Настройка прав доступа к базам данных
Управление доступом к базам данных можно производить несколькими способами:
Создание пользователей и настройка прав доступа к базам данных в SQL Server Management Studio
Для создания пользователя с аутентификацией Windows необходимо выбрать пользователя или группу пользователей по кнопке «Найти…».
На странице Сопоставление пользователей отмечаются галочками базы данных, для которых установлен доступ для данного пользователя и членство в роли в базе данных. Новый пользователь в базе данных создается с правами Пользователя (подробнее о возможностях групп пользователей см. Руководство пользователя, глава Управление доступом к базам данных). Чтобы дать пользователю права Администратора базы данных, необходимо в списке Членство в роли базы данных для: отметить галочкой роль ‘db_owner’.
Также возможно добавление существующего пользователя из раздела Безопасность → Пользователи выделенной базы. Для этого необходимо выбрать пункт контекстного меню «Создать пользователя…», задать Имя пользователя, ввести вручную или выбрать по кнопке 
Имя входа созданного ранее пользователя. Чтобы дать пользователю права Администратора базы данных, необходимо в списке Членство в роли базы данных отметить галочкой роль ‘db_owner’.
Установка Microsoft SQL Server 2017 (2019) заканчивается ошибкой У установщика недостаточно прав для доступа к каталогу
Установка заканчивается ошибкой (текст из Лог-файла):
«У установщика недостаточно прав для доступа к каталогу: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2017. Продолжение установки невозможно. Войдите в систему как администратор или обратитесь к системному администратору.»
На компьютере учетка с правами администратора, так же пробовал из Администратора, но эффект тот же.
Запущен инстал был с правами админина.
Дал к папке C:\ProgramData полный доступ администраторам, не помогает (скрин во вложении)
Пробовал установить на другой диск, но кончается тем же, что нет доступа к C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2017 (2019).
Ранее был установлен MS VISUAL STIDIO. Думал удалив его проблема разрешится, но нет.
Винда 10 Домашняя, последние обновления. Антивир удалил, защитник винды только.
(скрины с правами доступа и самой ошибкой во вложении, также лог файл в спойлере).
Помогите. Может еще где доступ дать надо.
Setup completed with required actions for features.
Troubleshooting information for those features:
Next step for FullText: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for sql_inst_mpy: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for sql_inst_mr: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for AdvancedAnalytics: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for SQLEngine: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for Replication: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for Browser: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for SDK: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for Conn: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for BC: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for SNAC_SDK: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Next step for ComponentUpdate: Устраните ошибку, пользуясь следующими сведениями, а затем запустите процесс установки еще раз.
Machine Properties:
Machine name: DESKTOP-82R15GP
Machine processor count: 4
OS version: Майкрософт Windows 10 Домашняя для одного языка (10.0.18363)
OS service pack:
OS region: Россия
OS language: русский (Россия)
OS architecture: x64
Process architecture: 64-разрядная версия
OS clustered: Нет
Product features discovered:
Product Instance Instance ID Feature Language Edition Version Clustered Configured
Package properties:
Description: Microsoft SQL Server 2017
ProductName: SQL Server 2017
Type: RTM
Version: 14
SPLevel: 0
Installation location: C:\SQLServer2017Media\ExpressAdv_RUS\x64\setup\
Installation edition: Express
Product Update Status:
Не обнаружено.
Параметры пользовательского ввода:
ACTION: Install
ADDCURRENTUSERASSQLADMIN: true
AGTSVCACCOUNT: NT AUTHORITY\NETWORK SERVICE
AGTSVCPASSWORD: *****
AGTSVCSTARTUPTYPE: Disabled
ASBACKUPDIR: Backup
ASCOLLATION: Latin1_General_CI_AS
ASCONFIGDIR: Config
ASDATADIR: Data
ASLOGDIR: Log
ASPROVIDERMSOLAP: 1
ASSERVERMODE: TABULAR
ASSVCACCOUNT:
ASSVCPASSWORD:
ASSVCSTARTUPTYPE: Automatic
ASSYSADMINACCOUNTS:
ASTELSVCACCT:
ASTELSVCPASSWORD:
ASTELSVCSTARTUPTYPE: 0
ASTEMPDIR: Temp
BROWSERSVCSTARTUPTYPE: Disabled
CLTCTLRNAME:
CLTRESULTDIR:
CLTSTARTUPTYPE: 0
CLTSVCACCOUNT:
CLTSVCPASSWORD:
CLTWORKINGDIR:
COMMFABRICENCRYPTION: 0
COMMFABRICNETWORKLEVEL: 0
COMMFABRICPORT: 0
CONFIGURATIONFILE:
CTLRSTARTUPTYPE: 0
CTLRSVCACCOUNT:
CTLRSVCPASSWORD:
CTLRUSERS:
ENABLERANU: true
ENU: false
EXTSVCACCOUNT: NT Service\MSSQLLaunchpad$SQLEXPRESS
EXTSVCPASSWORD:
FEATURES: SQLENGINE, REPLICATION, ADVANCEDANALYTICS, SQL_INST_MR, SQL_INST_MPY, FULLTEXT, CONN, BC, SDK, SNAC_SDK
FILESTREAMLEVEL: 0
FILESTREAMSHARENAME:
FTSVCACCOUNT: NT Service\MSSQLFDLauncher$SQLEXPRESS
FTSVCPASSWORD:
HELP: false
IACCEPTPYTHONLICENSETERMS: true
IACCEPTROPENLICENSETERMS: true
IACCEPTSQLSERVERLICENSETERMS: true
INDICATEPROGRESS: false
INSTALLSHAREDDIR: C:\Program Files\Microsoft SQL Server\
INSTALLSHAREDWOWDIR: C:\Program Files (x86)\Microsoft SQL Server\
INSTALLSQLDATADIR:
INSTANCEDIR: C:\Program Files\Microsoft SQL Server\
INSTANCEID: SQLEXPRESS
INSTANCENAME: SQLEXPRESS
ISMASTERSVCACCOUNT: NT AUTHORITY\Network Service
ISMASTERSVCPASSWORD:
ISMASTERSVCPORT: 8391
ISMASTERSVCSSLCERTCN:
ISMASTERSVCSTARTUPTYPE: Automatic
ISMASTERSVCTHUMBPRINT:
ISSVCACCOUNT: NT AUTHORITY\Network Service
ISSVCPASSWORD:
ISSVCSTARTUPTYPE: Automatic
ISTELSVCACCT:
ISTELSVCPASSWORD:
ISTELSVCSTARTUPTYPE: 0
ISWORKERSVCACCOUNT: NT AUTHORITY\Network Service
ISWORKERSVCCERT:
ISWORKERSVCMASTER:
ISWORKERSVCPASSWORD:
ISWORKERSVCSTARTUPTYPE: Automatic
MATRIXCMBRICKCOMMPORT: 0
MATRIXCMSERVERNAME:
MATRIXNAME:
MRCACHEDIRECTORY:
NPENABLED: 0
PBDMSSVCACCOUNT:
PBDMSSVCPASSWORD:
PBDMSSVCSTARTUPTYPE: 0
PBENGSVCACCOUNT:
PBENGSVCPASSWORD:
PBENGSVCSTARTUPTYPE: 0
PBPORTRANGE:
PBSCALEOUT: false
PID: *****
QUIET: false
QUIETSIMPLE: false
ROLE: AllFeatures_WithDefaults
RSINSTALLMODE: DefaultNativeMode
RSSVCACCOUNT:
RSSVCPASSWORD:
RSSVCSTARTUPTYPE: Automatic
SAPWD:
SECURITYMODE:
SQLBACKUPDIR:
SQLCOLLATION: Cyrillic_General_CI_AS
SQLSVCACCOUNT: NT Service\MSSQL$SQLEXPRESS
SQLSVCINSTANTFILEINIT: false
SQLSVCPASSWORD:
SQLSVCSTARTUPTYPE: Automatic
SQLSYSADMINACCOUNTS: DESKTOP-82R15GP\DIEZx
SQLTELSVCACCT: NT Service\SQLTELEMETRY$SQLEXPRESS
SQLTELSVCPASSWORD:
SQLTELSVCSTARTUPTYPE: Automatic
SQLTEMPDBDIR:
SQLTEMPDBFILECOUNT: 1
SQLTEMPDBFILEGROWTH: 64
SQLTEMPDBFILESIZE: 8
SQLTEMPDBLOGDIR:
SQLTEMPDBLOGFILEGROWTH: 64
SQLTEMPDBLOGFILESIZE: 8
SQLUSERDBDIR:
SQLUSERDBLOGDIR:
SUPPRESSPRIVACYSTATEMENTNOTICE: false
TCPENABLED: 0
UIMODE: AutoAdvance
UpdateEnabled: true
UpdateSource: MU
USEMICROSOFTUPDATE: true
X86: false
Создание нового пользователя и настройка прав доступа в MySQL
В современных реалиях сложно найти даже самое простое приложение, которое бы не требовало подключения базы данных – места для хранения электронной информации. Обычно для работы с такими хранилищами используется система управления базами данных. MySQL – самая распространенная и популярная СУБД в мире.
Давайте выясним, чем же она хороша и как с ней работать.
База данных MySQL: что это такое и в чем ее преимущества
MySQL – это реляционная система управления базами данных с открытым исходным кодом, написанная на языках программирования C и C++. Благодаря ей можно оптимизировать работу сайта или мобильного/десктопного приложения.
База данных – это место для структурированного хранения данных. Например, чтобы найти в смартфоне сохраненную картинку, мы используем для этого галерею. В данном случае картинки – это данные, а галерея – база данных.
Такой же подход используется и на многих сайтах, где подключены формы регистрации, системы оформления заказа и прочее. Когда вы регистрируетесь на сервисе, вся полученная от вас информация сохраняется в базе данных – благодаря этому вы можете повторно войти в свой аккаунт и получить доступ к внесенным ранее изменениям.
Если вести крупный ресурс без БД, то на это будет уходить очень много времени и средств. Базы данных группируют и упорядочивают информацию, упрощают получение доступа к ней. Чтобы администрировать такой большой поток данных, используются СУБД: MySQL, Microsoft SQL Server, PostgreSQL и другие.
MySQL хранит всю информацию в табличном виде. Извлечь данные из одной или нескольких таблиц можно с помощью запроса. Запросы в MySQL – это то, на чем все строится, с их помощью можно выполнять всевозможные операции с данным.
Столбцы таблицы всегда строго упорядочены, а расположение строк при необходимости может меняться в зависимости от информации в ячейках. Посмотрите на простую адресную книжку в виде таблицы:
Принцип работы с таблицами следующий: к серверу, на котором хранятся и обрабатываются структурированные данные, подключаются клиенты для получения необходимой информации, а для взаимодействия между пользователем и сервером используется специальное ПО. Заполнение подобных и более крупных таблиц происходит с помощью языка программирования SQL.
Исходя из пользовательского опыта, можно выделить следующие особенности MySQL:
На этом с теоретической частью закончим.
Создание нового пользователя в MySQL
После установки MySQL в базе данных автоматически будет создан новый пользователь root. Работать под таким именем небезопасно, поэтому рекомендуется создавать нового пользователя и выполнять необходимые действия под ним. Давайте рассмотрим два способа создания нового пользователя в MySQL – через phpMyAdmin и через консоль.
Вариант 1: с помощью phpMyAdmin
Нам потребуется phpMyAdmin – приложение для работы с базой данных, которое обычно по умолчанию предустановлено на хостинге либо локальном сервере.
Чтобы добавить нового пользователя в phpMyAdmin, воспользуемся инструкцией:
Подробнее о правах доступа мы поговорим чуть позже, а пока давайте рассмотрим альтернативный метод добавления пользователя в БД.
Вариант 2: через консоль
Если вы подключаетесь к серверу по SSH, то этот способ для вас. Нам потребуется выполнить несколько команд:
Первым дело активируем сервер базы данных:
Создадим нового пользователя:
В кавычках потребуется изменить следующие данные: user – имя пользователя, pswrd – пароль.
Пока что пользователь не имеет разрешений, а значит, не может получить доступ к MySQL. Для решения такой проблемы пропишем еще одну строчку кода:
Мы выдали указанному пользователю все доступные права. Осталось сохранить внесенные изменения с помощью команды:
Готово! Теперь вы знаете, как создать нового пользователя в MySQL с правами доступа root.
Права доступа
В MySQL выделяют следующие права доступа:
Как изменить права доступа в MySQL
Чтобы предоставить те или иные права доступа, мы можем воспользоваться административной панелью или консолью.
Способ 1: через phpMyAdmin
Изменяем права доступа:
Таким образом, мы настроили права доступа для одного пользователя. Впоследствии вы сможете их изменить аналогичным способом.
Вариант 2: в терминале
В данном случае нам потребуется всего несколько команд. Если требуется изменить права доступа для выбранного пользователя MySQL, то необходимо выполнить следующее:
Значения внутри скобок необходимо заменить:
Если нужно указать несколько прав, то их необходимо прописать через запятую:
Если нужно удалить права у выбранного пользователя:
Полностью удалить пользователя можно командой:
Как посмотреть права доступа в MySQL
Для того чтобы посмотреть, какие права доступа выданы пользователю MySQL, достаточно в консоли прописать команду:
На этом моя статья подходит к концу. Надеюсь, что создать нового пользователя в MySQL для вас больше не проблема. Спасибо за внимание!
[РЕШЕНО] MS SQL Права учетной записи программы установки
Главная » Windows » [РЕШЕНО] MS SQL Права учетной записи программы установки
Описание MS SQL Права учетной записи программы установки
Столкнулся с такой проблемой удаления экземпляра Microsoft SQL Server 2017:
Ошибка гласит:
Проверка правила «Права учетной записи программ установки» окончилась неудачно.
Учетная запись, выполняющая установку SQL Server, не имеет части следующих прав: права архивации файлов и папок, права управления аудитом и журналами безопасности и права отладки программ. Чтобы продолжить установку, войдите в систему с учетной записью, имеющей все эти права.
Решение MS SQL Права учетной записи программы установки
1) Идем в оснастку Локальная политика безопасности
Win + R и вводим secpol.msc
Другие полезные команды в шпаргалке по musthave командам Windows
2) В открывшейся оснастке идем в Параметры безопасности > Локальные политики > Назначение прав пользователя
3) Добавляем своего пользователя в группы Восстановление файлов и каталогов, Отладка программ, Управление аудитом и журналом безопасности
4) Если у вас Active Directory и вы по бестпрактису секюрности домена убрали всех пользователей из группы Отладка программ, как я :), то идем на контроллер домена, ищем в GPO политику и временно добавляем себя в эту группу, а после установки/удаления MS SQL Server, возвращаем всё как было.
5) Всё работает, Вы восхитительны
Если Вам было полезно или есть вопросы, оставляйте комментарии, всем удачи 
Решение проблем с правами доступа в MySQL: вопросы и ответы
В феврале этого года Света Смирнова (ведущий инженер компании Percona) провела вебинар, посвященный решению проблем с правами доступа в MySQL. Запись и слайды с вебинара доступны здесь. Предлагаем вашему вниманию небольшой обзор самых популярных вопросов на эту тему.
Какие права нужно давать пользователю root@localhost: ALL или Super? Включают ли права All и Super права тоже?
У вас обязательно должен быть пользователь с полными правами. Лучше, если у этого пользователя будет доступ только из localhost. Права ALL включают права SUPER.
У нас есть пользователи, подключающиеся с ноутбуков, которые получают динамические IP-адреса, так что предоставление доступа через имя сервера — наиболее простой способ управления этими пользователями. Можно ли предоставить доступ к базе данных MySQL с помощью имени хоста, а не IP-адреса? Например, myname@mymachine.mydomain.com вместо “myname@10.10.10.10”? Требуется ли для этого кэш хоста/performance_schema?
Да, можно. Но похоже, я недостаточно разъяснила, что такое кэш хоста. Это внутренняя структура, которая всегда доступна и содержит ответы от DNS-сервера. Вы не можете включить его или выключить. До версии 5.6 вы также не могли контролировать его. К примеру, если кэш оказался поврежден, единственное, что вы могли сделать — это перезапустить сервер. В версии 5.6 таблица HOST_CACHE была представлена в Performance Schema. С помощью этой таблицы вы можете проверить содержимое кэша хоста и, при необходимости, очистить его.
Если в таблице пользователей имеется несколько записей, которые соответствуют подключаемому пользователю (например, через шаблоны, имя хоста и IP), по каким правилам MySQL выбирает, какая из них будет использоваться для аутентификации? Будет ли он проверять каждую, пока не получит совпадение пароля?
Нет, mysqld не пытается взломать ваши пароли. Вместо этого он сортирует таблицу пользователей по имени и хосту в порядке убывания, как показано на слайде №37 (стр. 110). Затем он берет первую подходящую строку. То есть, если вы создали пользователей foo@somehost, foo@some% и foo@1.2.3.4, а подключаетесь как foo из somehost, mysqld сначала проверяет имя пользователя, а затем выбирает первую подходящую строку foo@somehost. Если вместо этого вы подключаетесь как foo от someotherhost, mysqld выбирает foo@some%. Хост на базе IP выбирается, либо если mysqld запущен с опцией skip-networking, либо если 1.2.3.4 указывает на хост, чье имя не начинается с «some».
Смешивание хостов на основе IP с хостами на основе имен опасно в ситуациях, когда один и тот же хост может быть принят и как somehost, и как 1.2.3.4. В этом случае, если что-то пойдет не так с кэшем хоста или DNS-сервером, может быть выбрана неправильная запись из таблицы пользователей. Допустим, первоначально у вас было три хоста: uniquehost (который преобразовывается как 1.2.3.4), somehost (который преобразовывается как 4.3.2.1) и someothershost (который преобразовывается как 4.3.2.2). Теперь вы решили переместить uniquehost на машину с IP 1.2.3.5 и использовать IP 1.2.3.4 для хоста с именем someyetanotherhost. В этом случае клиенты с машины с IP 1.2.3.4 будут рассматриваться как foo@some%, а это совсем не то, что вы хотели.
Чтобы продемонстрировать этот случай, я создала двух пользователей и выдала им два разных набора прав:
Затем я изменила файл /etc/hosts и указала адрес 192.168.0.4 для имени Thinkie:
Теперь если я подсоединюсь как sveta, и Thinkie, и 192.168.0.4 будут преобразованы в один и тот же хост:
После этого я изменила файл /etc/hosts и снова привязала Thinkie к 127.0.0.1 (localhost):
Но хост 192.168.0.4 по-прежнему преобразовывается в Thinkie:
Причиной этого является устаревший кеш хоста, что хорошо видно в Performance Schema:
После очистки таблицы host_cache числовой хост преобразовывается так, как я ожидаю:
Какие права требуются не root и не super пользователю, чтобы использовать mysqldump для сброса базы данных и последующего ее восстановления на другом сервере?
Если в MySQL достигнуто значение max_connection, может ли залогиниться root@localhost с правами ALL или пользователь с правами Super?
ALL включает SUPER, так что пользователь с правами ALL сможет залогиниться. Но имейте в виду, что такое соединение может быть только одно, поэтому не выдавайте права SUPER или ALL пользователю приложения.
Можно ли удалить привилегию на более низком уровне? Другими словами, разрешить выбирать и удалять на уровне базы данных, но запретить удаление для конкретной таблицы? Или привилегии можно только добавлять?
Нет, MySQL отклонит такой запрос:
Каким образом можно организовать пользовательские роли… в виде группы грантов для конкретной роли?
У вас есть несколько вариантов:
Я бы удалила прокси-пользователя и создала роль с теми же правами, а затем назначила прокси-пользователю эту новую роль вместо PROXY.
Существует ли плагин для интеграции Active Directory и MySQL, чтобы использовать группы Active Directory?
Существует коммерческий плагин аутентификации Windows Authentication Plugin, доступный в версиях 5.5 и новее. Вы также можете использовать плагин аутентификации с открытым исходным кодом Percona PAM authentication plugin и подключить его к Active Directory так же, как это делается для LDAP. Есть статья, в которой описывается, как это сделать, но я сама никогда не использовала этот метод.
Можно ли использовать централизованную аутентификацию в MySQL?
Да, с помощью плагина PAM. Есть инструкции для LDAP и Active Directory. Вы можете использовать аналогичные методы для установки других видов аутентификации, таких как Kerberos.
Друзья, если работа с MySQL является для вас ежедневной задачей, обязательно приезжайте к нам на PG Day’17 Russia. Света Смирнова, Петр Зайцев и другие специалисты компании Percona готовят для вас увлекательные доклады и мастер-классы об устройстве и функционировании MySQL в рамках секции, посвященной базам данных с открытым исходным кодом.