Права на создание и удаление несистемных таблиц

IPerm
Дата: 21.01.2013 17:56:21
Доброго времени суток.

В аудитории, где проходят курсы для разработчиков нужно настроить права. Авторизация происходит через винду в домене. Отдельная группа для разработчиков в AD есть.
Следующим действием надо в Security -> Logins -> New Login ... ->
  • Во вкладке Generals нужно добавить нужную группу
  • По остальным вкладкам - полный провал в знаниях.

    Спасибо
  • Гость333
    Дата: 21.01.2013 18:01:13
    IPerm,

    Не очень понятно — все разработчики будут создавать/удалять таблицы в одной и той же БД?
    Crimean
    Дата: 21.01.2013 18:23:50
    жесть. обычно у каждого локально разворачивается полный стенд. и они там сисадмины. ибо если будут на одном сервере - друг другу все порушат. ну или делать каждому свою базу на общем сервере, тогда каждого на базу овнером пускать. если конечно курсы не предполагают тренинг административных действий на самом сервере. ибо если предполагают - смотри п.1.
    )))
    Дата: 21.01.2013 18:38:05
    create login [dom\gr] from windows
    go
    
    create database ttt
    go
    
    use ttt
    go
    
    create user [dom\gr] from login [dom\gr]
    go
    
    exec sp_addrolemember 'db_owner', [dom\gr]
    go
    


    любой входящий в группу [dom\gr] будет db_owner в базе ttt.
    это надо было?
    IPerm
    Дата: 21.01.2013 21:13:48
    Crimean
    жесть. обычно у каждого локально разворачивается полный стенд. и они там сисадмины. ибо если будут на одном сервере - друг другу все порушат. ну или делать каждому свою базу на общем сервере, тогда каждого на базу овнером пускать. если конечно курсы не предполагают тренинг административных действий на самом сервере. ибо если предполагают - смотри п.1.


    У каждого на компе по sql server'y. В идеале хочется дать как можно больше прав на работу с локальными базами и таблицами, но без возможности менять права (речь идёт о разработке ПО в большей степени, чем обучению администрирования).

    С ролью dbcreator'а (мб ещё чем-нибудь, могу уточнить только завтра) текущее состояние выглядит достаточно неплохо, однако в данный момент невозможно присоединить бд (приходится из дома приносить скрипт генерации бд; не работает [de]attach), переименовать и удалить. Нужно бы это разрешить, но чтоб только для пользовательских.
    IPerm
    Дата: 22.01.2013 07:35:50
    IPerm
    С ролью dbcreator'а (мб ещё чем-нибудь, могу уточнить только завтра)

    Да. В данный момент права стоят public & dbcreator во вкладке Server Roles
    Crimean
    Дата: 22.01.2013 11:09:39
    IPerm,

    ага. начало правильное. у каждого дева локальный сиквел для полноценной разработки и чтобы не мешали друг другу
    дальше надо билд-машину строить, независимую от всех девов. ну и дальше делать пару "общих" тестовых площадок, на которых минимум прав - типа alter trace + view server state на сервере + reader + ddl admin в базе, вряд ли больше
    Гость333
    Дата: 22.01.2013 13:33:23
    IPerm,

    Если есть возможность, можно поднять на всех компьютерах разработчиков по виртуалке. Дать там админские права, и пусть каждый делает в своей песочнице что хочет. Курсы закончились — перезаливаем виртуалки, аудитория готова к следующим посетителям.
    IPerm
    Дата: 23.01.2013 11:12:29
    Гость333
    IPerm,
    Если есть возможность, можно поднять на всех компьютерах разработчиков по виртуалке.

    Железо не потянет, даже если в качестве хоста какой-нибудь легковесный лин с виртуалбоксом поставить.

    Crimean
    дальше надо билд-машину строить, независимую от всех девов. ну и дальше делать пару "общих" тестовых площадок

    Билдить и тестить их проги на отдельной машине? Зачем их дальше пересекать, если сейчас каждый локально на своём компе?

    Crimean
    на которых минимум прав - типа alter trace + view server state на сервере + reader + ddl admin в базе, вряд ли больше

    Про сервер я не понял ничего, а вот касательно прав в базе:
    ddladmin вывело на http://msdn.microsoft.com/en-us/library/ms189612.aspx
    Упоминание ddladmin есть в User Mapping для каждой таблицы. Автоматически же не будет применяться для созданных пользователем таблиц? И зачем, если он при создании и так становится db_owner? Меня это устраивает.

    Проблема сейчас в attach.
    TITLE: Microsoft SQL Server Management Studio
    ------------------------------
    Cannot show requested dialog.
    ------------------------------
    ADDITIONAL INFORMATION:
    Parameter name: nColIndex
    Actual value was -1. (Microsoft.SqlServer.GridControl)
    


    С переименованием и deattach я погорячился, руками проверил - разрешено.
    Есть также проблема с удалением истории при удалении бд (бд удаляется нормально), но это менее критично.
    The EXECUTE permission was denied on the object 'sp_delete_database_backuphistory', database 'msdb', schema 'dbo'. (Microsoft SQL Server, Error: 229)
    
    Crimean
    Дата: 23.01.2013 11:35:05
    IPerm,

    каша какая-то. что сделать-то хотите?