SQL Server da Kullanıcı Yönetimi (User Management) SQL Server veya sunucudaki VT’lere bağlanmak için kullanılıcılara yetki verilmelidir. Her kullanıcı belli bir yetki (buna Role denir) ile bağlanır ve bu yetkiye göre işlem yapar. SQL Server da kullanıcıların yetkilerinin yönetimi (User Management) için detaylı permission (izin-kısıt) tanımları mevcuttur. Bu derste SQL Server da yeni bir user yaratma, bu user a server role ü verme ve daha sonrada database role ü verme işlemleri anlatılacaktır
SQL Server da Roller Sql Server kullanıcılarının daha önceden belirlenmiş yetkilerle sql server’a bağlanmasına olanak veren yapıya “Role” denir. Sql Server Role’leri 2 ‘ye ayrılır Server Role Database Role Server Role (SR): SR sql server kullanıcılarına Sql server üzerinde belirli işlemler için yetki vermeyi sağlar.Bu role’ler sabit rollerdir üzerinde herhangi bir değişiklik yapılamaz. Server roleleri “Security” sekmesinin altında “Server Roles” bölümünden göreceğimiz gibi bir “login” tanımlarken “select a page” kısmında “Server Roles” kısmından da görebiliriz.
SQL Server da SR MS’de Security/Server Roles klasöründe SR: Sunucu Rolleri
SQL Server da SR sysadmin : SQL Server da en yetkili roldür.her türlü işlemi gerçekleştirebilir. SQL Server da bulunan “sa” kullanıcısı bu gruba üyedir. serveradmin : SQL server ı konfigure edebilir ve Server ı kapatma işlemini gerçekleştirebilir. setupadmin : Linked server ekleyebilir ve silebilir. securityadmin : Kullanıcıları ve kullanıcı yetkilerini yönetebilir. SQL Server kullanıcı şifrelerini resetleyebilir. dbcreator : Database oluşturabilir, silebilir ya da restore edebilir. diskadmin : Disk üzerindeki dosyaları yönetebilir. bulkadmin : BULK INSERT komutunu çalıştırabilir. processadmin : SQL Server üzerinde çalışan Process leri kontrol edebilir. public : SQL Server da bulunan tüm login ler public grubuna üyedirler. Bir kullanıcıya özellikler izin verilmedikçe veya izin silinmedikçe hakları public grubunun haklarından yetki alır. Örneğin bir objenin tüm kullanıcılara görünür olmasını istiyorsanız o objeye public izni verebilirsiniz.
SQL Server da SR Yönetim Komutları sp_helpsrvrole : Sql Server Rolelerinin listesini verir. sp_helpsrvrolemember : Sql Server Role lere sahip kullanıcı listesini getirir. sp_srvrolepermission : Bir Server-Role e atanmış yetkileri gösterir. Role Atama ve Atanan Role den Çıkarmak için; sp_addsrvrolemember : Kullanıcıyı belirli bir Role e atamak için kullanılır. EXEC SP_ADDSRVROLEMEMBER @loginame='tolga' , @rolename='sysdamin' sp_dropsrvrolemember: Bir kullanıcıyı dahil olduğu Role den çıkarmak için kullanılır. EXEC SP_DROPSRVROLEMEMBER @loginame='tolga' , @rolename='sysdamin'
SQL Server da Veritabanı Rolleri (VR) Database Role:Adından da anlaşıldığı gibi database üzerindeki yetkilerin belirlendiği rollerdir.Bu rollerde Server role’lerden farklı olarak sql server bize Veritabanı seviyesinde özel role tanımlama izni vermiştir. Sql Server’daki hazır roller aşağıdadır
SQL Server da VR VR’ler ilgili VT’nin altındadır.. Security/Roles/Database Roles VR: VT Rolleri
SQL Server da VR db_owner: veritabanı üzerinde tüm ayarlamaları yapabilir.Database üzerinde her türlü yetkiye sayiptir. db_accessadmin: Var olan windows kullanıcıları ve sql server hesapları için veritabanına erişim yetkisi verebilir. db_securityadmin: Veritabanı üzerindeki yetkilendirmeleri değiştirebilir. db_datareader: Kullanıcı tabloları üzerinde “select ” yani okuma işlemleri yapabilir.
SQL Server da VR db_datawriter: Kullanıcı tabloları üzerinde “insert/delete/update” yani yazma işlemleri yapabilir. db_ddladmin: Veritabanı üzerinde herhangi bir DDL komutunu çalıştırabilir. db_denydatawriter: User tablolarında delete, insert, update komutları çalıştırılamaması için kullanılır. db_denydatareaderUser tabloları üzerinde select komutu çalıştıralamaması için kullanılır.
SQL Server da VR İşleme Komutları sp_helpdbfixedrole : Database üzerinde tanımlanmış olan Role lerin listesini verir. sp_dbfixedrolepermission : Sistemde bulunan Rolelerin yapabileceği işlemlerin listesini verir. sp_helprole : Sql serverdaki rolelerin listesini verir sp_addrolemember : Bir database kullanıcısı yada belirlenmiş bir database role üne atar Exec sp_addrolemember @rolename='db_owner',@membername='tolga‘ sp_droprolemember : Bir database kullanıcısı belirlenmiş bir database role den çıkartır. Exec sp_droprolemember @rolename='db_owner',@membername='tolga'
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme SQL serverda 2 tip login authentication mode vardır. SQL Server Authentication ve Windows Authentication. Windows Authentication ile olan bir windows user ını SQL Server a yetkilendirebilir ve şifre kontrolünü windows a bırakabilirsiniz. SQL Server Authentication da ise windows dan bağımsız SQL Server user ları oluşturabilirsiniz. Burada şifre kontrolünü SQL Server yapmaktadır.
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme Yeni Giriş
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme NOT: Windows türü log in yapabilmek için user öncelikle windows ta oluşturulmalıdır. Windows ‘ta deneme isimli bir kullanıcı oluşturulduğu varsayılarak bu kullanıcıya bir Server yetkisi atayalım
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme 1 New login / 2 Search / 3 Gelişmiş / 4 Şimdi Bul 2 3 4 6 ok 5 deneme
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme Tamam/ Tamam diyerek asıl pencereye gelinir Server Roles sekmesinden SecurityAdmin seçilerek OK tıklanır
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme Windows oturumu deneme ile başlatılırsa SQL server a giriş bu role üzerinden olur Giriş DENEME ile yapılıyor
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme SS’a deneme ile girip yeni bir vt oluşturmaya çalışalım Yeni VT oluşturuluyor
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme Deneme kullanıcısı nın VT oluşturma yetkisi olmadığı (CREATE DATABASE permission denied..) hata mesajı veriyor
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme Aynı örneği SQL Server’a güvenlik doğrulaması yaptırarak görelim Yine new login penceresinde bu defa SQL Server Authentication seçerek Kullanıcı adı deneme2 şifreleri
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme Serverroles ‘tan securityadmin seçilip OK tıklanır ve SQL server’a yeniden girilir SQL Serv. Aut. deneme2 ve şifresi
SQL Server da Server Kullanıcısı Oluşturma Yetki Verme Yine deneme isminde vt oluşturduğumuzda permission denied mesajı alınır
SS da Database Kullanıcısı Oluşturma Yetki Verme Sonraki örneklerde sadece SQL Authentication log in i kullanılacaktır yenideneme adlı bir kullanıcının tabloya veri girmesini (insert) engelleyen sadece oku (read only) yetkisi veren bir örnek yapacağız Bu örnekte içinde veri olan bir ogrenci tablosu oluşturulmuş kabul edilmiştir
SS da Database Kullanıcısı Oluşturma Yetki Verme security / logins / new log in Kullanıcı adı SQL Authent. da şifreler
SS da Database Kullanıcısı Oluşturma Yetki Verme User Mapping sekmesinde log in in etkili olduğu vt (map!) ve yetkisi seçilir
SS da Database Kullanıcısı Oluşturma Yetki Verme SS’a yenideneme ile girelim
SS da Database Kullanıcısı Oluşturma Yetki Verme Edit ile ogrenci tablosuna girelim
SS da Database Kullanıcısı Oluşturma Yetki Verme Edit le tabloya veri girmeye çalıştığımızda aşağıdaki ekranı alırız INSERT yasak!
SS da Database Kullanıcısı Oluşturma Yetki Verme Select top 1000 rows (okuma-read) durumunda tablo sorunsuzca ekrana gelir