如何为用户禁用SQL Server Management Studio

Question

有没有办法阻止用户进入SQL Server Management Studio，以便他们不能只手动编辑表行？ 他们仍然需要通过运行我的应用程序来访问表。

Answer 1

您可以为特定用户使用DENY VIEW ANY DATABASE命令。 这是SQL Server 2008中提供的新功能。

它可以防止用户查看系统目录（sys.databases，sys.sysdatabases等），从而使SQL在SQL Management Studio（SSMS）中对它们不可见。

从主数据库运行此命令：

DENY VIEW ANY DATABASE TO 'loginName'

用户仍然可以通过您的应用程序访问数据库。 但是，如果他们通过SSMS登录，您的数据库将不会显示在数据库列表中，如果他们打开查询窗口，您的数据库将不会出现在下拉列表中。

但是，这不是万无一失的。 如果用户足够聪明以运行查询命令：

USE <YourDatabaseName>

然后他们将在查询分析器中看到数据库。

由于这个解决方案占用了90％，我会给数据库一些不起眼的名称，不要让用户知道数据库的名称。

Answer 2

你不必担心有访问工具他们。 只需确保他们不知道具有读/写权限的特定数据库的任何SQL登录，如果有，则更改密码。 如果他们可以通过Windows身份验证访问数据库，请确保他们处于datareader角色 。 您可以使用角色来管理用户可以在SQL中执行的操作。

Answer 3

我建议您锁定数据库并为用户提供适当的只读（或其他）权限。 这样，用户仍然可以使用管理工作室来运行选择查询等。

如果您不希望用户拥有任何权利，那么您也可以这样做。

Answer 4

您可以使用触发器。

CREATE TRIGGER [TR_LOGON_APP]
ON ALL SERVER 
FOR LOGON
AS
BEGIN

   DECLARE @program_name nvarchar(128)
   DECLARE @host_name nvarchar(128)

   SELECT @program_name = program_name, 
      @host_name = host_name
   FROM sys.dm_exec_sessions AS c
   WHERE c.session_id = @@spid


   IF ORIGINAL_LOGIN() IN('YOUR_APP_LOGIN_NAME') 
      AND @program_name LIKE '%Management%Studio%' 
   BEGIN
      RAISERROR('This login is for application use only.',16,1)
      ROLLBACK;
   END
END;

https://www.sqlservercentral.com/Forums/1236514/How-to-prevent-user-login-to-SQL-Management-Studio-#bm1236562

Answer 5

如果您的应用程序作为服务/用户帐户运行，则只有该帐户需要访问数据库。 个人用户的帐户不需要任何数据库访问权限，因此他们甚至不具有读取权限。 您的应用将成为数据的网关。

如果用户在其用户帐户下运行应用程序，则授予他们只读权限。 您只需将它们添加到db_datareader角色即可。

希望这可以帮助！

Answer 6

您可以拒绝'用户'对ssms.exe可执行文件的访问权限，同时授予相关用户/管理员权限。

Answer 7

如果您的应用程序仅使用存储过程来修改数据，则可以为最终用户提供运行存储过程的访问权限，但拒绝他们访问以修改表。

Answer 8

• 不要让他们知道数据库登录是什么。
• 如果无法限制登录，请专门使用存储过程进行更新，并禁用该用户的任何CREATE，DELETE，INSERT或UPDATE权限。

Answer 9

应用程序角色将允许您将数据库对象保护到应用程序而不是登录用户。

Answer 10

我同意Jon Erickson的一般规则

• 不允许任何用户访问表，但只允许通过存储过程进行访问
• 不允许一般用户帐户访问存储过程，但只允许您的应用程序运行的帐户（无论是集成登录还是SQL登录）

Answer 11

充分利用数据库角色，如果用户只应具有SELECT（读取）访问权限，则为其分配db_datareader角色。 即使他们使用SSMS登录，他们也只能执行SELECT语句。