Здравствуйте.

В базе данных «A» MS SQL SERVER есть 2 пользователя: первый: DS\A представляет собой всех доменных пользователей. Второй DS\Pupkin представляет только одного доменного пользователя. Я хочу, чтобы к таблице A.T пользователь Pupkin имел все права, а пользователи DS\A (все, кроме Пупкина, т.к. он тоже является доменным пользователем, а значит входит в DS\A) — не имели прав. Но если просто прописать эти права в свойствах таблицы, то при определении прав Пупкина, MS SQL SERVER, видимо, понимает, что DS\Pupkin относится и к DS\Pupkin и к DS\A и наделяет этого пользователя наименьшими из прав (т.е. правами DS\A). Подскажите, пожалуйста, как обойти эту проблему?

Заранее спасибо.

PS: я не системный администратор и у меня нет прав просматривать даже то, каким образом объявлен DS\A. Системные администраторы не знают, как это сделать. Поэтому решил спросить совета здесь.

Не уверен, что вопрос можно отнести к этой конференции. Он про базы, но не про Delphi. Если не там создал — перенесите, пожалуйста.

sa-доступ есть?

> sa-доступ есть?

Если имеете ввиду доступ к учетной записи sa (т.е. с правами администратора), то нет.

> sa-доступ есть?

Но у админов есть, т.е. права можно менять. Но я не знаю, как разрешить эту «петлю» в правах.

> И. Павел  (30.11.2011 13:15:00)  [0]

Правила запрета имеют высший приоритет

> Правила запрета имеют высший приоритет

да, я уже это понял... SQL SERVER слишком хорошо исполняет свои обязанности, обнаруживая одного пользователя в другом... А мне как раз нужно, чтобы не обнаруживал.


> Ega23 ©   (30.11.11 13:45) [4]
> http://msdn.microsoft.com/ru-ru/library/ms186320.aspx

Поясните, пожалуйста, как эту функцию можно использовать в данном случае? Там же про группы, а у меня только 2 роли.

> Там же про группы, а у меня только 2 роли.

Т.е. там как раз про роли, а у меня только 2 пользователя.

> Т.е. там как раз про роли, а у меня только 2 пользователя.


Ты прочитал или как?

> Ты прочитал или как?

Прочитал уже 3 раза.
Но разве при добавлении ds\pupkin к роли sysadmin он перестанет быть частью DS\A, чтобы права брались именно исходя из sysadmin?

Завтра, конечно, проверю.

> Но разве при добавлении ds\pupkin к роли sysadmin он перестанет
> быть частью DS\A, чтобы права брались именно исходя из sysadmin?


Права Васи Пупкина складываются по "И" из всех групп, в которые входит Вася Пупкин.

> Права Васи Пупкина складываются по «И» из всех групп, в
> которые входит Вася Пупкин.

Я создал 2 роли.  В первую включил DS\A, а во вторую — DS\Pupkin. В таблице A.T запретил для первой роли все, а для второй — все разрешил. Все равно SQL SERVER не дает DS\Pupkin-у считывать данные из T.A
Речь шла об этом, или нужно сделать что-то другое?

> Права Васи Пупкина складываются по «И» из всех групп, в
> которые входит Вася Пупкин.

Я создал 2 роли.  В первую включил DS\A, а во вторую — DS\Pupkin. В таблице A.T запретил для первой роли все, а для второй — все разрешил. Все равно SQL SERVER не дает DS\Pupkin-у считывать данные из T.A
Речь шла об этом, или нужно сделать что-то другое?

PS: думал ник сменить. Но второй больно длинный, пока не буду.