跨数据库查看权限

Question

我正在使用一个数据库（我们称之为 DB_data），其中包含一系列应用程序的所有表。为了尽量减少升级期间的停机时间，创建了一个外观数据库（我们称之为 DB_facade），它具有 DB_data 中每个表的视图。它还包含针对这些视图工作的所有函数和存储过程。

在尝试锁定 DB_data 中的安全性时，我们对 DB_data 中所有用户的所有表执行了 DENY。所有这些用户也已在 DB_facade 中创建，并具有视图权限。

这里的问题是，由于跨数据库所有权链接，DB_data 中的 DENY 会覆盖 DB_facade 中的 GRANT。

由于潜在的安全问题，我想避免打开这两个数据库的所有权链（尽管在我最初的测试中，这似乎确实纠正了访问问题）。此外，我们正在努力尽量减少对应用程序的影响，因此要求所有访问都通过存储过程和使用证书（例如）是行不通的。

有人对如何处理这个问题有其他建议吗？

谢谢！

Answer 1

如果排除DB_data中表上的DENY，是否有这个问题？如果您没有显式授予这些表的权限，您也许能够获得所需的安全性并通过视图获得访问权限。

Answer 2

从我所看到和所做的来看，除非明确告知，否则 SQL Server 不会让您拥有任何权限。您应该能够在 DB_Data 中向用户授予 select （或使用角色 datareader ），并且只要它是同一帐户并且映射到两个数据库（您必须在 db_facade 上授予 select 和 exec ）就可以工作很好。

Answer 3

您可以在 DB_data 数据库中为 DB_facade 数据库中的每个视图创建一个视图。新视图将有权从表中进行选择。对 DB_data 中的视图进行 GRANT SELECT。将 DB_facade 上的视图更改为从 DB_data 上的视图中选择。并且，表将设置 DENY。

我认识到这样做的一个缺点：用户仍然可以与 DB_data 数据库交互。他们将无法访问表，但可以访问新视图。