AUTO ADMIN MAPPING

`AUTO ADMIN MAPPING`

Операционная система

только Windows.

Администраторы операционной системы Windows автоматически не получают права SYSDBA при подключении к базе данных (если, конечно, разрешена доверенная авторизация). Имеют ли администраторы автоматические права SYSDBA зависит от установки значения флага AUTO ADMIN MAPPING.Это флаг в каждой из баз данных, который по умолчанию выключен.Если флаг AUTO ADMIN MAPPING включен, то он действует, когда администратор Windows:

подключается с помощью доверенной аутентификации
не определяет никакой роли при подключении.

После успешного “auto admin” подключения текущей ролью будет являться RDB$ADMIN.

Включение и выключение AUTO ADMIN MAPPING в обычной базе данных

Включение и выключение флага AUTO ADMIN MAPPING в обычной базе данных осуществляется следующим образом:

ALTER ROLE RDB$ADMIN SET AUTO ADMIN MAPPING -- включение

ALTER ROLE RDB$ADMIN DROP AUTO ADMIN MAPPING -- выключение

Эти операторы могут быть выполнены пользователями с достаточными правами, а именно:

владелец базы данных;
администраторы.

Note

Оператор

ALTER ROLE RDB$ADMIN SET AUTO ADMIN MAPPING

является упрощённым видом оператора создания отображения предопределённой группы DOMAIN_ANY_RID_ADMINS на роль RDB$ADMIN.

CREATE MAPPING WIN_ADMINS
USING PLUGIN WIN_SSPI
FROM Predefined_Group
DOMAIN_ANY_RID_ADMINS
TO ROLE RDB$ADMIN;

Соответственно оператор

ALTER ROLE RDB$ADMIN DROP AUTO ADMIN MAPPING

эквивалентен оператору

DROP MAPPING WIN_ADMINS;

Подробней см. Отображение объектов безопасности.

В обычных базах данных статус AUTO ADMIN MAPPING проверяется только во время подключения.Если Администратор имеет роль RDB$ADMIN потому, что произошло автоматическое отображение во время входа, то он будет удерживать эту роль на протяжении всей сессии, даже если он или кто-то другой в это же время выключает автоматическое отображение.

Точно также, включение AUTO ADMIN MAPPING не изменит текущую роль в RDB$ADMIN для Администраторов, которые уже подключились.