Vergleich von Geodatabase-Besitzern in SQL Server

Geodatabases sind eine Sammlung von Tabellen, Sichten, Funktionen und gespeicherten Prozeduren in einer Datenbank. In Geodatabases in einer Microsoft SQL Server-Datenbank kann diese Sammlung von Objekten im Besitz eines Datenbankbenutzers namens "sde" oder des DBO-Datenbankbenutzers sein. Der Besitzer der Geodatabase wird stets als Geodatabase-Administrator angesehen. Da Benutzernamen und Schemanamen in einer Geodatabase übereinstimmen müssen, werden Geodatabases im Besitz des SDE-Benutzers als SDE-Schema-Geodatabases und Geodatabases im Besitz des DBO-Benutzers als DBO-Schema-Geodatabases bezeichnet.

Hinweis:

Es ist wichtig zu verstehen, wie der Zugriff auf Daten und andere Objekte von SQL Server verwaltet wird. Daher sollten Sie die Microsoft SQL Server-Dokumentation lesen, falls Sie mit dem Sicherheitsmodell von SQL Server nicht vertraut sind. SQL Server authentifiziert eine Anmeldung auf der Instanzebene und autorisiert einen entsprechenden Benutzer auf der Datenbankebene. Unterschiedliche erteilte Berechtigungen können für die gesamte Instanz, eine oder mehrere bestimmte Datenbanken oder Daten in einer Datenbank gelten. Dies kann Ihre Entscheidung beeinflussen, welche Art von Geodatabase-Benutzer Sie verwenden.

Die Anmeldung, mit der Sie die Verbindung zur Erstellung der Geodatabase herstellen, legt fest, welcher Datenbankbenutzer die Geodatabase besitzt. Wenn die Anmeldedaten für das Betriebssystem oder die SQL Server-Anmeldedaten, mit denen Sie die Verbindung herstellen, dem DBO-Benutzer in der Datenbank zugeordnet sind, wird eine DBO-Schema-Geodatabase erstellt. Wenn die Anmeldedaten für das Betriebssystem oder die SQL Server-Anmeldedaten, mit denen Sie die Verbindung herstellen, einem Benutzer namens "sde" in der Datenbank zugeordnet sind, wird eine SDE-Schema-Geodatabase erstellt.

Der SDE-Benutzer

Der SDE-Benutzer in einer Datenbank kann mit einer Anmeldung mit SQL Server-Authentifizierung oder einer Anmeldung mit Betriebssystemauthentifizierung verknüpft werden. Der SDE-Benutzer muss für ein Schema namens "sde" autorisiert sein, und dieses Schema muss das Standardschema des SDE-Benutzers sein. Dem SDE-Benutzer müssen außerdem Berechtigungen in der Datenbank erteilt werden, die dem Benutzer das Erstellen und Verwalten der Geodatabase erlauben.

Der DBO-Benutzer

Der DBO-Benutzer und sein Standardschema sind automatisch in allen Datenbanken vorhanden. Anmeldungen können auf eine von zwei Weisen als DBO-Benutzer in einer Datenbank agieren:

  • Wenn sie als Besitzer einer bestimmten Datenbank erstellt oder definiert werden
  • Wenn sie ein Mitglied der festgelegten Serverrolle "sysadmin" sind

Anmeldungen, die dem DBO-Benutzer in einer bestimmten Datenbank zugeordnet sind, haben die höchstmöglichen Berechtigungen in dieser Datenbank; daher verfügen sie über ausreichende Berechtigungen zum Erstellen und Verwalten der Geodatabase. Anmeldungen, die dem DBO-Benutzer in einer bestimmten Datenbank zugeordnet sind, haben in der SQL Server-Instanz oder anderen Datenbanken nur dann erweiterte Berechtigungen, wenn diese Berechtigungen den Anmeldungen explizit erteilt werden.

Anmeldungen, die Mitglieder der festgelegten Serverrolle "sysadmin" sind, werden dem DBO-Benutzer in jeder Datenbank auf der SQL Server-Instanz zugeordnet und verfügen auch über die höchstmöglichen Berechtigungen in der gesamten SQL Server-Instanz. Solche Anmeldungen verfügen über ausreichende Berechtigungen zum Erstellen und Verwalten der Geodatabase und können andere sicherungsfähige Elemente in der Instanz erstellen, ändern, löschen und verwalten.

Alle im Besitz des DBO-Benutzers befindlichen Datenbankobjekte werden im DBO-Schema gespeichert.

Welcher Benutzer sollte die Geodatabase besitzen?

Es gibt keine Unterschiede im Hinblick auf die Performance oder Funktionalität zwischen den beiden Geodatabase-Schema-Typen. Beide haben Vor- und Nachteile. Wählen Sie den Benutzer (und folglich das Schema) aus, der am besten für Ihr System und das gewählte Sicherheitsmodell geeignet ist.

Im Folgenden werden die zwei Schemaarten basierend auf dem verwendeten Authentifizierungstyp verglichen:

SchemaAuthentifizierungVorteileNachteile

DBO (Mitglied von sysadmin)

Betriebssystem- oder SQL Server-Anmeldung

  • Wenn der SQL Server-Datenbankadministrator auch als Geodatabase-Administrator fungiert, kann die Verwendung eines DBO-Schemas sinnvoll sein, um zu verhindern, dass eine Person je nach Aufgabe unterschiedliche Anmeldedaten verwenden muss.
  • Wenn mehr als ein Geodatabase-Administrator benötigt wird, können der festgelegten Serverrolle "sysadmin" mehrere Anmeldungen hinzugefügt werden.
  • Die Anmeldung verfügt über erweiterte Berechtigungen für alle sicherungsfähigen Elemente in der SQL Server-Instanz.
  • Die Anmeldung muss erstellt und der sysadmin-Rolle hinzugefügt werden, bevor das Werkzeug Enterprise-Geodatabase erstellen ausgeführt wird.
  • Bei Verwendung von lokalen anstelle von Domänenanmeldedaten ist die Anmeldung nur auf dem Server vorhanden, auf dem SQL Server installiert ist. Aus diesem Grund müssen ArcGIS-Clients auf dem gleichen Server installiert werden, und alle Aufgaben zur Verwaltung der Geodatabase müssen ausgeführt werden, während der Benutzer mit der lokalen Anmeldung bei diesem Server angemeldet ist.
  • DBO-Schema-Geodatabases werden in Amazon Relational Database Service (RDS) for SQL Server nicht unterstützt.

DBO (dem DBO-Benutzer in einer spezifischen Datenbank zugeordnet)

Betriebssystem- oder SQL Server-Anmeldung

  • Der Geodatabase-Administrator kann die Geodatabase- und Datenbankverwaltung in der spezifischen Datenbank durchführen.
  • Erweiterte Berechtigungen beschränken sich auf die spezifische Datenbank.
  • Wenn zusätzliche Geodatabase-Administratoren benötigt werden, können der festgelegten Serverrolle "sysadmin" weitere Anmeldungen hinzugefügt werden, wodurch sie ebenfalls zu DBO-Benutzern in dieser Datenbank werden.
  • Der Benutzer hat erweiterte Berechtigungen in der Datenbank.
  • Die Anmeldung und die Datenbank müssen erstellt werden, bevor das Werkzeug Enterprise-Geodatabase erstellen ausgeführt wird, und die Anmeldung muss als Besitzer der Datenbank festgelegt werden.
  • Bei Verwendung von lokalen anstelle von Domänenanmeldedaten ist die Anmeldung nur auf dem Server vorhanden, auf dem SQL Server installiert ist. Aus diesem Grund müssen ArcGIS-Clients auf dem gleichen Server installiert werden, und alle Aufgaben zur Verwaltung der Geodatabase müssen ausgeführt werden, während der Benutzer mit der lokalen Anmeldung bei diesem Server angemeldet ist.
  • DBO-Schema-Geodatabases werden in Amazon RDS for SQL Server nicht unterstützt.

SDE

SQL Server-Anmeldung

  • Der SDE-Benutzer benötigt zur Verwaltung der Geodatabase lediglich einige Anweisungsberechtigungen innerhalb einer bestimmten Datenbank.
  • Wenn die Geodatabase in der Datenbank erstellt wird, können mit dem Werkzeug Enterprise-Geodatabase erstellen eine SDE-SQL Server-Anmeldung, ein SDE-Datenbankbenutzer und ein SDE-Schema erstellt werden. Alternativ kann der Datenbankadministrator die Datenbank, den SDE-Benutzer (mit den erforderlichen Berechtigungen) und das SDE-Schema erstellen und den SDE-Benutzer die Geodatabase mit dem Geoverarbeitungswerkzeug Enterprise-Geodatabase aktivieren erstellen lassen.
  • Beim Erstellen einer Geodatabase in Amazon RDS for SQL Server kann eine SDE-SQL Server-Anmeldung verwendet werden.
  • Dem SDE-Benutzer kann nur eine einzige Anmeldung zugeordnet werden.
  • Die SQL Server-Instanz muss die Authentifizierung im gemischten Modus erlauben.
  • Das Werkzeug Enterprise-Geodatabase erstellen muss vom Datenbankadministrator ausgeführt werden.

SDE

Betriebssystemanmeldung

  • Der SDE-Benutzer benötigt zur Erstellung und Verwaltung der Geodatabase lediglich einige Anweisungsberechtigungen innerhalb einer bestimmten Datenbank. Der Datenbankadministrator kann die Datenbank, den SDE-Benutzer (mit den erforderlichen Berechtigungen) und das SDE-Schema erstellen und den SDE-Benutzer die Geodatabase mit dem Geoverarbeitungswerkzeug Enterprise-Geodatabase aktivieren erstellen lassen.
  • Sie können dem SDE-Benutzer vorhandene Domänenanmeldedaten zuordnen.
  • Eine SDE-Anmeldung mit Betriebssystemauthentifizierung kann verwendet werden, wenn die SQL Server-Instanz nur Betriebssystemauthentifizierung zulässt.
  • Möglicherweise muss eine Betriebssystemanmeldung erstellt und verwaltet werden, die nicht direkt mit einer bestimmten Person verknüpft ist.*
  • Datenbank, SDE-Anmeldung, Benutzer und Schema müssen erstellt werden, bevor das Werkzeug Enterprise-Geodatabase erstellen ausgeführt wird.
  • Dem SDE-Benutzer kann nur eine einzige Anmeldung zugeordnet werden.
  • Sie müssen mit der SDE-Anmeldung bei Windows angemeldet sein, um das Werkzeug Enterprise-Geodatabase erstellen auszuführen.
  • Bei Verwendung von lokalen anstelle von Domänenanmeldedaten ist die Anmeldung nur auf dem Server vorhanden, auf dem SQL Server installiert ist. Aus diesem Grund müssen ArcGIS-Clients auf dem gleichen Server installiert werden, und alle Aufgaben zur Verwaltung der Geodatabase müssen ausgeführt werden, während der Benutzer mit der lokalen Anmeldung bei diesem Server angemeldet ist.

*Die meisten Betriebssystemanmeldungen, insbesondere Domänenanmeldedaten, gehören zu einer bestimmten Person. Mit diesen Anmeldedaten meldet sich die betreffende Person bei ihrem Computer an und greift auf Anwendungen, z. B. SQL Server, zu. Daher verbindet sich diese Person stets als SDE-Benutzer mit der Geodatabase. Wenn dieselbe Person sowohl als Geodatabase-Administrator fungiert als auch Daten in der Geodatabase erstellt, müssen Sie möglicherweise eine weitere Betriebssystemanmeldung erstellen und diese einem anderen Benutzer mit geringeren Berechtigungen in der Datenbank zuweisen. Damit erhält die Person zwei Anmeldungen. Sie muss sich also je nach der in der Geodatabase durchzuführenden Aufgabe mit anderen Anmeldedaten am Computer anmelden. Auf vielen Sites wird das Erstellen mehrerer Anmeldungen für ein und dieselbe Person vermieden, da dies die Sicherheit beeinträchtigen kann und die Komplexität der Anmeldungsverwaltung erhöht. Aus diesen Gründen ist ein SDE-Benutzer mit Betriebssystemauthentifizierung keine gute Wahl, wenn dieselbe Person mehrere Rollen in der Geodatabase ausfüllt.