Какие еще разрешения требуются пользователю для выполнения системной хранимой процедуры таблицы master?

@RafStudio · Регистрация: 08.08.2011

Студворк — интернет-сервис помощи студентам

Потерял день, но так и не понял, почему хранимая процедура заявляет, что у пользователя нет разрешений на выполнение этого действия.
Теперь по порядку.
Написал простенькую процедуру. Создал роль. У роли в защищаемых объектах разрешение только на соединение с сервером. Создал имя входа. Имя входа принадлежит к созданной роли и естественно к public. Имя входа и есть имя пользователя базы данных. У пользователя в защищаемых объектах на созданную процедуру на выполнение есть разрешение.
Вызываю процедуру из программы - все ОК. Возвращает то, что надо. Однако стоит добавить такие строки:

T-SQL
1
2
3
4
5
6
7
    -- Получаем IP подключенного клиента из системной таблицы
    select
        @HostIP = client_net_address
    from
        master.sys.dm_exec_connections
    where
        session_id=@@SPID;

как тут-же сервер меня пинает с сообщением о отсутствии разрешений. Но я просмотрел права на представление

T-SQL
1
master.sys.dm_exec_connections

- они в public. Добавил разрешение на базу master - поровну. Добавил разрешение на выборку из master - по фиг. Блин, так какие разрешения нужны еще для того, чтобы выполнять системные хранимые процедуры из базы master?
Совершенно не желается использовать встроенные схемы. Хочу дать доступ только к функциям и все.
Заранее спасибо!

PS: Подозреваю, что дело может быть в доступе к session_id=@@SPID но куда рыть то? От пользователя sa - все выполняется как надо.

Добавлено через 21 минуту
Проверил - @@SPID ни при чем. То есть все же дело в выборке из таблицы master посредством представления
master.sys.dm_exec_connections

Добавлено через 31 минуту
Неправильно выразился - дело либо в отсутствии прав (а к этому времени я уже их назначил на выборку и все равно пофиг) на представление master.sys.dm_exec_connections, ну либо требуются еще какие-то права... Какие, черт бы их побрал...

@invm · 22.06.2014, 19:20

Разрешения бывают не только уровня БД, но и уровня сервера.

Разрешения, необходимые для использования того или иного системного представления или процедуры перечислены в документации по этому представлению или продедуры.
В данном конкретном случае требуется view server state. Т.к. это разрешение уровня сервера, его нельзя выдать пользователю или роли в БД.

@RafStudio · 22.06.2014, 20:07 **[ТС]**

В общем пришлось имени входа назначить роль сервера serveradmin, точнее помимо созданной роли добавить вышесказанную.
Внешне - особо ничего не изменилось. Как не было у пользователя особых прав, так и нет. Но насколько это безопасно - Бог его знает. Видимо все же придется лопатить литературу по безопасности. Но пока что так. Спасибо за отзыв однако.

Добавлено через 16 минут
И да, я там накосячил в имени топика. Не таблицы master а базы данных master. Ну простите великодушно... Если кто может - исправьте плиз.

@invm · 22.06.2014, 20:07

Сообщение от RafStudio

В общем пришлось имени входа назначить роль сервера serveradmin, точнее помимо созданной роли добавить вышесказанную.
Внешне - особо ничего не изменилось. Как не было у пользователя особых прав, так и нет. Но насколько это безопасно - Бог его знает.

Документацию принципиально не хотите читать?

Сообщение от Документация

Члены фиксированной серверной роли serveradmin могут изменять параметры конфигурации на уровне сервера, а также выключать сервер.

Вот и решайте насколько это безопасно...

@RafStudio · 22.06.2014, 20:56 **[ТС]**

Спасибо - читал про это. Спасибо так-же за то, что отчитали. Однако - я так и не нашел ничего путного в разрешениях на уровне сервера для ролей. Скорее наоборот - нечто еще более страшное... Вы можете сразу сказать, что именно разрешить? Читать-то я конечно буду, но вот когда дочитаюсь до главного?

Добавлено через 2 минуты
Ё-маё! Тут как на зло еще и ЧМ мира по футболу: Россия - Бельгия...

Добавлено через 9 минут
Да и вообще злит - есть вроде подходящая роль public однако рулить ей на уровне той же самой базы данных - никак. С виду - бред. Ну как-так?!!

@invm · 22.06.2014, 21:41

Сообщение от RafStudio

Однако - я так и не нашел ничего путного в разрешениях на уровне сервера для ролей.

О каких ролях идет речь? О ролях уровня БД или уровня сервера? Если о ролях в БД, то да, назначить им серверные роли невозможно. А вот серверной роли public вполне можно:

T-SQL
1
2
use master;
grant view server state to public;

Опять же, с точки зрения безопасности, это не лучшее решение.
Например, если используется аутентификация Windows, можно создать Windows-группу, зарегистрировать ее как имя входа в SQL Server и дать ей нужное разрешение. И рулить уже через членство Windows-пользователей в этой группе.
Есть еще несколько способов, где вообще не требуется манипулировать ролями...

@RafStudio · 23.06.2014, 08:47 **[ТС]**

Спасибо огромное за уделенное время! В принципе должен был понять сразу, что серверной ролью можно крутить только на уровне сервера, а не так как мне видится. По поводу аутентификации Windows и я говорю нашему сисадмину. Но он пока только отмахивается - борется с руководством за покупку WinServer с надеждой поднять ActivDirectory и только тогда подумать. А мне необходимо уже сейчас!
Впрочем - по мне, так предложенное Вами решение уже выход!
Еще раз спасибо!

Добавлено через 2 часа 10 минут

Сообщение от invm

Есть еще несколько способов, где вообще не требуется манипулировать ролями...

- вот эта фраза очень любопытна и заинтересовала. Если нет возможности описать детально, согласен на ссылку!

@invm · 23.06.2014, 10:05

1. Если SQL Server 2012 или выше, то есть возможность создать пользовательскую роль уровня сервера.
2. Подписать процедуру - Подписание модулей (компонент Database Engine)
3. В процедуре установить контекст выполнения от имени dbo с помощью предложения execute as. В этом случае владелец БД должен быть sa или другой член роли sysadmin. Так же необходимо установить для БД опцию trustworthy в on.

@RafStudio · 23.06.2014, 14:08 **[ТС]**

Это вне всякого - стоит изучить и рассмотреть!
Спасибо!

Новые блоги и статьи Все статьи Все блоги /
Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определенном условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .
My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .

@invm 3614 / 2135 / 756 Регистрация: 02.06.2013 Сообщений: 5,169
	22.06.2014, 19:20
	Разрешения бывают не только уровня БД, но и уровня сервера. Разрешения, необходимые для использования того или иного системного представления или процедуры перечислены в документации по этому представлению или продедуры. В данном конкретном случае требуется view server state. Т.к. это разрешение уровня сервера, его нельзя выдать пользователю или роли в БД. 1

@RafStudio 31 / 31 / 3 Регистрация: 08.08.2011 Сообщений: 195
	22.06.2014, 20:07 [ТС]
	В общем пришлось имени входа назначить роль сервера serveradmin, точнее помимо созданной роли добавить вышесказанную. Внешне - особо ничего не изменилось. Как не было у пользователя особых прав, так и нет. Но насколько это безопасно - Бог его знает. Видимо все же придется лопатить литературу по безопасности. Но пока что так. Спасибо за отзыв однако. Добавлено через 16 минут И да, я там накосячил в имени топика. Не таблицы master а базы данных master. Ну простите великодушно... Если кто может - исправьте плиз. 0

@RafStudio 31 / 31 / 3 Регистрация: 08.08.2011 Сообщений: 195
	22.06.2014, 20:56 [ТС]
	Спасибо - читал про это. Спасибо так-же за то, что отчитали. Однако - я так и не нашел ничего путного в разрешениях на уровне сервера для ролей. Скорее наоборот - нечто еще более страшное... Вы можете сразу сказать, что именно разрешить? Читать-то я конечно буду, но вот когда дочитаюсь до главного? Добавлено через 2 минуты Ё-маё! Тут как на зло еще и ЧМ мира по футболу: Россия - Бельгия... Добавлено через 9 минут Да и вообще злит - есть вроде подходящая роль public однако рулить ей на уровне той же самой базы данных - никак. С виду - бред. Ну как-так?!! 0

@invm 3614 / 2135 / 756 Регистрация: 02.06.2013 Сообщений: 5,169
	23.06.2014, 10:05
	Сообщение было отмечено RafStudio как решение Решение 1. Если SQL Server 2012 или выше, то есть возможность создать пользовательскую роль уровня сервера. 2. Подписать процедуру - Подписание модулей (компонент Database Engine) 3. В процедуре установить контекст выполнения от имени dbo с помощью предложения execute as. В этом случае владелец БД должен быть sa или другой член роли sysadmin. Так же необходимо установить для БД опцию trustworthy в on. 1

@RafStudio 31 / 31 / 3 Регистрация: 08.08.2011 Сообщений: 195
	23.06.2014, 14:08 [ТС]
	Это вне всякого - стоит изучить и рассмотреть! Спасибо! 0

Какие еще разрешения требуются пользователю для выполнения системной хранимой процедуры таблицы master?

Решение