Я использую SQL Server 2008 R2 и хочу иметь пользователя для документации базы данных.
Этот пользователь может добавлять описание только ко всем объектам базы данных, таким как база данных, таблица, представление и столбец.
Какое разрешение я должен назначить этому пользователю?
Я не хочу назначать этому пользователю роль db_owner или db_ddladmin.
Заранее спасибо.
Таким образом, чтобы добавить расширенные свойства к объекту, вам необходимо либо владеть объектом, либо иметь привилегию CONTROL или ALTER для объекта.
Таким образом, вы не можете на самом деле ограничить пользователя со встроенными разрешениями простым добавлением расширенных свойств, поскольку для добавления расширенного свойства в базу данных вам придется предоставить владельцу, контролю или изменению на этом уровне пользователю.
Что вы можете сделать, так это создать свою собственную хранимую процедуру для выполнения системной хранимой процедуры с теми же параметрами и настроить ее на выполнение от имени владельца, а затем просто предоставить выполнение этой процедуры пользователю. Таким образом, они ничего не могут сделать в базе данных, кроме запуска процедуры, которая просто добавляет расширенные свойства.
Я проверил следующее, и это работает:
CREATE PROCEDURE add_property
(
@name NVARCHAR(128) = NULL,
@value NVARCHAR(128) = NULL,
@level0type NVARCHAR(128) = NULL,
@level0name NVARCHAR(128) = NULL,
@level1type NVARCHAR(128) = NULL,
@level1name NVARCHAR(128) = NULL,
@level2type NVARCHAR(128) = NULL,
@level2name NVARCHAR(128) = NULL
)
WITH EXECUTE AS OWNER
AS
EXEC sp_addextendedproperty
@name,
@value,
@level0type,
@level0name,
@level1type,
@level1name,
@level2type,
@level2name;
Неважно, используете вы инструмент или нет, чтобы иметь возможность добавлять описания, пользователь должен иметь права на изменение базы данных (проверьте документацию вашего инструмента):
Права EXEC на системные хранимые процедуры sp_addextendedproperty, fn_listextendedproperties и sp_dropextendedproperty.
С сайта мсфт:
Члены фиксированных ролей базы данных db_owner и db_ddladmin могут добавлять расширенные свойства к любому объекту со следующим исключением: db_ddladmin не может добавлять свойства к самой базе данных, пользователям или ролям. Пользователи могут добавлять расширенные свойства к объектам, которыми они владеют или имеют разрешения ALTER или CONTROL.
Члены фиксированных ролей базы данных db_owner и db_ddladmin могут удалять расширенные свойства любого объекта. Пользователи могут удалять расширенные свойства объектов, которыми они владеют. Однако только db_owner может удалять свойства для имен пользователей.
Надеюсь это поможет
