INF: Banco de dados entre propriedade Chaining alterações de comportamento no SQL Server 2000 Service Pack 3

O Microsoft SQL Server Service Pack 3 (SP3) fornece uma nova opção para configurar a propriedade o banco de dados encadeamento, Ativar encadeamento para todos os bancos de dados de propriedade banco de dados durante a instalação relacionados ao aprimoramento de segurança. Este artigo discute a encadeamento de comportamento no SQL Server 2000 SP3 de propriedade banco de dados. Com essa nova opção, você pode controlar se ou não permitir encadeamento de propriedade de banco de dados. Por padrão, esta opção é desativada. A Microsoft recomenda que você use a opção padrão, porque torna o seu servidor de banco de dados mais seguro.

Encadeamento de propriedade

Por padrão, todos os objetos de banco de dados têm proprietários. Quando um objeto como um modo de exibição, um procedimento armazenado ou uma função definida pelo usuário fizer referência a outro objeto, uma cadeia de propriedade é estabelecida. Por exemplo, uma tabela que pertence pelo mesmo usuário. Quando o mesmo usuário possui o objeto de origem, o modo de exibição, procedimento armazenado ou função definida pelo usuário e todos os objetos (tabelas, modos de exibição ou outros objetos base) de destino, a cadeia de propriedade é considerada sem interrupções. Quando a cadeia de propriedade é sem interrupções, o SQL Server verifica as permissões no objeto de origem mas não em objetos de destino.

Encadeamento de propriedade do banco de dados entre

Encadeamento de propriedade de banco de dados entre ocorre quando o objeto de origem depende de objetos em outro banco de dados. Uma cadeia de propriedade no banco de dados funciona da mesma maneira como o encadeamento de propriedade em um banco de dados, exceto que uma cadeia de propriedade ininterrupta baseia todos os proprietários do objeto sendo mapeados para a mesma conta de logon. Portanto, em uma cadeia de propriedade no banco de dados, se o objeto de origem no banco de dados de origem e os objetos de destino nos bancos de dados destino forem o proprietário a mesma conta de logon, SQL Server não verifica as permissões em objetos de destino.

Se você tiver mais de um banco de dados usado por um aplicativo e que chamadas de banco de procedimentos armazenados ou exibições no banco de dados que se baseia objetos em outro banco de dados, em seguida, dados encadeamento de propriedade de aplicativo é usado. Aplicativos que dependem de encadeamento de propriedade de banco de dados podem gerar permissão negada erros se a opção de encadeamento de propriedade banco de dados estiver desativada.

Riscos associados com encadeamento de propriedade de banco de dados entre

A Microsoft recomenda que você desative a encadeamento opção por causa das ações que usuários altamente privilegiados podem executar de propriedade banco de dados:

• Proprietários do banco de dados e os membros da db_ddladmin ou as funções de banco de dados db_owners podem criar objetos que pertencem a outros usuários. Esses objetos potencialmente podem direcionar objetos em outros bancos de dados. Isso significa que se você habilitar o encadeamento de propriedade o banco de dados, você deve confiar totalmente esses usuários com dados em todos os bancos de dados. Para identificar os membros do db_ddladmin e as funções db_owners no banco de dados atual, executar o Transact-SQL seguinte comandos:
  

  exec sp_helprolemember 'db_ddladmin' exec sp_helprolemember 'db_owner'

• Os usuários com permissão CREATE DATABASE podem criar novos bancos de dados e anexar bancos de dados existentes. Se o encadeamento de propriedade de banco de dados estiver ativado, esses usuários podem acessar objetos em outros bancos de dados de bancos de dados recém-criados ou anexados.

Embora a Microsoft recomenda que você desative o encadeamento de propriedade o banco de dados para segurança máxima, há alguns ambientes onde você pode confiar totalmente seus usuários altamente privilegiado; portanto, você pode habilitar a propriedade entre banco de dados para bancos de dados específicos atender aos requisitos de aplicativos específicos.

Como configurar o banco de dados entre propriedade Chaining durante a instalação

Na instalação do Microsoft SQL Server Service Pack 3 (SP3), uma caixa de diálogo Novo foi adicionada para permitir que o administrador do sistema controlar se ou não banco de dados entre o encadeamento de propriedade será permitido. Se você selecionar Ativar encadeamento para todos os bancos de dados de propriedade banco de dados durante a instalação do SQL Server 2000 SP3, você está ativando essa opção em todos os bancos de dados. Esse foi o comportamento padrão antes de SQL Server 2000 SP3. Independentemente da opção que você seleciona durante a instalação, você pode modificar posteriormente o servidor e suporte de banco de dados para o encadeamento de propriedade banco de dados usando os comandos Transact-SQL ou do SQL Server Enterprise Manager.

Como configurar o banco de dados entre propriedade Chaining após a instalação

Para alterar a configuração de encadeamento de propriedade no banco de dados, use as novas opções no sp_configure e os procedimentos sp_dboption armazenados.

Observação Se você desanexar e, em seguida, anexe um banco de dados, você deve reativar o encadeamento de propriedade de banco de dados.

• Configurando encadeamento de propriedade banco de dados usando os comandos Transact-SQL:
  • Configure suporte para a instância do SQL Server com a nova opção Encadeamento de propriedade de banco de dados entre para sp_configure o encadeamento de propriedade banco de dados. Quando essa opção é definida como 0, você pode controlar o banco de dados encadeamento de propriedade no nível do banco de dados usando sp_dboption . Quando esta opção é definida como 1, você não pode restringir o encadeamento de propriedade de banco de dados. Esse é o comportamento do pré-SQL Server 2000 SP3. Se você alterar esta opção, inclua a opção RECONFIGURE para reconfigurar a instância sem precisar reiniciá-lo. Por exemplo, use o comando a seguir para permitir que o encadeamento de propriedade o banco de dados em todos os bancos de dados:
    

    EXEC sp_configure 'Cross DB Ownership Chaining', '1'; RECONFIGURE 
    

  • Configure o encadeamento de propriedade banco de dados no nível do banco de dados com a nova opção de encadeamento do banco de dados para sp_dboption . Quando essa opção é definida como false, o banco de dados não é possível participar de encadeamento de propriedade banco de dados como a origem ou banco de dados de destino. Quando essa opção é definida como true, o banco de dados pode participar de uma cadeia de propriedade no banco de dados. Por padrão, essa opção é false para todos os bancos de dados usuário após você aplicar o SQL Server 2000 SP3. O comando a seguir habilita o encadeamento de propriedade o banco de dados para o banco de dados Northwind:
    

    EXEC sp_dboption 'Northwind', 'db chaining', 'true'

  
  Os efeitos de sp_dboption são manifestados somente quando sp_configure opção Entre o encadeamento de propriedade de banco de dados é definida como 0. Além disso, para habilitar a encadeamento no nível do banco de dados de propriedade de banco de dados, você deve ativar essa opção de origem e banco de dados de destino.
Configurando encadeamento de propriedade banco de dados usando o SQL Enterprise Manager:
• Para definir esta opção para todos os bancos de dados, execute essas etapas:
  1. Clique com o botão direito do mouse <server>.
  2. Clique para selecionar Propriedades .
  3. Clique em segurança .
  4. Clique para selecionar Permitir entre de banco de dados o encadeamento de propriedade no encadeamento de propriedade seção.
  5. Clique em OK. Você será solicitado a interromper e reiniciar os serviços do SQL Server.
  6. Clique em OK .
• Para ativar essa opção no nível do banco de dados, execute estas etapas:
  1. Clique com o botão direito do <database>.
  2. Clique para selecionar Propriedades .
  3. Clique em Opções .
  4. Clique para selecionar Permitir banco de dados entre o encadeamento de propriedade na seção configurações