Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Всем доброго времени суток. Вопрос следующий: сейчас выяснилось, что администраторы домена могут видеть данные в OLAP-кубиках. Это при том, что права им никто не давал, в ролях баз/кубиков их нет, в локальную группу OLAP-администраторов они не входят. Однако, группа Domain Admins входит в группу локальных админов сервера, на котором работает MS AS. В BOL я ничего не нашел на эту тему, может кто чего подскажет? Заранее спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2004, 18:13 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Добавлю: MS AS 2000 SP3 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2004, 18:20 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Server was installed using domain admin account? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2004, 18:56 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
так администраторы на то и администраторы, что бы у них был доступ к любой информации.... если не верите - зачем назначили на такую должность .. если верите - зачем закрывать от них (ИМХО от админа данные не закрыть) да и помнится недавно тут обсуждалась тема о том, как запретить администратору доступ к MSSQL... думаю у Вас та же проблема.. С уважением, Petr[@]Chulkov.NET Microsoft Certified Professional Chulkov.Net - Trustworthy Knowledge ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2004, 20:00 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Полностью поддерживаю сэра Чулкова. Закрывать сервера от админа - по крайней мере не разумно и не этично. Админ, он на то и админ. Если SQL еще и можно прикрыть от админа, т.к. он имеет собственную систему аутентификации, то с закрывать OLAP сервер от админа мне представляется вообще не возможным, т.к. в OLAP сервере только Windows Integrated аутентификация, будь она не ладна. Так что если очень надо - выводите OLAP машину из домена. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2004, 20:56 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Ребята, давайте не будем обсуждать вопрос этичности закрытия от системных администраторов инфы... У меня есть проблема и я пытаюсь ее решить. Сервер из домена выкидывать - не подходит... ЗЫ Я вот не думаю, что сисадмины какого-нить там ГазПрома, например, имеют доступ к консолидированной финансовой инфе корпорации с возможностью ее детализации, просмотра в разрезах и т.д. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2004, 21:28 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
А чем админ хуже-лучше личного врача, адвоката или батюшки? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2004, 21:57 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Сразу оговорюсь вначале, что от как совершенно правильно сказали господа backfire и Чулков, если админ захочет добраться до информации, то с этим ничего сделать нельзя. Если же цель просто прикрыть данные чтобы их админ не увидел случайно - то я прошлой осенью делал такой hotfix, поднимается флажок в registry и админы которые не включены в OLAP Administrators, сразу становятся такими же как и все остальные пользователи. Если Вам нужен этот hotfix, то обратитесь в PSS - там его выдадут. Еще раз повторю, что это не для security, т.к. админ может вставить себя в OLAP Administrators если захочет, или поменять registry обратно или просто списать data files, а все-го лишь для удобства. Моша ---------------------------------------------------- This posting is provided "AS IS" with no warranties, and confers no rights ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2004, 07:14 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Если это просто флажек в Registry, без каких либо бинарников, то можно было бы и в студию вынести. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2004, 14:16 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
> Mosha Я все прекрасно понимаю насчет возможностей сисадминов... Вы не могли бы выслать мне этот hotfix? Или ссылку на него на MS-сайте? Заранее спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2004, 14:16 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Прислать hotfix по почте или указать линк на него я к сожалению не могу. Hotfixes могут быть получены только напрямую от PSS. Если Вы к ним обратитесь, то можете процитировать следующий reference number: SRQ031120600058. Имя registry entry - ExcludeMachineAdminFromOLAPAdmin, но без hotfix-а сервер не будет знать что с ним делать. Моша ---------------------------------------------------- This posting is provided "AS IS" with no warranties, and confers no rights ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.06.2004, 05:57 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
MoshaПрислать hotfix по почте или указать линк на него я к сожалению не могу. Hotfixes могут быть получены только напрямую от PSS. Если Вы к ним обратитесь, то можете процитировать следующий reference number: SRQ031120600058. Имя registry entry - ExcludeMachineAdminFromOLAPAdmin, но без hotfix-а сервер не будет знать что с ним делать. Ок, в PSS мы обратимся. Мне только непонятно одно (вопрос к Mosha, как к разработчику MS AS engine): почему данный хотфикс не выложен в общий даунлоад как заплатка (глюк-то и расхождение с BOL налицо :-( ), а необходимо терять время на общение с PSS? ЗЫ Тема закрыта. Кому интересно, вот линк на MS KB: http://support.microsoft.com/default.aspx?scid=kb;en-us;834419 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.06.2004, 14:52 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Мне только непонятно одно (вопрос к Mosha, как к разработчику MS AS engine): почему данный хотфикс не выложен в общий даунлоад как заплатка Я спросил PSS, и они ответили буквально следующее: PSSwhen a customer goes through PSS there is a method available for notifying customers of any regressions which are later found and require a different fix. If it’s just a download on the web, we don’t have any way of tracking who has received the fix. (глюк-то и расхождение с BOL налицо :-( ), В данном конкретном случае нет ни глюка ни расхождения с BOL. Такое поведение AS2000 было "By Design". Вышеупомянутый hotfix представляет собой не "bug fix" а "design change". Моша ---------------------------------------------------- This posting is provided "AS IS" with no warranties, and confers no rights ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.06.2004, 01:54 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
MoshaВ данном конкретном случае нет ни глюка ни расхождения с BOL. Такое поведение AS2000 было "By Design". Вышеупомянутый hotfix представляет собой не "bug fix" а "design change". Я все-таки процитирую BOL: BOLAdministrator security concerns users' access to Microsoft® SQL Server™ 2000 Analysis Services data through Analysis Manager and their ability to perform administrative functions. Administrator security is granted through membership in the OLAP Administrators group. During initial installation, Analysis Services establishes a Microsoft NT® 4.0, Windows® 2000, or Windows XP group named OLAP Administrators. The user account, which must have Machine Administrator rights in order to successfully install Analysis Services, is then added to the OLAP Administrators group. The OLAP Administrators group is a local group on the computer where Analysis Services is installed. Only members of this group can: Access the Analysis server through Analysis Manager and perform administrative functions. Perform administrative functions on the Analysis server programmatically with Decision Support Objects (DSO). Administrative functions include maintaining security roles and processing Analysis Services objects. You can use User Manager in Windows NT 4.0 or Computer Management in Windows 2000 or Windows XP to manage the OLAP Administrators group. There are not multiple degrees or levels of administrator security. A user either is or is not an administrator, depending on whether he or she is included in the OLAP Administrators group. When connected to an Analysis server through client applications, members of the OLAP Administrators group have full read access to all cubes and dimensions on the server. They also have full read/write access to all write-enabled cubes and write-enabled dimensions. This access is granted regardless of role definitions on the Analysis server. Источник: mk:@MSITStore:C:\Program%20Files\Microsoft%20SQL%20Server\80\Tools\Books\olapdmad.chm::/agsecurity_841l.htm А теперь скажите мне, где там упоминание про группу локальных админов? Так что глюк и расхождение с BOL есть :-). ЗЫ 1. HotFix мы получили, он решил проблему. 2. По поводу инфы про PSS - спасибо, теперь все понятно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.06.2004, 13:41 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
Да - Вы правы, BOL действительно совершенно недвусмысленно заявляет что только члены OLAP Administrators group являются администраторами сервера. Признаю свою ошибку :( В свое оправдание приведу выдержку из Security Administration section of Analysis Services Operation Guide: When Analysis Services is installed, the setup program creates the OLAP Administrators local group on the Analysis Services computer and adds the user account of the person installing Analysis Services to this group. All members of the local Administrators group are automatically members of the OLAP Administrators group, regardless of whether they are explicitly added to the OLAP Administrators group. Источник по адресу: http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/anservog.mspx#XSLTsection128121120120 Моша ---------------------------------------------------- This posting is provided "AS IS" with no warranties, and confers no rights ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.06.2004, 21:26 |
|
||
|
Права доступа к MS AS
|
|||
|---|---|---|---|
|
#18+
MoshaВ свое оправдание приведу выдержку из Security Administration section of Analysis Services Operation Guide: When Analysis Services is installed, the setup program creates the OLAP Administrators local group on the Analysis Services computer and adds the user account of the person installing Analysis Services to this group. All members of the local Administrators group are automatically members of the OLAP Administrators group, regardless of whether they are explicitly added to the OLAP Administrators group. Источник по адресу: http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/anservog.mspx#XSLTsection128121120120 Прикольно. Первый раз встречаю такое расхождение в различных источниках документации... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.06.2004, 14:09 |
|
||
|
|
start [/forum/topic.php?fid=49&msg=32563725&tid=1872514]: |
0ms |
get settings: |
7ms |
get forum list: |
19ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
42ms |
get topic data: |
11ms |
get forum data: |
2ms |
get page messages: |
69ms |
get tp. blocked users: |
1ms |
| others: | 221ms |
| total: | 378ms |
| 0 / 0 |
