Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf OLAP-Cube (MS SQL Server 2005) unterbinden

Frage Entwicklung Datenbanken

Mitglied: Fritz0609

Fritz0609 (Level 1) - Jetzt verbinden

03.12.2007, aktualisiert 04.12.2007, 6376 Aufrufe, 4 Kommentare

Hallo,

ich hoffe mir kann jemand auf die Sprünge helfen. Ich muss vorab sagen, dass ich kein DB-Pro bin sondern aus einer ganz anderen Schiene komme. Sollten also wichtig Informationen fehlen, dann bitte nochmal nachfragen.

Kollegen von mir betreiben einen OLAP-Cube auf einem MS SQL Server. Neben dem DB-Server gibt es einen Web-Server, der für unsere User entsprechende Berichte zur Verfügung stellt. Die Nutzer melden sich dort an der Web-Oberfläche an. Die Berichte werden in Echtzeit vom DB-Server bereitgestellt (so weit ich das verstanden habe). Die User haben also auch Rechte auf der Datenbank, damit die Berichte erzeugt werden können.

Das Problem ist jetzt folgendes:
Die User können den Cube auch am Web-Server vorbei abfragen. Sie können ihn z.B. per Excel als Pivot-Tabelle importieren und sich dann eigene Berichte basteln. Dies ist nicht erwünscht.

Das Problem liegt jetzt bei mir mit der Bitte den Zugriff auf den DB-Server netzwerktechnisch von den Clients aus zu unterbinden. Das ist kein größeres Problem, aber ich kann mir einfach nicht vorstellen, dass es keine andere Möglichkeit gibt! Es muss doch möglich sein, das ganze SQL Server intern zu lösen, oder???

Gruß
Fritz0609
Mitglied: bastel
03.12.2007 um 19:34 Uhr
so wie ich das verstanden habe willst du den clients nur einen Einblick in bestimmte bereiche (Daten) deiner DB geben. Würde dir spontan vorschlagen "Visionen" zu erstellen. Dies sind die Abfragen die der User (je nach Zugriffsrecht) sieht und nur diese kann er verwenden.
Bitte warten ..
Mitglied: Biber
03.12.2007 um 19:41 Uhr
Moin Fritz0609,

da geht gedanklich etwas durcheinander, glaube ich.

Der Webserver ist (lässt man/frau die unnötigen Schnörkel weg) eine Applikation.
Dieser hat sicher auch einen Prozessuser, das heißt eine UserID/Passwort, welches die Endbenutzer nicht kennen müssen oder dürfen.
Mit dieser UserID darf sich die Applikation 1) an der DB authentifizieren und 2) alles das tun, wofür dieser User Rechte hat.
Letzteres war und ist ein manueller Akt, jemand muss diese Rechte für diesen Application-User vergeben haben. --> mit dem DB-Admin schimpfen, wenn das zu viele Rechte sind.

Wenn diese Daten in Grids präsentiert werden, die per Copy & Paste markiert/kopiert werden können oder gar den Export ins XLS erlauben--> mit den Appz-Entwicklern schimpfen.
Dann muss das weiter eingeschränkt werden.

Wenn sich User DIREKT mit der DB verbinden (können) und das aber eben nicht sein soll: -> allen Usern (außer Admistrativen Usern und Application-Usern) das Recht zum Connect wegnehmen.

Wenn die Application-EndUser die Daten nur sehen dürfen und auch kopieren, aber nienichtaufkeinenFall ändern/bearbeiten/manipulieren:
-> Daten nur als Grafik anbieten oder im PDF-Format mit Wasserzeichen.

Grüße
Biber
Bitte warten ..
Mitglied: Fritz0609
04.12.2007 um 20:13 Uhr
Erstmal vielen Dank für die schnellen Antworten. Leider komme ich dennoch noch nicht weiter
Ich glaube mein Problem liegt hier:

Der Webserver ist (lässt man/frau die
unnötigen Schnörkel weg) eine
Applikation.
Dieser hat sicher auch einen Prozessuser,
das heißt eine UserID/Passwort, welches
die Endbenutzer nicht kennen müssen oder
dürfen.
Mit dieser UserID darf sich die Applikation
1) an der DB authentifizieren und 2) alles
das tun, wofür dieser User Rechte hat.
Letzteres war und ist ein manueller Akt,
jemand muss diese Rechte für diesen
Application-User vergeben haben. --> mit
dem DB-Admin schimpfen, wenn das zu viele
Rechte sind.

Bei uns ist es so, dass sich nicht der Web-Server an der DB authentifiziert sondern der Web-Server nur die ADS-Account-Informationen an die DB weitergibt. In der DB hat der ADS Benutzer die entsprechenden Rechte, damit er sich die Daten auf dem Web-Server anschauen kann. Der User soll die Daten aber auch wirklich nur über diesen Weg anschauen dürfen und nicht sich mit Excel zur DB connecten können.

Fritz0609
Bitte warten ..
Mitglied: Biber
04.12.2007 um 23:54 Uhr
Moin Fritz0609,

tja.

Sieh es positiv: wir haben die Ursache lokalisiert.

Und Du kannst in Deiner Firma Potentiale und Verbesserungsmöglichkeiten aufzeigen.

Nein, Schadenfreude beiseite: Wenn die UserInnen "Einzel"-Rechte auf der Datenbank bzw einzelnen Views / Zeilen/Spalten selbst haben müssen oder sollen... okay.

Aber das Recht, sich mit der Datenbank zu connecten --- das brauchen sie nicht.

Nimm es ihnen weg, dann müssen sie über den Webserver. und der bekommt eine ConnectionID/einen ProzessUser.

Alles andere ist doch Augenwischerei - wenn sich jede/r Tabellen-seh-berechtigte UserIn mit einem beliebigen Tool/einem beliebigen Client gegen die DB connecten kann, dann werden natürlich die Daten kopiert, die gesehen werden können.

Und zwar gar nicht, um die meistbietend zu versteigern, sondern weil JEDER die Daten, auf die ein flüchtiger Blick erlaubt war, "sicherheitshalber" als lokale Kopie abspeichert (so genanntes "Schäuble-Syndrom").

Grüße
Biber
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Datenbanken
MS-SQL-Server + T-SQL+Batch (4)

Frage von kallewirsch zum Thema Datenbanken ...

Datenbanken
gelöst Empfehlung für Festplatten-Konfiguration bei MS SQL Server (3)

Frage von BeSt zum Thema Datenbanken ...

Windows Server
gelöst MS-SQL Server lokale Authentifizierung - Logging (5)

Frage von ThomasAnderson zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...