Log les évenements sur une autre db

La manière la plus simple est d'activer le compte GUEST sur la base log
Tu donnes des droits d'ecrture et pas de lecture à ce compte

Mais bon, je crois que cette question est en rapport avec la précédente et
que tu choisis l'option de changement de contexte

--
Bien Cordialement
Med Bouchenafa

"zoltix" <zoltix@gmail.com> wrote in message
news:2620f48a-3e8c-4b88-a29c-688ab1f74b14@v2g2000vbb.googlegroups.com...
Bonjour,
Je recherche un conseil....

Je suis entrain de créer une base de données pour enregistrer les
événements de l'activité du serveur et des bases de données.

J’ai des trigger sur les tables qui vont enregistrer les événements.
J’ai des trigger sur les bases de données (Changement de structure)
qui vont enregistrer les événements.
Trigger sur le serveur pour enregistrer les login admin qui se
connecte
Trigger sur le serveur pour enregistrer les changements d’options du
serveur.

De cette manière j’ai une trace de toutes les modifications du
serveur.

Mais j’ai un souci de sécurité :
Les utilisateurs sont connectés sur un « active directory ». Chaque
utilisateur est identifié lorsqu’il se connecte à la db par l’AD.
Ces utilisateur appartiennent à un groupe qui accède à la db avec
leurs spécification (Laurent-Ecriture et pas d’écriture sur la table
XX…).

Lorsqu’un utilisateur modifie une table avec un trigger de "log" ,
j’ai un message d’erreur pour me dire que cet utilisateur n’a pas
accès à cette Base de données de log ou même la table de log. Ce qui
est normal. Mais comment je pourrais faire pour éviter ce
message?

Dois-je ajouter les utilisateurs dans la db de log ? Pas génial …car
ca veut dire qu’ils peuvent avoir un accès a la db de log.

Dois-je passer par une procédure stocké ? Mais comment faire un
impersonate avec un login AD ?

Où il y a surement d’autres solutions. Je suis en pleine recherche
sur le web mais je ne trouve pas grand-chose sur le sujet.


Merci de vos conseilles.

On 3 juin, 08:53, "Med Bouchenafa" <com.hotmail@bouchenafa> wrote:

La manière la plus simple est d'activer le compte GUEST sur la base log
Tu donnes des droits d'ecrture et pas de lecture à ce compte

Mais bon, je crois que cette question est en rapport avec la précéden te et
que tu choisis l'option de changement de contexte

--
Bien Cordialement
Med Bouchenafa

"zoltix" <zol...@gmail.com> wrote in message

news:2620f48a-3e8c-4b88-a29c-688ab1f74b14@v2g2000vbb.googlegroups.com...
Bonjour,
Je recherche un conseil....

Je suis entrain de créer une base de données pour enregistrer les
événements de l'activité du serveur et des bases de données.

J’ai des trigger sur les tables qui vont enregistrer les événements .
J’ai des trigger sur les bases de données (Changement de structure)
qui vont enregistrer les événements.
Trigger sur le serveur pour enregistrer les login admin qui se
connecte
Trigger sur le serveur pour enregistrer les changements d’options du
serveur.

De cette manière j’ai une trace de toutes les modifications du
serveur.

Mais j’ai un souci de sécurité :
Les utilisateurs sont connectés sur un « active directory ».  Cha que
utilisateur est identifié lorsqu’il se connecte à la db par l’AD.
Ces utilisateur appartiennent à un groupe qui accède à la db avec
leurs spécification (Laurent-Ecriture et pas d’écriture sur la tabl e
XX…).

Lorsqu’un utilisateur modifie une table avec un trigger de "log" ,
j’ai un message d’erreur pour me dire que cet utilisateur n’a pas
accès à cette Base de données de log ou même la table de log.   Ce qui
est normal.    Mais comment je pourrais faire pour éviter ce
message?

Dois-je ajouter les utilisateurs dans la db de log ?  Pas génial …c ar
ca veut dire qu’ils peuvent avoir un accès a la db de log.

Dois-je passer par une procédure stocké ?   Mais comment faire un
impersonate avec un login AD ?

Où il y a surement d’autres solutions.    Je suis en pleine reche rche
sur le web mais je ne trouve pas grand-chose sur le sujet.

Merci de vos conseilles.

Je vais aussi regarder le guest mais je pensais qu'il était
déconseillé de l'utiliser? Pourriez-vous m'en dire plus ?

Il est effectivement déconseillé d'activer le compte GUEST parcequ'il permet
à tous les logins de ton serveur d'accéder à la base où il est activé
Mais bon, si tu lui donnes pas de permissions, ils ne pourront pas faire
grand chose non plus
Sur une base de production, il vaut mieux éviter à moins de bien maitriser
son sujet
Dans ton cas, c'est juste une base de logging, avec ce que j'ai suggéré tout
le monde pourra écrire mais pas lire.

--
Bien Cordialement
Med Bouchenafa

"zoltix" <zoltix@gmail.com> wrote in message
news:1af78659-a551-435a-af44-425c909102db@21g2000vbk.googlegroups.com...
On 3 juin, 08:53, "Med Bouchenafa" <com.hotmail@bouchenafa> wrote:

La manière la plus simple est d'activer le compte GUEST sur la base log
Tu donnes des droits d'ecrture et pas de lecture à ce compte

Mais bon, je crois que cette question est en rapport avec la précédente et
que tu choisis l'option de changement de contexte

--
Bien Cordialement
Med Bouchenafa

"zoltix" <zol...@gmail.com> wrote in message

news:2620f48a-3e8c-4b88-a29c-688ab1f74b14@v2g2000vbb.googlegroups.com...
Bonjour,
Je recherche un conseil....

Je suis entrain de créer une base de données pour enregistrer les
événements de l'activité du serveur et des bases de données.

J’ai des trigger sur les tables qui vont enregistrer les événements.
J’ai des trigger sur les bases de données (Changement de structure)
qui vont enregistrer les événements.
Trigger sur le serveur pour enregistrer les login admin qui se
connecte
Trigger sur le serveur pour enregistrer les changements d’options du
serveur.

De cette manière j’ai une trace de toutes les modifications du
serveur.

Mais j’ai un souci de sécurité :
Les utilisateurs sont connectés sur un « active directory ». Chaque
utilisateur est identifié lorsqu’il se connecte à la db par l’AD.
Ces utilisateur appartiennent à un groupe qui accède à la db avec
leurs spécification (Laurent-Ecriture et pas d’écriture sur la table
XX…).

Lorsqu’un utilisateur modifie une table avec un trigger de "log" ,
j’ai un message d’erreur pour me dire que cet utilisateur n’a pas
accès à cette Base de données de log ou même la table de log. Ce qui
est normal. Mais comment je pourrais faire pour éviter ce
message?

Dois-je ajouter les utilisateurs dans la db de log ? Pas génial …car
ca veut dire qu’ils peuvent avoir un accès a la db de log.

Dois-je passer par une procédure stocké ? Mais comment faire un
impersonate avec un login AD ?

Où il y a surement d’autres solutions. Je suis en pleine recherche
sur le web mais je ne trouve pas grand-chose sur le sujet.

Merci de vos conseilles.

Je vais aussi regarder le guest mais je pensais qu'il était
déconseillé de l'utiliser? Pourriez-vous m'en dire plus ?

Notez que c'est aussi pour cela que je déconseille l'utilisation de
compte NT comme login SQL Server. C'est d'ailleurs un non sens absolu.
En effet ce ne sont pas des utilisateurs (personnes physiques) qui se
connecte aux bases de données, mais des applications !
Votre problème se résoudrais de façon très simple en utilisant quelques
login SQL associés à des rôles SQL.

A +

zoltix a écrit :

Bonjour,
Je recherche un conseil....

Je suis entrain de créer une base de données pour enregistrer les
événements de l'activité du serveur et des bases de données.

J’ai des trigger sur les tables qui vont enregistrer les événements.
J’ai des trigger sur les bases de données (Changement de structure)
qui vont enregistrer les événements.
Trigger sur le serveur pour enregistrer les login admin qui se
connecte
Trigger sur le serveur pour enregistrer les changements d’options du
serveur.

De cette manière j’ai une trace de toutes les modifications du
serveur.

Mais j’ai un souci de sécurité :
Les utilisateurs sont connectés sur un « active directory ». Chaque
utilisateur est identifié lorsqu’il se connecte à la db par l’AD.
Ces utilisateur appartiennent à un groupe qui accède à la db avec
leurs spécification (Laurent-Ecriture et pas d’écriture sur la table
XX…).

Lorsqu’un utilisateur modifie une table avec un trigger de "log" ,
j’ai un message d’erreur pour me dire que cet utilisateur n’a pas
accès à cette Base de données de log ou même la table de log. Ce qui
est normal. Mais comment je pourrais faire pour éviter ce
message?

Dois-je ajouter les utilisateurs dans la db de log ? Pas génial …car
ca veut dire qu’ils peuvent avoir un accès a la db de log.

Dois-je passer par une procédure stocké ? Mais comment faire un
impersonate avec un login AD ?

Où il y a surement d’autres solutions. Je suis en pleine recherche
sur le web mais je ne trouve pas grand-chose sur le sujet.


Merci de vos conseilles.

--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
Enseignant aux Arts & Métiers PACA et à L'ISEN Toulon - Var Technologies
*********************** http://www.sqlspot.com *************************

Tu peux donner aux utilisateurs le droit insert mais pas de select, update
et delete sur la table ! c'est simple n'est ce pas ?
"zoltix" <zoltix@gmail.com> a écrit dans le message de
news:2620f48a-3e8c-4b88-a29c-688ab1f74b14@v2g2000vbb.googlegroups.com...
Bonjour,
Je recherche un conseil....

Je suis entrain de créer une base de données pour enregistrer les
événements de l'activité du serveur et des bases de données.

J’ai des trigger sur les tables qui vont enregistrer les événements.
J’ai des trigger sur les bases de données (Changement de structure)
qui vont enregistrer les événements.
Trigger sur le serveur pour enregistrer les login admin qui se
connecte
Trigger sur le serveur pour enregistrer les changements d’options du
serveur.

De cette manière j’ai une trace de toutes les modifications du
serveur.

Mais j’ai un souci de sécurité :
Les utilisateurs sont connectés sur un « active directory ». Chaque
utilisateur est identifié lorsqu’il se connecte à la db par l’AD.
Ces utilisateur appartiennent à un groupe qui accède à la db avec
leurs spécification (Laurent-Ecriture et pas d’écriture sur la table
XX…).

Lorsqu’un utilisateur modifie une table avec un trigger de "log" ,
j’ai un message d’erreur pour me dire que cet utilisateur n’a pas
accès à cette Base de données de log ou même la table de log. Ce qui
est normal. Mais comment je pourrais faire pour éviter ce
message?

Dois-je ajouter les utilisateurs dans la db de log ? Pas génial …car
ca veut dire qu’ils peuvent avoir un accès a la db de log.

Dois-je passer par une procédure stocké ? Mais comment faire un
impersonate avec un login AD ?

Où il y a surement d’autres solutions. Je suis en pleine recherche
sur le web mais je ne trouve pas grand-chose sur le sujet.


Merci de vos conseilles.

mais on ne saurait pas qui fait quoi, pour l'audit c'est ennuyeux ;-)

Ce sont les utilisateurs qui se connectent à la base à travers un applicatif
(ou plusieurs).

BR

"Fred BROUARD" <brouardf@club-internet.fr> wrote in message
news:%23wgh09M7JHA.6136@TK2MSFTNGP03.phx.gbl...

Notez que c'est aussi pour cela que je déconseille l'utilisation de compte
NT comme login SQL Server. C'est d'ailleurs un non sens absolu.
En effet ce ne sont pas des utilisateurs (personnes physiques) qui se
connecte aux bases de données, mais des applications !
Votre problème se résoudrais de façon très simple en utilisant quelques
login SQL associés à des rôles SQL.

A +

zoltix a écrit :

Bonjour,
Je recherche un conseil....

Je suis entrain de créer une base de données pour enregistrer les
événements de l'activité du serveur et des bases de données.

J’ai des trigger sur les tables qui vont enregistrer les événements.
J’ai des trigger sur les bases de données (Changement de structure)
qui vont enregistrer les événements.
Trigger sur le serveur pour enregistrer les login admin qui se
connecte
Trigger sur le serveur pour enregistrer les changements d’options du
serveur.

De cette manière j’ai une trace de toutes les modifications du
serveur.

Mais j’ai un souci de sécurité :
Les utilisateurs sont connectés sur un « active directory ». Chaque
utilisateur est identifié lorsqu’il se connecte à la db par l’AD.
Ces utilisateur appartiennent à un groupe qui accède à la db avec
leurs spécification (Laurent-Ecriture et pas d’écriture sur la table
XX…).

Lorsqu’un utilisateur modifie une table avec un trigger de "log" ,
j’ai un message d’erreur pour me dire que cet utilisateur n’a pas
accès à cette Base de données de log ou même la table de log. Ce qui
est normal. Mais comment je pourrais faire pour éviter ce
message?

Dois-je ajouter les utilisateurs dans la db de log ? Pas génial …car
ca veut dire qu’ils peuvent avoir un accès a la db de log.

Dois-je passer par une procédure stocké ? Mais comment faire un
impersonate avec un login AD ?

Où il y a surement d’autres solutions. Je suis en pleine recherche
sur le web mais je ne trouve pas grand-chose sur le sujet.


Merci de vos conseilles.

--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
Enseignant aux Arts & Métiers PACA et à L'ISEN Toulon - Var Technologies
*********************** http://www.sqlspot.com *************************