SQL-Server: Berechtigungen auf Tabelleninhalt

SQL-Server: Berechtigungen auf Tabelleninhalt (32 Beiträge, 161 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hi!

Ist es möglich einer Benutzerrolle eingeschränkten Zugriff auf einen Tabelleninhalt zu geben? ZB: ein User darf select nur auf alle zeilen machen wo das Feld UID=x!
Konkret verwende ich die Windows-Authentifizierung in einem access data project und will das der user nur seine zeilen bearbeiten kann.

danke

Mach nen View drauf und gib dem user die nur berechtigung auf den view.

greetz
Walter

gute idee - macht aber 2 probleme:
1. dann muss ich für jeden user einen view machen - könnte man aber automatisieren
2. mein access data project müsste dann als datenbasis diesen view verwenden --> da müsste jeder sein eigenes file kriegen

UID ist die User Id nehm ich mal an ?
Wenn sich der User anmeldet schreibst die UID des angemeldeten User in eine ConfigTabelle, die mit der ursprünglichen gejoint zum UserView wird.

Somit => ein View für alle User

greetz
Walter

ja is user id! hmm, ich muss mir das morgen in der arbeit mal gründlich durch den kopf gehen lassen ... für heut hab ich zuviel schädlweh!

danke - so wie ich dich kenn hauts aber ohne probleme hin!

kannst du mir das genauer erklären - ich verstehs net ganz! Geht denn das wenn viele user auf einmal zugreifen?

Hab gerade etwas in den T-SQL Online-Resourcen herumgewühlt.
Unter der Annahme, dass UID den Wert der Funktion USER_ID entspricht,
dann sollte es möglich sein einen View zu machen, der als ein Schränkung
"WHERE UID = USER_ID()" hat. Der Rückgabewert von USER_ID() ist
Session-spezifisch. Somit also auch tauglich für Multiuser-Systeme.

Falls du eigene Ids für die User vergeben hast, dann musst du dich um das
Session-User Handling selber kümmern. Das heisst also beim Anmelden, den
User mit seiner @@SPID in einer Tabelle ablegen und eine Funktion bauen,
die diese Daten wieder ermittelt und im View verwendet werden kann, ähnlich
der internen Funktion USER_ID().

greetz
Walter

das is schon ziemlich gut! hab eh keine eigenen UID´s! müsste aber in der jeweiligen tabelle die UID mitspeichern, sonst gehts ja wohl nicht!?

sei so nett und liest das hier mal:
http://forum.geizhals.at/t195251,1088264.html#1088264

das handling der user_ids geschieht sowieso nur db-seitig. sollte also ziemllich egal sein, ob es "nur" eine win authentifizierung gibt oder nicht.

und grundsätzlich, wenn du die daten (jede zeile) user-spezifisch trennen willst, musst du der db irgendein erkennungsmerkmal geben, an dem es es unterscheiden kann. da wirst notwendigerweise die uid überall wo das erforderlich ist hinschreiben müssen. nur daas sind dinge, die man normalerweise über trigger löst. Da musst in der Appi nix ändern.

greetz
Walter

Yo,

wichtig is nur, dass jeder Win-User seine eigene DB-Kennung hat, sonnst wirds schwierig.

greetz
Walter

hmm, klingt logisch! was hältst von folgender idee:

Ich nenne den Aussendienst-Benutzer in der Datenbank nach seiner Vertreternummer und sag im access dann:

select * from table where USER_ID(Vertreternummer) = USER_ID(current_user)

Ist das Pfusch?

Ich dachte die UID würde schon in der Tabelle stehen ?

na eben nicht, da steht nur so eine blöde vertreternummer! in der db is ein user für jeden vertreter definiert mit einem windows-account! die einzige umsetzung von vertreternummer zu endanwender passiert in der rechteverteilung in der datenbank. deswegen müsste man für jeden vertreter einen view machen und dem entsprechenden vertreter-benutzer drauf rechte geben.
hmm, oder man pflegt irgendwo eine tabelle wo die vertreternummer einem windows-usernamen zugeordnet ist. dann schaut man wer am client eingeloggt ist mit system-user (liefert windows-user) schaut dann in die tabelle und holt sich seine vertreternummer. mit dieser könnte man dann abfragen gegen die datenbank machen und bekommt nur die sachen zurück, die den vertreter was angehen ...

einigermaßen verständlich?

aha, besteht die Möglichkeit ein Attribut UID und einen Trigger für jede relevante Tabelle zu erzeugen ?

ja ich kann sozusagen machen was ich will!

Dann würde ich folgendes machen:

1. Ein Feld UID einführen.
2. Einen Trigger bauen, der beim Insert und/oder Update das Feld auf USER_ID() setzt.
3. Einen View machen, der auf UID = USER_ID() einschränkt.

Somit ist alles DB-seitig abgehandelt.
Einzige Voraussetzung ist, dass jeder User eine eigene DB-Kennung hat, wobei vollkommen egal ist, wie die aussieht.

greetz
Walter

na das klingt mal ziemlich genial! werd ich gleich mal probieren! zu meiner schande muss ich gesehen noch nie einen trigger gemacht zu haben - aber das kann ja net so schwer sein

hmm, ein problem gibts aber noch: angenommen ein user macht ein insert so kann ich ohne probleme mit dem trigger seine UID reinschreiben aber wo kieg ich dann seine vertreternummer her?? ausserdem ist das dann doch wieder redundante information wenn vertreternummer UND UID in der tabelle steht, denn das is ja eine 1:1-beziehung!

Wennst die Vertreternummer brauchst, dann musst du sie entweder in die Tabelle schreiben, oder du lagerst alle Userspezifischen Informationen in eine eigene Tabelle aus mit der USER_ID() as Primary Key.

Als Redundanz würde ich das fast nicht bezeichnen. Es stellt zwar eine 1:1 Beziehung dar, aber die Daten werden unterschiedlich verwendet und dargestellt.
Die UID wird im Normalfall gar nicht bis zur Business Logic (ACCESS-Api) kommen und erfüllt Security-Aufgaben. Hingegen ist die Vertreternummer wahrscheinlich nur in der Business Logic relevant.

Ich würde mir darüber nicht den Kopf zerbrechen.
Der Einfachheit halber kannst ja die DB-User nach ihrer zugehörigen Vertreternummer benennen.

greetz
Walter

ja, hast recht! wenn ich die benutzer nach ihrer vertreternummer benenne is es leicht!
aber eigentlich würde es ja reichen nur eine tabelle "Vertreternummer | UID" zu pflegen. Über "select Vertreternummer from tabelle where UID = USER_ID()" bekomm ich die Vertreternummer des zugreifenden users. Mit dieser Vertreternummer könnte ich dann alle meine Selektionen einschränken!

Geht genauso, wennst die Vertreternummer schon in den Datensätzen hast, dann wäre es sicher gscheiter es so zu machen. Und den Join kannst ja nach wie vor in einen View reinpacken, wennst das willst.

stimmt! vielen dank! jetzt bin ich voll zufrieden! jetzt haben wir alles durchgekaut und ich das gefühl die optimale lösung zu haben!

Du kannst User in 'Datenbankrollen' zusammenfassen, und diese Rolle der Zugriff auf den View geben.

Ardjan

Achtung: Viruswarnung!
Eigenwerbung: www.besse.at
Das süßeste Baby der Welt: www.besse.at/samuel

ja schon, es müsste aber pro user einen view geben damit das hinhaut ...

^ Forum Programmierung #1088181
	Re(5): SQL-Server: Berechtigungen auf Tabelleninhalt

Ardjan

23.10.2003, 10:37:30

Tut leid, jetzt hab ich's erst gesehen. Du willst das die Leute nur ihre eigene Zeilen bearbeiten können.

Da ist mir so direkt nix bekannt, müsste ich aber nachschauen.

Du kannst natürlich folgendes versuchen: Schreibe der User-ID in der Tabelle dazu, und löse das im Access-Programm. "SELECT * FROM Table WHERE UserID = MyID;" oder so, dann sieht der User nur seine Zeilen.

Ardjan

Achtung: Viruswarnung!
Eigenwerbung: www.besse.at
Das süßeste Baby der Welt: www.besse.at/samuel

hi!

das problem ist ich hab am client kein login! das ganze geht nur über die windows-authentifizierung! ich hab das problem meinem projekt-betruer so beschreiben:

Wir verwenden ein Access Data Projekt, wo Aussendienstmitarbeiter ihre Wochenberichte ausfüllen können. Eine Tabelle "Wochenbericht" enthält die Vertreternummer und die Wochenberichtsdaten. In der Datenbank verwenden wir Windows-Authentifizierung. Dort kann man, soweit ich weiss, nur rechte auf Objekte und nicht Inhalte geben. Wie kann ich es also schaffen, dass die AD-mitarbeiter nur ihre Wochenberichte ausfüllen können? Sowas wie ein login gibt es ja nicht, weil in der Datenbank keine Accounts gespeichert sind. Die Umlegung Windows-Account auf Vertreternummer geschieht ja nur in der Rollenverteilung in der Datenbank!
Eine mögliche Lösung ist mir eingefallen: Man könnte für jeden Vertreter einen View machen und den unter view_xxx (xxx=vertreternummer) speichern. Auf den view vergibt man dann dem AD-Mitarbeiter die Rechte. Im Access Data Project wird der Anwender nach seiner Vertreternummer gefragt und je nachdem automatisch der jeweilige View als Datenbasis gesetzt. Wenn er eine falsche Nummer angibt hat er sowieso keine Rechte auf den entsprechenden view.
Die Lösung erscheint mir aber nicht als sehr ideal, weil das Rechtesetzen und views erstellen doch sehr aufwendig in Wartung und Erstellung ist. Ausserdem fluktuiert die Anzahl der AD-Mitarbeiter ja andauernd.
Hab mir schon gedacht, vielleicht machts Sinn in der Vertretertabelle den Windows-User-Name zu speichern und den dann im ADP auszulesen. Hmm, is aber auch blöd!
Es muss eine bessere Lösung geben.

Ich hoffe jetzt is es ein bissl verständlicher! Ist immer schwer für mich das gut zu schildern ...

Vielen Dank

Auf http://www.mvps.org/access/api/api0008.htm kannst du sehen wie du in Access der Windows-Username holen kannst, vielleicht bringt dich das weiter? Damit kannst du beim Schreiben von Daten direkt der Username mitschreiben, und beim Lesen wieder auf der aktuelle User filtern...

Ich selbst lasse bei jeder erstellte Datenzeile immer ein TimeStamp und der Username + Rechnername (über http://www.mvps.org/access/api/api0009.htm ) mitschreiben, damit ich im Nachhinein sehen kann wer was verbrochen hat. Bei ASP schreibe ich 'nur' der TimeStamp und der IP-Adresse...

Ardjan

Achtung: Viruswarnung!
Eigenwerbung: www.besse.at
Das süßeste Baby der Welt: www.besse.at/samuel

wow, danke - hilft mir weiter!

Immer wieder gern geschehen. Ich habe selbst auch öfters solche Sachen gemacht, und habe auch öfters Hilfe gesucht...

Ardjan

Achtung: Viruswarnung!
Eigenwerbung: www.besse.at
Das süßeste Baby der Welt: www.besse.at/samuel

ich weiss nicht wie deine datenbank aufgebaut ist, aber wenn du eine eigene spalte hast mit uid dann mache doch einfach eine stored-procedure und gib nur die datensätze mit dem entsprechenden uid aus und wenn der user im frontend nix anderes sieht, kann er natürlich nix anderes bearteiten

hoffe das hillft

pacman

habs jetzt eh schon gelöst! das problem war dass ich in der db nur eine vertreternummer habe und sich der vertreter aber mit seinem windows account anmeldet. die umsetzung vertreternummer auf windows account geht aber nur in der rechtevergabe der datenbank und die geht nur auf "ganze" objekte! man könnte also für JEDEN vertreter einen eigenen view machen und die rechte vergeben --> bissl blöd. jetzt hab ich den benutzer nach vertreternummer genannt und vergleiche in nur EINEM vie die ID´s!

alles klar

sonst wärs andersrum gegangen ...

pacman

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung