Discussion :

[genio]

Bonjour à tous...
En essayant de voir les autorisations d'un user sur une database de production, quelle ne fut pas ma surprise de ne pas trouver le USER dans Mabase/Sécurité/utilisateur mais de trouver ce USER dans les propriétés du 'noeud' du serveur (ou instance) dans l'onglet 'Connexion où roles'...
Ce qui reviendrait à dire qu'il y a deux types de USER, ceux de la database et ceux du noeud...
Pourquoi a t'on choisi de creer le user dans le noeud serveur et pas dans les users de la databse ?
Meci pour vos réponses...

[Bluedeep]

Il est évident qu'avant de pouvoir se connecter à une base, un utilisateur doit pouvoir se connecter à l'instance.

Ensuite, se rappeler qu'il y a deux types d'authentfication disponible sous Sql Server: Windows (toujours) donc avec les logins "normaux" plus l'authentification Sql Server(optionnelle) avec des noms d'utilisateurs spécifiquement gérés par Sql Server.

[Ptit_Dje]

Je comprend pas la question...
Que te retourne la query suivante ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
xp_logininfo '<domaine>\<user>', 'all'

[dbaffaleuf]

Ce qui reviendrait à dire qu'il y a deux types de USER, ceux de la database et ceux du noeud...

Tu confonds user et login. Un login est déclaré au niveau de l'instance et permet de s'authentifier. Un user est rattaché à ce login dans le contexte d'une base, et permet de manipuler des objets de la base (tables, vues, procédures stockées). Pour faciliter la lecture, ils portent souvent le même nom, d'où ta confusion. cf http://blogs.msdn.com/b/lcris/archiv...&wa=wsignin1.0

[zinzineti]

En essayant de voir les autorisations d'un user sur une database de production, quelle ne fut pas ma surprise de ne pas trouver le USER dans Mabase/Sécurité/utilisateur mais de trouver ce USER dans les propriétés du 'noeud' du serveur (ou instance) dans l'onglet 'Connexion où roles'...

Est ce qu'en utilisant ce compte tu arrives à te connecter d'une part au serveur et d'autre part à une base données ?

[genio]

En fait je me suis rendu compte qu'un logon pouvait servir de user sur une database... Je m'explique :
Nous avons un logon 'toto' qui existe dans /propriété du serveur/Atorisations/nom/ avec un type 'connexion' => OK
cela dans l'instance du serveur...
Et quand je me connecte sur ma baseA avec ce logon, je m'aperçevait que dans securite/utilisateur/ de ma database BaseA, je n'avais pas de 'toto'...
Donc dois-je en déduire qu'un login, défini au niveau 'instance server' suffit pour se logger à une database de cet instance ?
Ou faut-il toujours le couple LOGIN/USER et dans ce cas où puis-je trouver le USER 'toto' dans ma database BaseA
En espérant que je suis clair, merci pour vos réponse...

[mikedavem]

Bonsoir,

En fait je me suis rendu compte qu'un logon pouvait servir de user sur une database

Je dirais la même chose que dbaffaleuf.
Vous confondez LOGIN et USER sur un serveur de bases de données.

Pour se connecter à une instance il faut obligatoirement un compte de connexion ou LOGIN. Vous gérez la sécurité au niveau du serveur (les droits paramétrés sont au niveau serveur.

Ensuite pour pouvoir accéder à une base de données il faut également un utilisateur qui ne porte pas forçemment le même nom que le compte de connexion. Vous autorisez donc via un utilisateur l'accès à une base de données et vous pouvez paramétrez les droits au niveau de la base de données. Nous sommes donc sur 2 niveaux différents de privilèges.

Bien entendu un utilisateur doit être mappé à un compte de connexion .. mais ceci n'est pas forcement obligatoire selon ce que l'on veut faire.

++

[SQLpro]

Vous mélangez beaucoup de concepts... A commencer par les notions de login, connexion, utilisateurs, session et authentification.

Lisez l'article que j'ai écrit à ce sujet :
http://blog.developpez.com/sqlpro/p7...et-utilisateu/
Vous commencerez à comprendre de quoi votre problème relève !!!!

A +

[genio]

merci pour vos réponses et pour l'article de SQLpro
En fait, peut-être me suis-je mal exprimé car ma questione est la suivante : Pour qu'un USER puisse utiliser une database quelconque, la création du LOGIN de ce user est-elle suffisante, où faut-il toujours avoir le couple LOGIN/USER pour acceder à une database...

Merci pour votre réponse

[SQLpro]

Il faut toujours avoir un couple LOGIN / USER pour qu'un utilisateur externe puisse accéder à des commandes dans une base SQL.

La sécurité (c'est à dire les "autorisations") étant de deux niveaux :
celles afférentes au serveur, qui sont affectées au LOGIN
celles afférentes à la base, qui sont affectées à l'utilisateur SQL dans la base visée.

Exemple... Si j'ai une base DB_BIBLIO et que je désire créer un accès à cette base pour une personne nommée BOB, pour lui donner la possibilité de lire toutes les tables, réaliser des sauvegardes et la restauration de la base je dois faire ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
-- création niveau serveur du compte de connexion pour BOB :
USE master;
GO
CREATE LOGIN LOG_BOB 
   WITH PASSWORD = '???',
        DEFAULT_DATABASE = DB_BIBLIO;
GO

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
-- création niveau base DB_BIBLIO de l'utilisateur SQL pour BOB :        
USE DB_BIBLIO;
GO
 
CREATE USER USR_BOB 
   FOR LOGIN LOG_BOB;

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
-- assignation de l'autorisation CREATE DATABASE pour la restauration de base de données 
-- au niveau du compte de connexion de BOB :
USE master;
GO
GRANT CREATE ANY DATABASE TO LOG_BOB;
GO
-- nota : restaurer une base de données revient à en créer une !!!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
-- assignation de l'autorisation BACKUP DATABASE pour la sauvegarde de base de données 
-- au niveau de l'utilisateur SQL BOB :
USE DB_BIBLIO;
GO
GRANT BACKUP DATABASE TO USR_BOB;
GO
-- nota : sauvegarder une base de données est propre à la base considérée...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
-- assignation de l'autorisation SELECT sur l'ensemble des tables de la base
-- au niveau de l'utilisateur SQL BOB :
USE DB_BIBLIO;
GO
GRANT SELECT TO USR_BOB;
GO

A +

[genio]

Merci Frédéric pour votre réponse... mais cela revient en fait à ma question du 02/09/2010 à 16H03...
1) J'accède à mon management studio via une 'authentification sql Server' avec connexion sa/mot_de_Passe =>

2) J'ai une entité (je pense que c'est un logon) TOTO qui, quand je 'clique droit' sur mon serveur (Propriété du serveur/autorisation/connexion où rôle/) existe avec le nom TOTO et un type 'connexion =>

3) Ensuite je déroule l'arborescence du serveur... et quand je clique sur ma BaseA/sécurité/utilisateur/,stupeur, je ne vois pas de TOTO...

Alors que l'on peut se connecter en direct sur cette database avec TOTO...

Vu qu'il faut le couple LOGON/USER je devrait voir mon user TOTO dans ma BaseA non ?

Je ne sais pas si je me fait bien comprendre mais je ne vois pas pourquoi le user TOTO n'existe pas dans les utilisateurs ma BaseA...

Suis-je neuneu ?

[SQLpro]

Il existe des comptes de connexion dont le pouvoir au niveau serveur est sysadmin, ce qui signifie qu'ils ont la possibilité de tout faire dans toutes les bases. Dans ce cas, la plupart du temps l'utilisateur SQL sous_jacent est dbo.

Vous pouvez voir facilement cela en faisant la requête suivante, après vous être connecté avec ce compte et dans la base considérée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT USER AS UTILISATEUR_SQL, SYSTEM_USER AS COMPTE_DE_CONNEXION

A +

[genio]

Merci Sqlpro pour vos explications...

[SQLpro]

A noter que gérer la sécurité en ayant que des comptes sysadmin est une hérésie !!!!!

A +