With encryption - Prozedur

Question

Hallo Forum,
ich habe ein folgendes Problem:
manche User sollen auf einem SQL-Server (2005/2008) die Berechtigung haben, eigene Backup/Restore zu machen. Die Einschränkungen für diese Privilegien sind: Backup/Restore nur aus einem (von mir/uns-Admins) vorgesehen Verzeichnis zu machen, Backups werden nur mit Copy_Only - Option ausgeführt um nicht die Backup-Kette zu zerstören, da wir standardmäßig die Backups von den User-DBs fahren.
Mein Lösungsansatz (fast fertig): ich habe prozeduren (Backup/Restore) "with_encryption" erstellt, diese Prozeduren greifen auf ein von mir festgelegtes Laufwerk zu, wo Backup/Restore-Files abgelegt werden und sollen mit "sa"-Berechtigung ausgeführt werden. "With_encryption" deswegen, weil ich nicht will, dass der User die Prozeduren im Klartext (sa-Passwort!) sieht. Ich würde dann die Prozeduren mit sa-Berechtigungen ausführen wollen, in den Prozeduren könnte ich doch sa-Passwort "hard codieren" -User sieht den Text ja nicht, aber wie führe ich diese Prozeduren als nicht "sa" mit der "sa"-Berechtigung aus? Danke für Eure Hilfe, Purclot

Answer 1

Hallo Purclot,

es gibt die EXECUTE AS Klausel, mit der man den User Kontext festlegen kann, in dem die SP ausgeführt werden soll.

Nur warum den unbedingt den "sa" Account verwenden und warum verschlüsseln? Wenn Du den Usern Rechte zum Ausführen gibst, können sie deswegen noch den Code einsehen, dazu bräuchten sie VIEW DEFINITION Rechte. Ob Besitzverkettung bei Backup/Restore auch funktioniert, weiß ich nicht (nie ausprobiert), aber anderfalls würde es reichen, die User in die Datenbank-Rolle db_backupoperator zu stecken.

---

Olaf Helper
* cogito ergo sum * errare humanum est * quote erat demonstrandum *
Wenn ich denke, ist das ein Fehler und das beweise ich täglich
Blog Xing

Answer 2

Hallo Olaf,

1. ich möchte, dass die BAckups nur im von mir festgelegtem Verzeichnis liegen/abgelegt werden.
2. wenn ich die User in die enstprechende Server-Rolle hinzufüge, dann machen die Backup ohne "With copy_only" und machen die Backup-Sequenze kaputt. Das will ich vermeiden und gleichzeitig den User die Möglichkeit geben eigene Backups zu fahren. Das sind die Gründe.
Ich werde es mit "Execute as" testen.
Vielen Dank
P.

Answer 3

Ich werde es mit "Execute as" testen.

****************************************************************************************************************
Dieser Thread wurde mangels weiterer Beteiligung des Fragestellenden ohne bestätigte Lösung abgeschlossen.
Neue Rückfragen oder Ergänzungen zu diesem Thread bleiben weiterhin möglich.
****************************************************************************************************************

---

Robert Breitenhofer, MICROSOFT 
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „Entwickler helfen Entwickler“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.