Поделиться через

  • Статья

Модель безопасности

В этом разделе описана модель безопасности системы отслеживания измененных данных.

Конфигурация и администрирование

Чтобы включить или отключить систему отслеживания измененных данных в базе данных, пользователь, вызывающий sys.sp_cdc_enable_db (Transact-SQL) или sys.sp_cdc_disable_db (Transact-SQL), должен быть членом предопределенной роли сервера sysadmin. Для включения или отключения системы отслеживания измененных данных на уровне таблиц пользователь, вызывающий процедуры sys.sp_cdc_enable_table (Transact-SQL) и sys.sp_cdc_disable_table (Transact-SQL), должен быть членом предопределенной роли сервера sysadmin или членом роли базы данных db_owner.

Для поддержки модели безопасности при активации отслеживания измененных данных в базе данных создаются специальный пользователь системы отслеживания измененных данных и схема отслеживания измененных данных, владельцем которых является пользователь системы отслеживания измененных данных. В этой схеме создаются все объекты системы отслеживания измененных данных, которые не имеются в базе данных ресурсов и владельцем которых является пользователь системы отслеживания измененных данных. Они включают шлюзовые роли, которые создаются при включении отслеживания измененных данных для таблицы.

Использование хранимых процедур для администрирования заданий отслеживания измененных данных ограничено членами роли сервера sysadmin и членами роли database db_owner.

Перечисление изменений и запросы метаданных

Чтобы можно было иметь доступ к информации об изменениях, связанной с экземпляром системы отслеживания, пользователю должен быть предоставлен доступ с правом выборки всех отслеживаемых столбцов в соответствующей исходной таблице. Кроме того, если при создании экземпляра системы отслеживания задана роль шлюза, вызывающий объект также должен быть членом заданной роли шлюза. Другие общие функции системы отслеживания измененных данных для доступа к метаданным имеются в распоряжении пользователей через роль public, хотя доступ к возвращенным метаданным обычно регулируется доступом с правом выборки к базовым исходным таблицам, а также членством во всех определенных шлюзовых ролях.

Операции DDL в исходных таблицах с включенной системой отслеживания измененных данных

Если в таблице включена система отслеживания измененных данных, операции DDL могут применяться к таблице только членом предопределенной роли сервера sysadmin, членом роли database role db_owner или database role db_ddladmin. Для пользователей, которым явно предоставлены права на выполнение операций DDL в такой таблице, выводится сообщение об ошибке 22914, если они пытаются выполнить такие операции.