Server 2016安全性-限制用户查看单个数据库

Question

我们的客户需求，是限制其他用户查看/访问数据库，如果他们没有被分配工作。

关于如何设置数据库的一些背景知识：

为每个客户端创建一个新的数据库来承载他们的数据。此外，还有其他数据库被前端应用程序使用。

• 有三种用户类型：
  1. 数据管理器-根据数据修改表，加载数据，执行SP
  2. 应用程序用户-由前端web应用程序使用
  3. 中小企业-他们是从事数据库工作的数据专家。

上述所有用户都配置为SysAdmin角色。我们理解这不是一个很好的做法，我们正在努力为每个db用户分配适当的角色。

考虑一下这种情况：

确实有

• 5个数据库
• 3个数据管理器，3个中小企业和1个应用程序用户。

分配了1个数据管理器和1个中小企业来处理客户数据。

此外，默认情况下，应用程序用户必须进行访问。

预期是：

• 2个数据管理器将可以访问4个数据库(不包括此客户端)
• 2中小企业将可访问4个数据库(不包括此客户)
• 1应用程序用户可以访问所有数据库。
• 1指定的数据管理器将能够访问所有数据库
• 1指定的中小企业将能够访问所有数据库。

我对Server 2016安全性和角色的了解有限。请就这一要求提出一个方法。

Answer 1

包含数据库是你的选择。您的服务器版本支持它们。

您的用户中没有人需要服务器访问，所有这些都可以通过相应的数据库进行身份验证。因此，除了映射它们之外，没有人会“看到”其他数据库。

“查看”所有数据库的问题源于授予公共的VIEW ANY DATABASE服务器级权限，如果您将其从公共级撤销或拒绝给某人，则登录甚至不会“查看”它映射到的数据库，除非数据库所有者(不要与db_owner数据库角色的成员混淆，所有者只是一个拥有数据库的服务器主体)。

因此，当我们没有登录时，我们就没有每个人都能看到的数据库问题。