запретить администратору SQL Server изменять пользователя в базе данных?

Question

Можно ли помешать администратору SQL Server изменить пользователя в базе данных? Дело в том, что пользователь, созданный приложением, имеет права ReadOnly на базу данных. Администратор сервера клиента не должен иметь права изменять эти права или другие настройки этого пользователя и базы данных.

Answer 1

Нет, вы не можете этого сделать. Администратор является администратором по причине ...

Answer 2

Ну, э-э-э, нет.

Администратор имеет полный доступ к базе данных. Вы не можете запретить людям иметь полный доступ к базе данных, которую они сами устанавливают и которой владеют.

Таким образом, они могут свободно связываться со структурой базы данных, а также могут удалять важные файлы в приложении.

Поэтому я бы сказал, что лучшее, что вы можете сделать, это указать своим клиентам, что схема базы данных - это та, которую вы разработали и протестировали, и если они вносят какие-либо изменения, вы не можете гарантировать правильность приложения. 1007 *

Если у вас есть какой-то суперспортивный юрист, вы можете создать лицензионное соглашение, запрещающее с ним связываться, как Apple пытается сделать незаконной установку OS-X на ПК;)

Answer 3

Если вы используете SQL Server 2008, подумайте, можете ли вы создать триггер DDL с помощью команды alter login. Как администратор, они все еще могут отключить это, но, по крайней мере, в первый раз они узнают, что изменение не было зафиксировано и почему. Скорее всего, они не откажутся от триггера, так как любые изменения в логине, вероятно, будут вызваны тем, что они не знали, что не предполагали. Это не идеальное решение, но это будет один уровень защиты.

Answer 4

Можете ли вы воздержаться от предоставления клиенту подробной информации об учетной записи администратора и создать вход с указанными вами разрешениями / ограничениями? Это может быть учетная запись «admin» клиента.