Vergleich von Geodatabase-Besitzern in SQL Server

Geodatabases sind eine Sammlung von Tabellen, Ansichten, Funktionen und gespeicherten Prozeduren in einer Datenbank. In Geodatabases in einer Microsoft SQL Server-Datenbank kann diese Sammlung von Objekten im Besitz eines Datenbankbenutzers namens "sde" oder des DBO-Datenbankbenutzers sein. Der Besitzer der Geodatabase wird stets als Geodatabase-Administrator angesehen.

HinweisHinweis:

Es ist wichtig zu verstehen, wie der Zugriff auf Daten und andere Objekte von SQL Server verwaltet wird. Daher sollten Sie die SQL Server-Dokumentation lesen, falls Sie mit dem Sicherheitsmodell von SQL Server nicht vertraut sind. SQL Server authentifiziert eine Anmeldung auf der Instanzebene und autorisiert anschließend einen entsprechenden Benutzer auf der Datenbankebene. Unterschiedliche erteilte Berechtigungen können für die gesamte Instanz, eine oder mehrere bestimmte Datenbanken oder Daten in einer Datenbank gelten. Dies kann Ihre Entscheidung beeinflussen, welche Art von Geodatabase-Benutzer Sie verwenden.

Die Anmeldung, mit der Sie die Verbindung zur Erstellung der Geodatabase herstellen, legt fest, welcher Datenbankbenutzer die Geodatabase besitzt. Wenn die Windows- oder SQL Server-Anmeldung, mit der Sie die Verbindung herstellen, dem DBO-Benutzer in der Datenbank zugeordnet sind, wird eine DBO-Schema-Geodatabase erstellt. Wenn die Windows- oder SQL Server-Anmeldung, mit der Sie die Verbindung herstellen, einem Benutzer namens "sde" in der Datenbank zugeordnet sind, wird eine SDE-Schema-Geodatabase erstellt.

Der SDE-Benutzer

Der SDE-Benutzer in einer Datenbank kann mit einer SQL Server-authentifizierten Anmeldung oder einer Windows-authentifizierten Anmeldung verknüpft werden. Der SDE-Benutzer muss für ein Schema namens "sde" autorisiert sein, und dieses Schema muss das Standardschema des SDE-Benutzers sein. Dem SDE-Benutzer müssen außerdem Berechtigungen in der Datenbank erteilt werden, die dem Benutzer das Erstellen und Verwalten der Geodatabase erlauben.

Der DBO-Benutzer

Der DBO-Benutzer und sein Standardschema sind automatisch in allen Datenbanken vorhanden. Anmeldungen können auf eine von zwei Weisen als DBO-Benutzer in einer Datenbank agieren:

Anmeldungen, die dem DBO-Benutzer in einer bestimmten Datenbank zugeordnet sind, haben die höchstmöglichen Berechtigungen in dieser Datenbank; daher verfügen sie über ausreichende Berechtigungen zum Erstellen und Verwalten der Geodatabase. Anmeldungen, die dem DBO-Benutzer in einer bestimmten Datenbank zugeordnet sind, haben in der SQL Server-Instanz oder anderen Datenbanken nur dann erweiterte Berechtigungen, wenn diese Berechtigungen den Anmeldungen explizit erteilt werden.

Anmeldungen, die Mitglieder der festgelegten Serverrolle "sysadmin" sind, werden dem DBO-Benutzer in jeder Datenbank auf der SQL Server-Instanz zugeordnet und verfügen auch über die höchstmöglichen Berechtigungen in der gesamten SQL Server-Instanz. Solche Anmeldungen verfügen über ausreichende Berechtigungen zum Erstellen und Verwalten der Geodatabase und können andere sicherungsfähige Elemente in der Instanz erstellen, ändern, löschen und verwalten.

Alle im Besitz des DBO-Benutzers befindlichen Datenbankobjekte werden im DBO-Schema gespeichert.

Welcher Benutzer sollte die Geodatabase besitzen?

Es gibt keine Performance- oder Funktionsunterschied zwischen den beiden Arten von Geodatabase-Schemas. Jedes hat Vor- und Nachteile. Wählen Sie den Benutzer (und folglich das Schema) aus, der am besten für Ihr System und das gewählte Sicherheitsmodell geeignet ist.

Im Folgenden werden die zwei Schemaarten basierend auf dem verwendeten Authentifizierungstyp verglichen:

Schema

Authentifizierung

Vorteile

Nachteile

DBO (Mitglied von sysadmin)

Windows- oder SQL Server-Anmeldung

  • Wenn der SQL Server-Datenbankadministrator auch als Geodatabase-Administrator fungiert, macht möglicherweise die Verwendung eines DBO-Schemas Sinn, um zu verhindern, dass die gleiche Person unterschiedliche Anmeldedaten, je nachdem, welche Aufgabe sie ausführen möchte.
  • Wenn mehr als ein Geodatabase-Administrator benötigt wird, können der festgelegten Serverrolle "sysadmin" mehrere Anmeldungen hinzugefügt werden.
  • Die Anmeldung verfügt über erweiterte Berechtigungen für alle sicherungsfähigen Elemente in der SQL Server-Instanz.
  • Die Anmeldung muss erstellt und der sysadmin-Rolle hinzugefügt werden, bevor das Werkzeug Enterprise-Geodatabase erstellen ausgeführt wird.
  • Bei Verwendung einer lokalen anstelle einer Domänen-Windows-Anmeldung ist die Anmeldung nur auf dem Server vorhanden, auf dem SQL Server installiert ist. Aus diesem Grund müssen ArcGIS-Clients auf dem gleichen Server installiert werden, und alle Aufgaben zur Verwaltung der Geodatabase müssen ausgeführt werden, während der Benutzer mit der lokalen Anmeldung bei diesem Server angemeldet ist.

DBO (dem DBO-Benutzer in einer spezifischen Datenbank zugeordnet)

Windows- oder SQL Server-Anmeldung

  • Der Geodatabase-Administrator kann die Geodatabase- und Datenbankverwaltung in der spezifischen Datenbank durchführen.
  • Erweiterte Berechtigungen beschränken sich auf die spezifische Datenbank.
  • Wenn zusätzliche Geodatabase-Administratoren benötigt werden, können der festgelegten Serverrolle "sysadmin" weitere Anmeldungen hinzugefügt werden, wodurch sie ebenfalls zu DBO-Benutzern in dieser Datenbank werden.
  • Der Benutzer hat erweiterte Berechtigungen in der Datenbank.
  • Die Anmeldung und die Datenbank müssen erstellt werden, bevor das Werkzeug Enterprise-Geodatabase erstellen ausgeführt wird, und die Anmeldung muss als Besitzer der Datenbank festgelegt werden.
  • Bei Verwendung einer lokalen anstelle einer Domänen-Windows-Anmeldung ist die Anmeldung nur auf dem Server vorhanden, auf dem SQL Server installiert ist. Aus diesem Grund müssen ArcGIS-Clients auf dem gleichen Server installiert werden, und alle Aufgaben zur Verwaltung der Geodatabase müssen ausgeführt werden, während der Benutzer mit der lokalen Anmeldung bei diesem Server angemeldet ist.

SDE

SQL Server-Anmeldung

  • Der SDE-Benutzer benötigt zur Verwaltung der Geodatabase lediglich einige Anweisungsberechtigungen innerhalb einer bestimmten Datenbank.
  • Wenn die Geodatabase in der Datenbank erstellt wird, können mit dem Werkzeug Enterprise-Geodatabase erstellen eine SDE-SQL Server-Anmeldung, ein SDE-Datenbankbenutzer und ein SDE-Schema erstellt werden.
  • Dem SDE-Benutzer kann nur eine einzige Anmeldung zugeordnet werden.
  • Die SQL Server-Instanz muss die Authentifizierung im gemischten Modus erlauben.
  • Das Werkzeug Enterprise-Geodatabase erstellen muss vom Datenbankadministrator ausgeführt werden.

SDE

Windows-Anmeldung

  • Der SDE-Benutzer benötigt zur Erstellung und Verwaltung der Geodatabase lediglich einige Anweisungsberechtigungen innerhalb einer bestimmten Datenbank.
  • Sie können dem SDE-Benutzer eine vorhandene Windows-Domänenanmeldung zuordnen.
  • Eine Windows-authentifizierte SDE-Anmeldung kann auf Sites verwendet werden, auf denen die SQL Server-Instanz nur die Windows-Authentifizierung erlaubt.
  • Möglicherweise muss eine Windows-Anmeldung erstellt und verwaltet werden, die nicht direkt mit einer bestimmten Person verknüpft ist.*
  • Die Datenbank sowie SDE-Anmeldung, -Benutzer und -Schema müssen erstellt werden, bevor das Werkzeug Enterprise-Geodatabase erstellen ausgeführt wird.
  • Dem SDE-Benutzer kann nur eine einzige Anmeldung zugeordnet werden.
  • Sie müssen mit der SDE-Anmeldung bei Windows angemeldet sein, um das Werkzeug Enterprise-Geodatabase erstellen auszuführen.
  • Bei Verwendung einer lokalen anstelle einer Domänen-Windows-Anmeldung ist die Anmeldung nur auf dem Server vorhanden, auf dem SQL Server installiert ist. Aus diesem Grund müssen ArcGIS-Clients auf dem gleichen Server installiert werden, und alle Aufgaben zur Verwaltung der Geodatabase müssen ausgeführt werden, während der Benutzer mit der lokalen Anmeldung bei diesem Server angemeldet ist.

*Die meisten Windows-Anmeldungen, insbesondere Domänenanmeldungen, gehört zu einer bestimmten Person. Mit dieser Anmeldung meldet sich die betreffende Person bei ihrem Computer an und greift auf Windows-Anwendungen wie z. B. auch SQL Server zu. Wenn sich diese Person beim Computer anmeldet, verbindet sie sich daher immer als SDE-Benutzer mit der Geodatabase. Um dies zu verhindern, kann eine weitere Windows-Anmeldung erstellt werden, wodurch die Person im Grunde zwei Anmeldungen erhält. Dies bedeutet jedoch, dass die Person die Anmeldung wechseln muss, wenn sie die Geodatabase verwalten möchte. Zudem wird auf vielen Sites das Erstellen mehrere Anmeldungen für ein und dieselbe Person vermieden, da dies die Sicherheit beeinträchtigen kann und die Anmeldungsverwaltung verkompliziert.

Verwandte Themen

Ein Vergleich von Windows- und Datenbankauthentifizierung in SQL Server
Copyright © 1995-2013 Esri. Alle Rechte vorbehalten.
9/11/2013