Un recorrido rápido por los permisos para los servidores de base de datos
Los permisos para trabajar con geodatabases y datasets en servidores de base de datos se controlan a través de la asignación de usuarios y grupos a los roles predefinidos en el catálogo. El usuario o grupo en este caso es un nombre de usuario autenticado de Windows que identifica al usuario, mientras que un rol define las operaciones que el usuario puede realizar.
Los roles predefinidos y los permisos que se pueden conceder a usuarios y grupos son los siguientes:
- Ninguno: no se ha concedido ningún permiso de acceso específico a la geodatabase ni a los datasets que contiene.
- Solo lectura: el usuario solo puede ver y seleccionar los datos.
- Lectura y escritura: el usuario puede leer, escribir y crear nuevos datasets en una geodatabase, o puede leer y escribir en un dataset existente.
- Admin: el usuario puede realizar tareas administrativas en una geodatabase en concreto.
- Administrador del servidor: este usuario administra el servidor de base de datos.
Los permisos son acumulativos. Si es usted administrador del servidor de base de datos, es también administrador de geodatabases. Si es administrador de una geodatabase, goza automáticamente de permisos de lectura y escritura en todos los dataset de esa geodatabase.
A continuación se explican los tres niveles en los que pueden asignarse permisos.
Permisos de servidor de base de datos
El único permiso que puede establecerse en el nivel de servidor de base de datos es el de administrador del servidor: o se es o no se es administrador del servidor.
Durante el proceso de configuración posterior a la instalación mediante el que se habilita la instancia de SQL Server Express para que almacene geodatabases, se agrega al servidor de base de datos un nombre de usuario. En ese momento, se asigna al usuario el rol de administrador del servidor. Después, se tiene acceso a los permisos del servidor de base de datos desde el menú contextual del servidor de base de datos en la ventana Catálogo.
El administrador del servidor puede realizar las siguientes tareas:
- Agregar y eliminar usuarios en el servidor de base de datos.
- Administrar la seguridad de geodatabases y usuarios.
- Crear y eliminar geodatabases.
- Asociar y desasociar geodatabases.
- Hacer y restaurar copias de seguridad de las geodatabases.
- Actualizar geodatabases.
- Comprimir geodatabases.
- Actualizar estadísticas e índices de la geodatabase.
- Reducir la geodatabase.
- Iniciar, detener y pausar el servidor de base de datos.
Normalmente, solo hay un administrador del servidor de base de datos.
A continuación se muestra un ejemplo del cuadro de diálogo Permiso para los servidores de base de datos. El usuario har se ha agregado al rol Administrador del servidor.
Permisos de geodatabase
Puede acceder a los permisos para toda la geodatabase a través del menú contextual de la geodatabase si accede a la geodatabase a través del nodo Servidores de base de datos de la ventana Catálogo.
En un principio, un administrador del servidor se encarga de conceder los permisos en este nivel, que se administran a través de roles. Los roles que se pueden asignar a un usuario son:
- Solo lectura: permite al usuario realizar selecciones en cualquier tabla de la geodatabase.
- Lectura y escritura: los usuarios asignados a este rol pueden seleccionar y editar todos los datos existentes y crear nuevos objetos de geodatabase como por ejemplo clases de entidad. Si un usuario tiene concedido el permiso de lectura y escritura en el nivel de geodatabase, no podrá cambiarse el permiso en el nivel del dataset, que será automáticamente de lectura y escritura.
- Admin: los usuarios asignados al rol Admin son administradores de esa geodatabase únicamente. Esto significa que el usuario goza de permisos de lectura y escritura en todos los datasets de la geodatabase y que esos derechos no se pueden revocar en el nivel de dataset. Por ejemplo, no podría abrir el cuadro de diálogo Permiso en el nivel de dataset y seleccionar derechos de solo lectura para ese usuario sobre el dataset.
Además de gozar de acceso de lectura y escritura a los datasets de la geodatabase, los administradores de la geodatabase pueden realizar tareas administrativas en ella, por ejemplo crear copias de seguridad de la geodatabase, comprimirla, actualizarla y administrar los derechos de otros usuarios de la geodatabase. (Los usuarios deben existir previamente en el servidor de base de datos; los administradores de la geodatabase no pueden agregar usuarios al servidor de base de datos.)
- La opción de rol de usuario que queda es Ninguno. El usuario asignado a este rol no goza de ningún permiso para toda la geodatabase; sin embargo, este usuario aún puede recibir permisos de solo lectura o de lectura y escritura para datasets concretos, como se explica en la sección Permisos de dataset. Al agregar usuarios al servidor de base de datos, se les concede de manera predeterminada el nivel de permisos Ninguno.
A continuación se muestra el cuadro de diálogo Permiso de la geodatabase de ejemplo, en el que al usuario pllama se le conceden los permisos de lectura y escritura en la geodatabase “historical”.
Para obtener más información sobre los administradores del servidor y de las geodatabases, vea Usuario administrador para servidores de base de datos.
Permisos de dataset
Los permisos de un dataset son accesibles a través del menú contextual del dataset cuando se accede a los datos a través del nodo Servidores de base de datos en ArcCatalog. Los permisos de dataset disponibles a través del cuadro de diálogo Permiso en el nivel de dataset son los de solo lectura, lectura y escritura, y ninguno.
Un usuario puede no tener ningún permiso para toda la geodatabase (Ninguno) pero gozar de permisos de lectura o de lectura y escritura para determinados datasets de entidad de la geodatabase. Por ejemplo, puede que desee conceder a los usuarios de un grupo de analistas permisos de solo lectura para la geodatabase pero concederles permisos de lectura y escritura para cierta clase de entidad de la geodatabase.
Cuando un usuario crea un dataset, por ejemplo una tabla, dicho dataset es propiedad de ese usuario y se considera que forma parte del esquema de ese usuario. Los permisos de usuario de los datasets contenidos en una geodatabase solo puede establecerlos el propietario de dichos datasets.
En el caso de un administrador del servidor, los datasets que cree son propiedad del usuario dbo y se almacenan en el esquema dbo. Por consiguiente, el administrador del servidor puede conceder permisos sobre cualquier dataset del esquema dbo, pero solo para los objetos de dicho esquema. Dicho de otro modo, un administrador del servidor no puede conceder permisos sobre datos que pertenezcan a usuarios no administrativos.
A continuación se muestra un ejemplo del cuadro de diálogo Permiso correspondiente a un dataset denominado firestations.
Para obtener más información sobre cómo asignar usuarios a los roles y conceder o revocar permisos, vea Modificar los permisos de los dataset en geodatabases de ArcSDE.