Советы по группировке пользователей

Ниже дается несколько советов по группировке пользователей в СУБД:

• Создайте отдельные группы (роли) с правами доступа к системе и к объектам. Это позволит администраторам базы данных управлять правами системных ролей и владельцев данных, чтобы эксклюзивно назначать права объектам ролей.
• Выберите правила именования, которые отражают тип каждой группы (роли). Например, группу, которая имеет возможность редактировать все данные земельных участков, можно назвать LANDBASE_EDITORS.
• Предоставьте права непосредственно администратору базы геоданных, а другим пользователям предоставляйте права через группы (роли). Администратор базы геоданных должен быть внесен отдельной уникальной строкой. В большинстве случаев, в любой базе геоданных существует только один такой пользователь, и он не участвует в логической группе пользователей. Опытные администраторы назначают права доступа учетной записи администратора напрямую. В отличие от них, учетные записи конечных пользователей должны получать права через группы, которые отображают описание их работы, степени ответственности за выполнение проекта или другую логическую классификацию в пределах организации.
• Старайтесь не смешивать роли с непосредственно предоставленными правами с учетными записями конечных пользователей. Если учетная запись пользователя получает права напрямую и через роль, хорошо спланированная модель безопасности превращается в неуправляемую структуру, требующую большого количества времени и усилий на ее восстановление. Задавайте правила для владельцев данных при предоставлении доступа к их объектам.

  В редких случаях, когда конечный пользователь действительно нуждается в особых мерах безопасности, можно напрямую предоставить ему некоторые права, чтобы не усложнять модель безопасности на основе ролей. Такие случаи необходимо документировать; они должны быть исключением из правил.