Comparación de propietarios de geodatabases en SQL Server

Las geodatabases son una colección de tablas, vistas, funciones y procedimientos almacenados dentro de una base de datos. En geodatabases en una base de datos de Microsoft SQL Server, este conjunto de objetos pueden ser propiedad de un usuario de base de datos llamado sde o el usuario dbo de la base de datos. Sea cual sea el usuario que posee la geodatabase es considerado el administrador de la geodatabase.

NotaNota:

Es importante entender cómo SQL Server administra el acceso a los datos y otros objetos. Por lo tanto, si no está familiarizado con el modelo de seguridad de SQL Server, consulte la documentación de SQL Server. SQL autentica un inicio de sesión en el nivel de la instancia y entonces autoriza al usuario correspondiente en el nivel de la base de datos. Los diferentes privilegios otorgados se pueden aplicar a toda la instancia, a una base de datos o bases de datos específicas o a datos en una base de datos. Esto puede afectar su decisión sobre qué tipo propietario de geodatabase utilizar.

El inicio de sesión con el que se conecta cuando crea la geodatabase determina qué el usuario de la base de datos es el propietario de la geodatabase. Si el inicio de sesión de SQL Server o de Windows con el que se conecta está asignado al usuario dbo en la base de datos, se crea una geodatabase de esquema dbo. Si el inicio de sesión de SQL Server o de Windows con el que se conecta está asignado al usuario llamado sde en la base de datos, se crea una geodatabase de esquema sde.

El usuario sde

El usuario sde en una base de datos puede estar asociado con un inicio de sesión autenticado de SQL Server o un inicio de sesión autenticado de Windows. El usuario sde debe tener autoridad en un esquema denominado sde, y ese esquema debe ser el esquema predeterminado del usuario sde. Al usuario sde también se le deben otorgar privilegios de la base de datos que permitan al usuario crear y administrar la geodatabase.

El usuario dbo

El usuario dbo y su esquema predeterminado existen en todas las bases de datos automáticamente. Los inicios de sesión pueden ser dbo en una base de datos de una de dos maneras:

Los inicios de sesión asignados por el usuario dbo en una base de datos específica tienen los mayores privilegios posibles en esa base de datos; por lo tanto, tienen privilegios suficientes para crear y administrar la geodatabase. Los inicios de sesión que se asignan a dbo en una base de datos específica no tienen privilegios elevados en la instancia de SQL Server u otras bases de datos a menos que estos privilegios sean otorgados explícitamente a la sesión.

Los inicios de sesión que sean miembros del rol de servidor fijo sysadmin, se asignan a dbo en todas las bases de datos en la instancia de SQL Server y también tienen los mayores privilegios posibles en toda la instancia de SQL Server. Este tipo de inicios de sesión tienen privilegios suficientes para crear y administrar la geodatabase y pueden crear, modificar, eliminar y administrar otros securables en la instancia.

Todos los objetos de base de datos propiedad del usuario dbo se almacenan en el esquema de dbo.

¿Cuál usuario debería ser el propietario de la geodatabase?

No hay diferencia en el rendimiento o funcionalidad entre los dos tipos de esquemas de geodatabase. Cada uno cuenta con ventajas e inconvenientes. Elija el usuario (y, por consiguiente, un esquema) que mejor se adapte al sistema y modelo de seguridad elegido.

La siguiente es una comparación de los dos tipos de esquema, basada en el tipo de autenticación que utiliza:

Esquema

Autentificación

Ventajas

Desventajas

Dbo (miembro de sysadmin)

Inicio de sesión Windows o SQL Server

  • Si el administrador de la base de datos de SQL Server sirve también como administrador de la geodatabase, tiene sentido utilizar un esquema dbo para evitar que la misma persona utilice dos nombres de usuario diferente dependiendo de qué tarea él o ella quiere hacer.
  • Si es necesario tener más de un administrador de la geodatabase, se pueden agregar varios inicio de sesión al rol de servidor fijo sysadmin.
  • El inicio de sesión tiene privilegios elevados sobre todos securables en la instancia de SQL Server.
  • El inicio de sesión se debe crear y agregar al rol sysadmin antes de ejecutar la herramienta Crear geodatabase corporativa.
  • Si utiliza un inicio de sesión local en lugar de un inicio de sesión de dominio de Windows, el inicio de sesión sólo existirá en el servidor en el que esté instalado SQL Server. Por lo tanto, los clientes de ArcGIS deben estar instalado en el mismo servidor y todas las tareas de administración de la geodatabase se debe realizar mientras esté conectado como el inicio de sesión local en ese servidor.

Dbo (asignada a dbo en una base de datos específica)

Inicio de sesión Windows o SQL Server

  • El administrador de la geodatabase puede realizar la administración de la geodatabase de la base de datos en la base de datos específica.
  • Los privilegios elevados no se extienden más allá de la base de datos específica.
  • Si se necesitan administradores de la geodatabase adicionales, se pueden colocar otros inicios de sesión en el rol de servidor fijo sysadmin, haciéndolos dbo también en esta base de datos.
  • El usuario tiene privilegios elevados en la base de datos.
  • El inicio de sesión y la base de datos se debe crear antes de ejecutar la herramienta Crear geodatabase corporativa y el inicio de sesión se debe establecer como el propietario de la base de datos.
  • Si utiliza un inicio de sesión local en lugar de un inicio de sesión de dominio de Windows, el inicio de sesión sólo existirá en el servidor en el que esté instalado SQL Server. Por lo tanto, los clientes de ArcGIS deben estar instalado en el mismo servidor y todas las tareas de administración de la geodatabase se debe realizar mientras esté conectado como el inicio de sesión local en ese servidor.

Sde

Inicio de sesión de SQL Server

  • El usuario sde solo requiere unos pocos permisos de instrucción dentro de una base de datos específica para administrar la geodatabase.
  • Se puede crear un inicio de sesión sde de SQL Server, un usuario de la base de datos y el esquema con la herramienta Crear geodatabase corporativa cuando se crea la geodatabase en la base de datos.
  • Se puede asignar solo una única sesión al usuario sde.
  • La instancia de SQL Server debe permitir el modo de autenticación mixto.
  • La herramienta Crear geodatabase corporativa se debe ejecutar por el administrador de la base de datos.

Sde

Inicio de sesión de Windows

  • El usuario sde solo requiere unos pocos permisos de instrucción dentro de una base de datos específica para crear y administrar la geodatabase.
  • Puede asignar un inicio de sesión de Windows de un dominio existente al usuario sde.
  • Un inicio de sesión sde autenticado de Windows se puede utilizar en los lugares donde la instancia de SQL Server sólo permite la autenticación de Windows.
  • Podría ser necesaria la creación y la gestión de un inicio de sesión de Windows que no esté directamente asociado con una determinada persona.*
  • Se debe crear el inicio de sesión sde, el usuario de la base de datos y el esquema antes de ejecutar la herramienta Crear geodatabase corporativa.
  • Se puede asignar solo una única sesión al usuario sde.
  • Debe haber iniciado sesión en Windows con el inicio de sesión sde para ejecutar la herramienta Crear geodatabase corporativa.
  • Si utiliza un inicio de sesión local en lugar de un inicio de sesión de dominio de Windows, el inicio de sesión sólo existirá en el servidor en el que esté instalado SQL Server. Por lo tanto, los clientes de ArcGIS deben estar instalado en el mismo servidor y todas las tareas de administración de la geodatabase se debe realizar mientras esté conectado como el inicio de sesión local en ese servidor.

*La mayoría de los inicios de sesión de Windows, especialmente los inicios de dominio, pertenecen a una persona determinada. Ese inicio de sesión se utiliza por esa persona para iniciar sesión en su equipo y acceder a las aplicaciones de Windows, incluyendo SQL Server. Por tanto, cuando esa persona inicia sesión en el equipo, siempre podrá conectarse a la geodatabase como usuario sde. Para evitar esto, se puede crear otro inicio de sesión de Windows, esencialmente proporcionando a la persona dos inicios de sesión. Sin embargo, eso significa que la persona debe cambiar de inicios de sesión en el equipo cuando él o ella quiera administrar la geodatabase. Además, muchos sitios evitan crear varios inicios de sesión de la misma persona, puesto que puede tener implicaciones en materia de seguridad y aumenta la complejidad de la gestión de inicio de sesión.

Temas relacionados

Una comparación de la autenticación de Windows y de base de datos en SQL Server
Copyright © 1995-2014 Esri. All rights reserved.
5/9/2014