT SELECT ON DATABASE::XXX TO userrw
--db_datawriter
GRANT INSERT ON DATABASE::XXX TO userrw
GRANT UPDATE ON DATABASE::XXX TO userrw
GRANT DELETE ON DATABASE::XXX TO userrw

Have fun !

[SQLpro]

Les rôles pré établis (de serveur ou de BD) ne sont pas susceptible d'être transmis.
Pour transmettre un privilège (chainage) il faut donner le privilège avec l'option : WITH GRANT OPTION

Donc, quelque chose comme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
GRANT ALTER ANY LOGIN TO MonCompteDeConnexion WITH GRANT OPTION;
USE MaBase;
GRANT CONTROL USER TO MonUser WITH GRANT OPTION;
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES TO MonUser WITH GRANT OPTION;

A +

[Bernardos]

Salut SQL pro,
Merci pour ta réponse.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

GRANT CONTROL USER TO MonUser WITH GRANT OPTION

Cela ne fonctionne pas, voici le message d'erreur obtenu

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Msg 102, Level 15, State 1, Line 1
Incorrect syntax near 'CONTROL'.

Ce que j'ai trouvé de plus proche est

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

GRANT alter any USER TO test1 WITH GRANT OPTION;

Pas de message d'erreur. Par contre, mon user test1 ne sait toujours pas attribuer les roles db_datareader et db_datawriter.

[aieeeuuuuu]

bonjour,

J'ai lu sur plusieurs forum qu'il fallait obligatoirement être db_owner:
Ca me semble démesuré...

C'est bien ce qu'indique la doc :

De plus, pour changer l’appartenance à un rôle de base de données fixe, vous devez disposer de ceci :

Appartenance au rôle de base de données fixe db_owner

Mais vous pouvez effectivement créer un role, par exemple 'udr_db_datareader', et l'ajouter comme membre du role db_datareader.
Votre utilisateur pourra alors attribuer le role udr_db_datareader aux utilisateurs qu'il créera sans avoir besoin d'être db_owner...

[Bernardos]

Merci aieeeuuuuu (et merci le copier/coller),
J'avais vu la doc, d'où mon étonnement dans mon premier message.
je dois avouer que SQL pro m'a fait rêver un instant...
C'est exactement ce que j'espérais pouvoir faire... Malheureusement, je ne trouve pas la permission appropriée... et je commence à me dire qu'elle n 'existe pas

Mais vous pouvez effectivement créer un role, par exemple 'udr_db_datareader', et l'ajouter comme membre du role db_datareader.
Votre utilisateur pourra alors attribuer le role udr_db_datareader aux utilisateurs qu'il créera sans avoir besoin d'être db_owner...

J'avais également pensé à cette solution mais cela plait moyen à mon client donc si quelqu'un sait comment aller au bout de l'idée de SQL Pro, je suis preneur.

En vous remerciant d'avance,
Cordialement,

Bernardos

[aieeeuuuuu]

Qu'est-ce qui ne lui plait pas dans cette solution ?

La seule alternative que je vois, c'est de l'ajouter effectivement au role fixe db_owner, et de lui retirer ensuite les droits associé à ce rôle, et dont il n'a pas "besoin"... c'est lourd, et surtout il ne faut rien oublier !

[Bernardos]

En gros, mon client est une énorme boite internationale avec plein des succursales et des clients dans plein de pays.
cette entreprise à des milliers de bases de données.
Pour faire simple on va dire que moi, je travaille pour l'équipe des system engineer.
La volonté de l'it est de dire qu'un certains nombres d'actions peuvent et doivent être réalisées par le helpdesk(Ce qui en soit est une excellente vision )

La demande initiale est de donner les droits nécessaires aux utilisateurs helpdesk pour qu'il puisse donner les droits read/write sur une seule base de données.
Il va de soi qu'une fois la solution éprouvée et validée sur une base, on va transposer sur toutes les bases.

Ce que mon client n'aime pas trop c'est que dans tes 2 alternatives, il y a la nécessité de faire une partie du travail chez nous(créer un role intermédiaire )

Ceci dit j'ai testé ta première solution et en terme de résultat c'est bon.
Je vais tester ta deuxième solution et la proposer également.

Merci de ta collaboration

Cordialement,
Bernardos

[aieeeuuuuu]

Je vois aussi une troisième solution : créer une procédure stockée avec WITH EXECUTE AS OWNER qui ajouterait un utilisateur au role db_datareader.

Quand au "travail" à effectuer... créer un rôle (ou une sp) , c'est quand même bien compliqué. Avec sp_MSforeachdb, on peut faire ça sur toutes les bases en quelques minutes, et en faisant la même chose sur la base model, on n'aura pas à se soucier du problème pour les nouvelles bases...