Discussion :

[CyBeRoN]

Bonjour !
Est-il possible de limiter l'accès sur une table dans son propre SCHEMA ?
J'ai laissé le droit uniquement en SELECT sur une table mais malheureusement, l'utilisateur peut toujours tout faire...

Please help

[jab]

A la ce n'est pas normal, si tu as correctement donné les droits en lecture seul sur la table, il ne doit rien pouvoir faire d'autre

Tu as vérifié dans le centre de contrôle ?
Il ne serait pas défini comme admin par hazard ?

[Luc Orient]

Oui un privilège comme SYSADM ou DBADM ...

[CyBeRoN]

Non, en fait l'utilisateur en question était DBADM hier matin mais je lui ai enlevé les droit. Il n'a jamais été SYSADM, SYSCTRL ou SYSMAINT.
Il est par contre administrateur au niveau WIN NT sur le serveur, mais je suppose que ça n'a rien à voir... Enfin, je vais quand même essayer

[domBLB]

regarde aussi au niveau du groupe PUBLIC si il n'y aurait pas les droits sur ces tables, dans ce cas il faudrait les revoker.

[ALHER]

DBADM
Revokes the DBADM authority.
DBADM authority cannot be revoked from PUBLIC (because it cannot be granted to PUBLIC).

CAUTION:
Revoking DBADM authority does not automatically revoke any privileges that were held by the authorization-name on objects in the database, nor does it revoke any of the other database authorities that were implicitly and automatically granted when DBADM authority was originally granted.
LOAD

Petite remarque qui a son importance dans ton cas, ton utilisateur n'est plus ADMIN mais il a encore plein de droits sur ta DB.

Il te faut donc enlever ses droits sur les autres objets DB2 pour qu'il redevienne qu'un simple quidam avec des accès contrôlés.

[CyBeRoN]

Pour un peu plus de clarté, voici la configuration actuelle :

Au niveau de la DB :




Au niveau de la table :



L'utilisateur PCCK parviens néanmoins à insérer, supprimer et mettre à jour cette table...

[Luc Orient]

Et quels droits a le user PCCK ?

[ALHER]

Les droits du DBADM autorisent implicitement la manipulation des data dans les tables, donc outrepassent les droits donnés uniquement sur les tables.

Soit, tu vire les droits DBADM et tu donne les accès selectifs sur chacune des tables (attention à ma remarque précedente conncernant le retrait des droits DBADM!) et dans ce cas PCCK ne pourrait pas lancer les utilitaires DB2 autorisés par les droits DBADM.

Soit tu transfère cet utilisateur dans un groupe avec des droits SYSCTRL, où il pourra executer certain utilitaires de maintenance, mais n'aura plus accès au data implicitement.
Dans ce cas, il pourrait même faire plus qu'un DBADM dans l'administration de la DB, mais n'aura que des droits reduits sur les data.
Le paradoxe de SYSCTRL, c'est qu'il peux faire des BACKUP. Donc aussi restorer les data ailleurs.