Les profils SQL Server et les rôles de serveurs

mot de passe. SQL Server fait le suivi des utilisateurs
d’après leurs SID NT individuels plutôt que par celui de leur groupe, ce qui permet
de déterminer l’auteur d’un changement particulier effectué dans SQL Server, même
en travaillant avec des groupes plutôt qu’avec des utilisateurs individuels. Lorsque
de nouveaux utilisateurs sont ajoutés à  un groupe NT, ils ont automatiquement
accès à  SQL Server et lorsque des utilisateurs sont supprimés d’un groupe, ils
perdent leurs droits d’accès à  SQL Server. Le tout est de se rappeler, quand on
ajoute des utilisateurs aux groupes NT, qu’on risque aussi de leur donner la permission
d’accéder à  SQL Server.
Dans SQL Server 7.0, il est possible de mapper
un groupe NT à  un profil SQL Server.

Il n’est pas nécessaire d’ajouter un profil
pour chaque utilisateur Etant donné les liens possibles entre les groupes
NT et SQL Server, la première étape de configuration de la sécurité SQL Server
consiste à  concevoir les groupes NT et la stratégie des utilisateurs. Définissez
des groupes globaux et placez-y les utilisateurs exactement comme pour attribuer
des permissions NTFS. Pour ajouter un profil SQL Server à  un groupe, ouvrez ensuite
le Gestionnaire d’Entreprise de SQL Server. Si vous avez ouvert une session en
tant qu’administrateur NT et que vous avez les paramètres de sécurité par défaut
pour les serveurs SQL, vous pouvez vous connecter à  SQL Server comme administrateur
de base de données.
Dans la sous-fenêtre de gauche de la fenêtre Gestionnaire d’Entreprise, étendez
les serveurs SQL Server, étendez le Groupe SQL Server, étendez l’entrée correspondant
au serveur auquel vous voulez ajouter un profil, et étendez Sécurité. Nous allons
voir comment utiliser l’option profils pour attribuer des groupes et des utilisateurs
NT à  SQL Server et, pour les utilisateurs sous un autre OS que Windows, comment
définir leurs noms et leurs mots de passe.
Juste sous l’option profils se trouve l’option Rôles des serveurs. Avant de commencer
à  ajouter des profils, cliquez sur Rôles des serveurs et familiarisez-vous avec
les différents rôles (Figure 2). Les rôles ressemblent aux groupes locaux des
opérateurs NT spéciaux (par exemple, opérateurs de serveurs, opérateurs de sauvegarde),
puisqu’ils sont prédéfinis et que des droits et des privilèges leur sont attribués.
On ne peut pas ajouter de nouveaux rôles de serveurs et on ne peut pas modifier
ceux qui sont proposés par SQL Server. Les rôles de serveurs ressemblent aussi
aux groupes locaux dans lesquels on peut placer des groupes globaux Windows.
Double-cliquez sur un rôle pour ouvrir une boîte de dialogue à  onglets permettant
d’ajouter de nouveaux utilisateurs au rôle et de voir les membres et les permissions
du rôle. Le rôle Administrateur système équivaut à  un super utilisateur pouvant
tout faire dans SQL Server. Réservez-le à  ceux qui ont vraiment besoin du niveau
supérieur du privilège d’administrateur. Il peut être nécessaire d’affecter des
développeurs au rôle Créateurs de bases de données pour tester ces dernières.
Pourquoi ne pas désigner des administrateurs débutants comme Administrateurs de
sécurité et Administrateurs de serveurs, pour administrer les propriétés et la
sécurité des serveurs, sans qu’ils soient des administrateurs système complets
?
Une fois vérifiés les rôles des serveurs, retournez aux profils. Le seul qui soit
prédéfini est celui de l’administrateur système. Dans le cas de la sécurité en
mode mixte, la première chose à  faire est d’entrer un mot de passe d’administrateur
système, qui, par défaut, est en blanc à  l’installation de SQL Server. Double-cliquez
sur as (administrateur système) sous profils, et tapez le nouveau mot de passe.
En mode sécurité NT, ni vous, ni vos utilisateurs n’aurez à  fournir un mot de
passe à  ce moment-là .
Pour ajouter un profil à  un groupe ou à  un utilisateur NT, cliquez à  droite sur
profils et sélectionnez Nouveau profil pour ouvrir la boîte de dialogue SQL Server
Propriétés des profils – Nouveau profil, que montre la Figure 3. Première remarque,
dans l’onglet Général il faut saisir un nom, car aucune boîte déroulante n’offre
une liste des noms de groupes NT ou d’utilisateurs pour choisir. (Cette omission
a été réparée dans SQL Server 2000, mais pour le moment il faut encore saisir
le nom). Si vous avez entré un groupe ou un utilisateur NT, sélectionnez dans
la liste déroulante le nom du domaine le contenant. Une fois sélectionné, le nom
du domaine apparaîtra aussi dans la zone Nom pour qualifier le nom du groupe ou
le nom d’utilisateur qui a été saisi.
L’onglet Général permet aussi d’accorder ou de refuser l’accès à  SQL Server. Si
une personne d’un groupe ne doit pas avoir accès à  SQL Server, il est possible
d’accorder l’accès au groupe et de refuser l’accès à  l’individu. Comme dans NT,
tout refus d’accès annule toutes les permissions accumulées par un utilisateur
à  titre individuel et comme membre du groupe.
Un profil SQL Server donne à  un groupe ou à  un utilisateur la permission de se
connecter à  SQL Server, mais pas d’accéder à  des bases de données. L’onglet Général
permet de définir une base de données par défaut pour le profil, mais ce paramètre
ne donne pas la permission d’accéder à  la base de données, il spécifie simplement
à  quelle base de données SQL Server devrait se connecter l’utilisateur ou le groupe,
si l’un ou l’autre était autorisé à  accéder à  plusieurs bases de données. Des
onglets séparés sur la boîte de dialogue Propriétés des profils permettent d’accorder
des permissions aux bases de données et d’affecter des groupes et des utilisateurs
aux rôles des serveurs.