Gérer plus finement l'accès aux bases de données avec ED PIL

Bonjour,
Je viens de suivre le fil ci dessous pour regler mon problème : cool c'est réglé, merci aux experts
edition-pilotee-et-uac-de-windows-seven-t10782.html#p41218

Ma question est désormais la suivante :

Nous avons plusieurs bases (SQL) SAGE 100 (correspondant à plusieurs pays) , par défaut un utilisateur de la base France peut interroger n'importe quelle autre base (ALLEMAGNE, BELGIQUE , Etc..) alors que sous SQL il n'a aucun droit sur ces bases.
J'ai donc l'impression qu'édition pilotée utilise le user de base CBASE par défaut pour accéder aux différentes bases... donc pas de contrôle utilisateur ce qui est très gênant dans notre orga.

Y a t'il un moyen de contourner cela ? (environnement CITRIX en load balancing)

voilà voilà... avis aux experts (IMPERIAL, OOKIE, MANHATTAN, BENJO)

Bonjour Guy

Hélas Oui ... tu as raison ... si j'installe l'EP sur un poste, même si il n'a pas accés à la base (pas d'utilisateur sur la base et pas d'utilisateur SQL non plus...) il aura accés aux données ... mais seulement si on lui a configuré son poste Client Edition Pilotée pour qu'il ait accès aux données.

Donc si l'utilisateur n'est pas admin de son poste, il ne peut pas créer d'ODBC ... donc il n'a pas accès à l'EP ...

Creuse peut être de ce coté ...

Cdlt

PS : Bonjour à mon ami Ben ... Faites lui pas de misère ... sinon je répond plus ....

IMPERIAL a écrit:Bonjour Guy

Hélas Oui ... tu as raison ... si j'installe l'EP sur un poste, même si il n'a pas accés à la base (pas d'utilisateur sur la base et pas d'utilisateur SQL non plus...) il aura accés aux données ... mais seulement si on lui a configuré son poste Client Edition Pilotée pour qu'il ait accès aux données.

Donc si l'utilisateur n'est pas admin de son poste, il ne peut pas créer d'ODBC ... donc il n'a pas accès à l'EP ...

Creuse peut être de ce coté ...

Cdlt

PS : Bonjour à mon ami Ben ... Faites lui pas de misère ... sinon je répond plus ....

Je me doutais qu'il n'y avait pas de solution toute faite... et j'avoue ne pas vraiment avoir d'idée... en dehors de donner accès 5 min à l'application qui permet d'ouvrir l'accès à la base et de le retirer une fois le tuyau ouvert...

PS: BEN, je lui fais des misères en permanence, c'est un formidable souffre douleur
Plus sérieusement, c'est un super gars (sympa et bien cablé)

Hello

@guigui: Tu vois c'est bien ce que je t'ai dis... Mais il te faut une confirmation....

@IMPERIAL : Au fait, tu passes quand a boulogne pour refaire un resto ??

benjo a écrit:Hello

@guigui: Tu vois c'est bien ce que je t'ai dis... Mais il te faut une confirmation....

@IMPERIAL : Au fait, tu passes quand a boulogne pour refaire un resto ??

@Ben : C'est toi qui m'a dit de poster la question

Re

Oui ... c'est pour voir si je suivais .....

Ben : Je suis en vacances à la fin de la semaine. Je reviens le 20 Aout ...

Je te dis ça en rentrant ...

Amlt

Bonjour,

Eh, les gars, vous n'avez pas de téléphones ? Je sais bien que c'est un peu votre bébé, ce forum, mais bon...

Bref, pour en revenir à la gestion de droit sur Edition Pilotée.

Si on est pas admin de son poste, on ne peut pas changer de base par défaut sur laquelle on veut travailler (car ça demande une modif de la base de registre sur une clé non 'user'), non ? (l'outil AdminEPCSQLServer.exe)

On peut contourner le problème par un RunAs administrateur ou en modifiant le fichier de configuration (ce n'est toujours pas clair pour moi), mais, du coup, on peut faire pareil pour créer une nouvelle connexion.

Vraiment, les droits Ed. Pil. : faut se les faire.

Et je ne pense pas que BO passe par USER CBASE.... mais bien par le compte user Windows (et pas évident que la notion de groupe Windows fonctionne)

Avant de me poser la question de gérer 'finement' les droits d'accès BO, j'aimerai déjà comprendre, connaitre les règles...

Un petit truc au passage : vous ne voulez pas que n'importe qui crée des DP_xxx ou un _XL ? sur le serveur SQL, créez une base bidon et mettez la hors ligne : le process de lecture des bases par la partie serveur adminEPSSQLServer plantera (en i7V8 en tout cas).

Cordialement,

Bonjour à tous,

@guigui37 je n'ai pas de quoi tester, et je n'ai jamais eu à gérer le cas en fait, mais si un user France n'a pas à se connecter à la base Allemagne, il y aurait peut-être un coup à jouer en mappant l'utilisateur sur la base Allemagne et en lui attribuant les droits db_denydatareader et db_denydatawriter (=refus explicite de permission vs accord implicite via le rôle public).

En gros, de ce que j'ai compris, le rôle public est affecté à tous les utilisateurs par défaut, et ce rôle induit nécessairement des GRANT pour les instructions SELECT => Donc on passe en Edition Pilotée alors qu'on ne devrait pas.

Référence Microsoft

HTH,