Разграничение прав доступа к данным. Типовые способы разграничения прав доступа к данным.

Рассмотрим типовые способы разграничения прав доступа к данным. Пусть информационная система установлена таким образом, что файлы графических данных расположены на Windows 2000 Server, атрибутивные данные хранятся в СУБД Microsoft SQL Server 2000, установленном на данном Windows 2000 Server, каждый пользователь имеет бюджет для входа на Windows 2000 Server.

Ограничение доступа к данным некоторого слоя информационной системы на чтение некоторому пользователю (имеющему бюджет с именем CadasterViewer) выполняется следующим образом (рассмотрим на примере слоя. Источники тепловой энергии). С помощью Windows Explorer находится шейп-файл, хранящий графические данные данного слоя, в данном случае - HeatSources.shp. Выделяются (удерживая клавишу Ctrl и щелкая мышью на файлах) три файла - HeatSources.shp, HeatSources.shx и HeatSources.dbf. Далее выбором в контекстном меню этих файлов пункта Свойства открывается диалоговое окно свойств данных файлов, в котором надо переместиться на закладку Безопасность и снять признак Переносить наследуемые от родительского объекта разрешения на этот объект. Затем в список Имя, перечисляющий пользователей, имеющих доступ к данным файлам, следует занести требуемые имена бюджетов пользователей, и в данном случае CadasterViewer. Выделив данное имя в списке, в следует установить галочки на пункте Разрешить чтение в списке Разрешения, а остальные галочки - снять. Далее, нажатием кнопки ОК окно свойств данных файлов закрывается, и внесенные изменения вступают в силу.

Слои и их отрисовка

Кроме изменения прав доступа к графическим данным слоя, хранящимся в файле, следует именить права доступа пользователя к атрибутивным данным слоя.

Для этого администратору информационной системы следует открыть приложение Enterprise Manager, входящее в комплект средств администрирования СУБД Microsoft SQL Server.

Перед началом работы с правами доступа следует занести наименование бюджета данного пользователя в список пользователей СУБД, для этого в данном приложении следует найти список Logins, находящийся в папке Security, и в контекстном меню данного списка выбрать команду New Login.... В результате появится окно добавления пользователя в список пользователей данной СУБД. В данном окне следует установить переключатель Windows Authentication, в строке выбора домена (Domain) указать имя сервера или домен, и в строке имени пользователя (Name) указать наименование бюджета данного пользователя, например, CadasterViewer.

Добавление пользователя

На закладке Server Roles можно указать дополнительные административные возможности, которыми будет обладать данный пользователь (управление дисковым пространством баз данных, управление доступом других пользователей и др.), хотя в большинстве случаев следует оставлять данный список без изменений.

На закладке Database Access данного окна следует указать базы данных, к которым пользователь имеет доступ, обозначив их галочками слева от наименование БД. Нажатие кнопки ОК приводит к закрытию данного окна и добавлению выбранного бюджета к списку пользователей СУБД.

Доступ к базам данных

Процедура добавления бюджета пользователя Windows 2000 к списку пользователей Microsoft SQL Server следует проводить один раз для каждого пользователя, которому требуется доступ к атрибутивным данным информационной системы.

В приложении Enterprise Manager следует найти используемую для хранения атрибутов БД (по умолчанию ее наименование - HeatSupply), и в данной БД найти таблицы, хранящие атрибутивные данные слоя, в данном случае это таблицы HeatSources и BoilerHouses. Далее, выделяя последовательно каждую из этих таблиц, следует выбрать в ее контекстном меню All Tasks - Manage Permissions.... В результате этого появится окно настройки прав доступа пользователей к данной таблице. В данном окне следует выделить строку с наименованием бюджета данного пользователя (CadasterViewer) и поставить крестики () в столбцах INSERT, UPDATE и DELETE), что приведет к невозможности данному пользователю выполнять эти операции. Установка в данных столбцах галочек () наоборот, разрешает доступ пользователя с помошью указанной операции к данной таблице.

Права доступа к таблице БД

Следует сделать несколько общих рекомендаций.

Не следует ограничивать права на запись на весь каталог, хранящий файлы системы IndorGIS/Heat, так как это приведет к некорректной работе нескольких пользователей с одним набором данных.

Кроме того, следует ограничить права доступа обычных пользователей системы к таблицам справочников (это таблицы, наименования которых начинаются с префикса D_), разрешив доступ только на чтение информации.