Können Sie verknüpfte Server vor SA schützen?
https://stackoverflow.com/questions/4564206
-
14-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir haben einen Drittanbieter-Anbieter, der Software auf einem Server einrichtet. Sie haben vollen Zugriff auf diesen Server und den SQL-Server mit dem SA-Konto. Wir möchten einen verknüpften Server einrichten, damit ein Trigger Daten auf einem Remote -Computer aktualisieren kann. Bedeutet der Zugriff auf das SA -Konto notwendigerweise, dass sie vollen Zugriff auf den verknüpften Server haben, oder gibt es eine Möglichkeit, sich vor SA zu schützen?
Bearbeiten: Wir wollten ihnen die volle Kontrolle über den Server geben, da wir die volle Verantwortung haben möchten. Es nimmt uns die Schuld, wenn es nicht mehr funktioniert. "Hey, wir haben es nicht berührt, du reparierst es, du hast volle Berechtigungen." Auf diese Weise können sie alles tun, um ihre Software zum Laufen zu bringen, aber sie befindet sich in einer Sandbox -Umgebung. Wir brauchen nur einen Auslöser, um die endgültigen Datensätze aus der Datenbank herauszuholen und in unsere Produktionsdatenbank einzufügen. Das erfordert Berechtigungen, die wir ihnen nicht geben wollen. Die Frage sollte fragen, ob es eine Möglichkeit gab, das Passwort in dieser Sandbox -Umgebung unter Nasen zu speichern. sozusagen.
Lösung
Sie können den verknüpften Server so einrichten, dass Sie einen genannten Benutzer verwenden - Ihr Drittanbieter kann weiterhin "das andere Ende" des Links sehen, jedoch nur mit den Rechten, die diesem benannten Benutzer gewährt werden.
Andere Tipps
Geben Sie niemals jemandem Zugriff auf das SA -Konto.
Geben Sie ihnen stattdessen ein benanntes Benutzerkonto, auch wenn es noch über vollständige Berechtigungen zur Systemebene verfügt.
Zweitens wird der verknüpfte Server mit einem benannten Benutzer eingerichtet, der am anderen Ende einen benannten Benutzer ausgeben darf. Wenn sie ein Konto mit vollständigen Berechtigungen auf dem ersten Server haben, können sie zum anderen gelangen. Es ist so einfach wie das Ändern des Kennworts des Benutzerkontos, dem Zugriff auf den Remote -Server gewährt wird.
Was uns zu einem anderen Punkt bringt: Geben Sie niemals einer externen Einheit den vollen Rechten an irgendetwas, es sei denn, sie besitzen die Box. Wenn Sie aus irgendeinem seltsamen Grund keine andere Wahl haben, sollten Sie eine alternative Möglichkeit finden, die Daten von diesem Server auf Ihren Produktionsserver zu übertragen.
Eine Möglichkeit wäre, SSIS -Pakete einzurichten, die die Daten in einem Verzeichnis fallen lassen, den der Remote -Server für die Abholung überwacht. Sicher, dies fügt etwas mehr Komplexität hinzu, aber am Ende bedeutet es, dass Ihre Sachen immer noch sicher sind.
Schließlich sind verknüpfte Server dafür bekannt, dass sie im Allgemeinen schuppig sind. Sie sind viel besser als eine andere Möglichkeit, die Daten zu übertragen ... z. B. die Verwendung der SSIS -Methode.
