9

简短版本:我可以授予角色访问外部数据库的权限吗?

长版:

我正在使用 Crystal 从应用程序 SQL Server 实例 ( database1) 中检索数据来处理报表。

应用程序正在运行报告并覆盖报告中的连接,我无权访问应用程序代码。

我已将一个新数据库添加到服务器 ( database2),该数据库正在从电话交换机收集信息,并且我想将其中一些信息加入应用程序数据 ( database1)。

我可以在设计器中运行时加入数据和报告(以 SA 身份登录),但是当报告通过应用程序在外部运行时,它们会失败并出现相当普遍的错误(无法检索数据)。

我假设错误是由新的数据库权限引起的,就好像我以 SA 身份登录应用程序时,错误消失了。

应用程序为运行报告的用户提供了一个特殊的数据库角色,当向应用程序 db ( database1) 添加表/视图/sp 时,我可以简单地将选择/执行授予此角色以允许报告访问对象。

现在我在不同的数据库中有对象,但是该角色不容易访问。

有什么办法可以database2通过现有角色引用第二个数据库()?

例如:

USE [database1]
GRANT EXECUTE ON [database2].[dbo].[CUSTOM_PROCEDURE] TO [applicationrole1] 

OR

USE [database2]
GRANT EXECUTE ON [dbo].[CUSTOM_PROCEDURE] TO [database1].[dbo].[applicationrole1]

理想情况下,我希望能够以某种方式链接到角色,而不是重新创建新角色,因为当添加/配置新用户时,应用程序会定期更新角色。

(未使用 Crystal-Reports 标记,因为这与问题无关)

编辑:

有没有办法做类似的事情:

INSERT INTO Database2.sys.database_principals
SELECT * FROM Database1.sys.database_principals
WHERE [type] = 'S'

复制用户(不是登录名)然后添加角色成员?

4

2 回答 2

5

据推测,您将使用可以访问两个数据库的登录名(例如 SA 的情况)。您将创建适当的角色并授予每个数据库的权限,然后在两者中创建用户(链接到您正在使用的登录名),将每个用户添加到您创建的角色中。

T-SQL 看起来像这样:

use master
go
create login testuser with password = 'mypassword123'
go

use test
go

create role reporting
grant select on something to reporting -- grant your permissions here

create user testuser for login testuser
exec sp_addrolemember 'reporting', 'testuser'
go

use test2
go

create role reporting
grant select on something2 to reporting -- grant your permissions here

create user testuser for login testuser
exec sp_addrolemember 'reporting', 'testuser'
go

现在我可以连接test并执行

 select * from something
 select * from test2.dbo.something2

当然,您可以在所需的存储过程上将您的授权更改为 EXECUTE,但看起来您已经涵盖了这一点。

之后,只需执行一个简单的脚本来创建登录名、用户并将它们添加到角色中。

declare @sql nvarchar(max), @username nvarchar(50), @password nvarchar(50)

-- ########## SET PARAMETERS HERE
SET @username = N'testguy'
SET @password = N'test123'
-- ########## END SET PARAMETERS

set @sql = N'USE master; CREATE LOGIN [' + @username + N'] WITH PASSWORD = N''' + @password + N'''; USE database1; CREATE USER [' + @username + N'] FOR LOGIN [' + @username + N']; EXEC sp_addrolemember ''reporting'', ''' + @username + N''';  USE database2; CREATE USER [' + @username + N'] FOR LOGIN [' + @username + N']; EXEC sp_addrolemember ''reporting'', ''' + @username + N''';'
exec sp_executesql @sql

自动同步登录名、用户和角色

此脚本将查找所有 SQL 登录(您可以将其更改为对您有意义的任何内容;windows 和 SQL 帐户、包含特定字符串的帐户等),确保用户已在database1和中创建database2,并确保它们都添加到reporting角色。您需要确保reporting在两个数据库上都创建了角色,但您只需执行一次。

之后,您可以手动或使用 SQL 代理作业定期运行此脚本。您需要做的就是为服务器创建登录名;当脚本运行时,它将完成其余的工作。

declare @login nvarchar(50), @user1 nvarchar(50), @user2 nvarchar(50), @sql nvarchar(max), @rolename nvarchar(50)

SET @rolename = 'reporting'

declare c cursor for 
select sp.name as login, dp1.name as user1, dp2.name as user2 from sys.server_principals as sp
    left outer join database1.sys.database_principals as dp1 on sp.sid = dp1.sid
    left outer join database2.sys.database_principals as dp2 on sp.sid = dp2.sid
where sp.type = 'S' 
    and sp.is_disabled = 0

open c

fetch next from c into @login, @user1, @user2

while @@FETCH_STATUS = 0 begin

    -- create user in db1
    if (@user1 is null) begin
        SET @sql = N'USE database1; CREATE USER [' + @login + N'] FOR LOGIN [' + @login + N'];'
        EXEC sp_executesql @sql
    end

    -- ensure user is member of role in db1
    SET @sql = N'USE database1; EXEC sp_addrolemember '''+ @rolename + ''', ''' + @login + N''';'
    EXEC sp_executesql @sql

     -- create user in db2
    if (@user2 is null) begin
        SET @sql = N'USE database2; CREATE USER [' + @login + N'] FOR LOGIN [' + @login + N'];'
        EXEC sp_executesql @sql
    end

    -- ensure user is member of role in db2
    SET @sql = N'USE database2; EXEC sp_addrolemember '''+ @rolename + ''', ''' + @login + N''';'
    EXEC sp_executesql @sql

    fetch next from c into @login, @user1, @user2
end


close c
deallocate c

你会想要添加一个事务和错误处理来取消不完整的更改,但我将把它留给你。

于 2012-06-18T11:04:34.307 回答
1

设置存储过程以所有者身份执行。

http://msdn.microsoft.com/en-us/library/ms188354.aspx

在存储过程所在的数据库上设置trustworthy。

http://technet.microsoft.com/en-us/library/ms187861.aspx

确保您在两个数据库上拥有相同的所有者。

http://msdn.microsoft.com/en-us/library/ms188676(v=sql.105).aspx

将存储过程的执行权限授予具有该过程的数据库上的适当用户或角色。

于 2012-06-18T11:23:52.903 回答