有关将用户进行分组的提示
以下是关于在数据库管理系统 (DBMS) 中对用户进行分组的几点提示:
- 为系统和对象权限创建独立的组(角色)。 这使数据库管理员 (DBA) 能够管理系统角色和数据所有者的权限,以将权限专门授予对象角色。
- 为了便于参考,选择一个反映各类组(角色)的命名约定。 例如,对于能够编辑所有 landbase 数据的组,可以将其命名为 LANDBASE_EDITORS。
- 直接将权限授予地理数据库管理员,然后通过组(角色)为所有其他用户授予权限。地理数据库管理员是一个唯一实体。在大多数情况下,对于任何地理数据库,都只存在一个这样的用户,并且它不属于一个较大逻辑用户组。经验丰富的 DBA 会考虑到这是良好的设计,可以直接向这类应用程序管理员帐户授予权限。与之相比,最终用户的帐户应通过表示其作业描述的组、项目职责或组织内的其他逻辑分类来获得权限。
- 避免最终用户帐户的角色与直接授予的权限发生混淆。当最终用户帐户通过角色和直接授权两种途径获得权限时,一个精心设计的安全模型可能会迅速转变成一种难于管理的混乱状态,这需要相当长的时间和努力才能恢复到一个有秩序的状态。为数据所有者设置策略,在授予其方案对象权限时需要遵守。
在极少数情况下,最终用户才具有真正唯一的安全性要求,此时可考虑直接授予某些权限以避免使基于角色的安全模型复杂化。将这些情况存档;它们应当只是极个别的情况。
9/15/2013