Webシステムを作成し、データベースのアクセスにはWindows認証を使う場合、Management Studio からはアクセスさせたくないと言ったようなことが出来るのでしょうか

Question

あまり SQL Server には詳しくないため、とんちんかんな事を言っているようでしたらご指摘ください。

顧客管理といったような社内Webシステムを構築しようと考えております。データベースのアクセスにWindows認証が推奨されているようですが、この場合、ユーザーがManagement Studio をダウンロードしてインストールした場合、顧客管理のデータベースにアクセスできてしまうのを回避することが可能なのか教えていただけたらと思います。顧客管理のデータが入っているテーブルは、テーブル内のレコード単位でユーザーが見てよい、見てはいけないといったようになるため、Management Studio 等を用いてテーブル内のデータを丸々見られてしまうと問題が生じます。このような用途の場合は、SQL Server 認証のほうが良いのでしょうか。

よろしくお願い申し上げます。

Answer 1

多くのDBMSで行ごとのアクセス制限を設けることは不可能です。
設計としても一般的ではありません。
ちょっとしたケアレスミスでおおごとになる可能性が有るからです。

「パナソニック」はパナソニック株式会社の商標です。
たとえ関係者であってもハンドルネームとしての使用は控えるのが賢明かと存じます。

Answer 2

> ユーザーがManagement Studio をダウンロードしてインストールした場合、顧客管理
> のデータベースにアクセスできてしまうのを回避することが可能なのか

もちろん可能です。権限の設定でログインさえできないようにできますし、ログインできても特定のデータベースに特定の操作しかできないようにすることもできます。

Web アプリからのアクセスになるそうですが、そのアクセス権を適切に設定しておけば（ASP.NET の場合ならワーカープロセスのみにアクセス権を与える）、そのような問題は回避できるはずです。

Answer 3

DBサーバーと各社員用マシンがすべてドメインに参加していれば、Windowsユーザーに応じて権限を振り分けることは可能です。

参考ページ

http://social.msdn.microsoft.com/Forums/ja-JP/sqlserverja/thread/28f6dea8-a5cb-4fe4-a569-948cceaf9272/

http://msdn.microsoft.com/ja-jp/library/ms144284.aspx

あとSQL Server 自習書の「ログイン認証とオブジェクト権限」が参考になるかもしれません。

http://www.microsoft.com/ja-jp/sqlserver/2012/technology/self-learning.aspx

Answer 4

ご返信頂きまして誠にありがとうございます。私は誤解をしておりました。Webからのアクセスのユーザーは1ユーザーしかないという認識でしたが、Windows認証だとユーザーが個々になると勝手に思い込んでいたようです。以下のような例を参考に設定してみたいと思います。ありがとうございました。

http://

awoni.net/

fc/

apppool-identity/

※参加したてでURL貼り付け禁止になっているため改行分解いたしました。

Answer 5

ご指摘ありがとうございます。確かに賢明であるほうが良いと思いますので、商標登録のない名称に変更させていただきました。

感謝申し上げます。

Answer 6

ご返信ありがとうございました。大変参考になりました。