L'attribution d'identifiants de connexion et de groupes à des rôles prédéfinis permet de contrôler les autorisations permettant d'utiliser des géodatabases et des jeux de données sur des serveurs de base de données. Dans ce cas, l'identifiant de connexion ou le groupe correspond à un identifiant de connexion authentifié par Windows qui identifie l'utilisateur. Un rôle définit les opérations que l'utilisateur est autorisé à exécuter.
Les rôles prédéfinis et les autorisations possibles accordés aux identifiants de connexions et aux groupes sont les suivants :
- Aucune : aucun accès spécifique à la géodatabase ou aux jeux de données dans la géodatabase n'a été accordé.
- Lecture seule : l'utilisateur peut uniquement afficher et sélectionner des données.
- Lecture/écriture : l'utilisateur peut lire, écrire sur, et créer des jeux de données dans une géodatabase ou lire et écrire dans un jeu de données existant.
- Admin : l'utilisateur peut effectuer des tâches administratives dans une géodatabase spécifique.
- Administrateur de serveur : cet utilisateur gère le serveur de base de données.
Les autorisations se cumulent. Si vous êtes administrateur au niveau du serveur de base de données, vous êtes également administrateur de géodatabase. Si vous êtes administrateur de géodatabase, vous disposez automatiquement d'autorisations d'accès en lecture/écriture sur tous les jeux de données de cette géodatabase.
Les sections suivantes décrivent chaque niveau auquel les autorisations peuvent être affectées.
Autorisations relatives au serveur de base de données
La seule autorisation pouvant être définie au niveau du serveur de base de données est l'autorisation d'administrateur du serveur ; soit l'êtes, soit vous ne l'êtes pas.
Durant le processus de configuration qui permet à l'instance SQL Server Express de stocker des géodatabases, un identifiant Windows est ajouté au serveur de base de données. L'identifiant de connexion est alors affecté au rôle d'administrateur de serveur. Ensuite, les autorisations relatives au serveur de base de données sont accessibles dans le menu contextuel du serveur de base de données dans ArcGIS Desktop.
L'administrateur de serveur peut effectuer les tâches suivantes :
- Ajouter des utilisateurs au serveur de base de données et en supprimer.
- Gérer la sécurité des utilisateurs et de la géodatabase.
- Créer et supprimer des géodatabases.
- Attacher et détacher des géodatabases.
- Sauvegarder et restaurer des géodatabases.
- Mettre les géodatabases à niveau.
- Compresser des géodatabases.
- Mettre à jour des statistiques et des index dans la géodatabase.
- Réduire la taille de la géodatabase.
- Démarrer, arrêter et interrompre momentanément le serveur de base de données.
En général, il n'existe qu'un seul administrateur de serveur de base de données.
Ci-dessous, vous trouverez un exemple de la boîte de dialogue Autorisations pour les serveurs de base de données. L'identifiant de connexion ROCKETJAY\har a été ajouté au rôle Administrateur de serveur.
Autorisations d'accès à la géodatabase
Les autorisations pour toute la géodatabase sont accessibles via le menu contextuel de la géodatabase lors de l'accès à la géodatabase via le nœud Serveurs de bases de données de l'arborescence du Catalogue.
Les autorisations à ce niveau sont initialement accordées par un administrateur de serveur et sont gérées à l'aide des rôles. Les rôles possibles pouvant être attribués à un utilisateur sont les suivants :
- Lecture seule : l'utilisateur peut sélectionner des données dans toutes les tables de la géodatabase.
- Lecture/écriture : les utilisateurs attribués au rôle Lecture/écriture peuvent sélectionner et modifier toutes les données existantes et créer de nouveaux objets de géodatabase tels que les classes d'entités. Si cette autorisation est accordée à un utilisateur au niveau de la géodatabase, vous ne pouvez pas changer son autorisation au niveau du jeu de données. Il bénéficie automatiquement de l'autorisation d'accès en lecture/écriture.
- Admin : les utilisateurs affectés au rôle Admin sont des administrateurs de cette géodatabase uniquement. Cela signifie que l'utilisateur a accès en lecture/écriture à tous les jeux de données de la géodatabase et que ces droits ne peuvent pas être supprimés au niveau du jeu de données. Par exemple, vous ne pourrez pas ouvrir la boîte de dialogue Autorisations au niveau du jeu de données et choisir Lecture seule pour cet utilisateur pour ce jeu de données.
Outre l'accès en lecture/écriture aux jeux de données de la géodatabase, les administrateurs de géodatabase peuvent effectuer des tâches administratives sur cette géodatabase, y compris créer des sauvegardes de la géodatabase, la compresser, la mettre à niveau et administrer les droits d'autres utilisateurs sur la géodatabase. (Les utilisateurs doivent déjà exister sur le serveur de base de données ; les administrateurs de géodatabase ne peuvent pas ajouter d'utilisateurs au serveur de base de données.)
- L'autre option pour les rôles d'utilisateur est Aucune. Dans ce cas, l'utilisateur n'a pas d'autorisations pour l'ensemble de la géodatabase ; cependant, vous pouvez tout de même lui accorder les autorisations d'accès en lecture seule ou en lecture/écriture pour des jeux de données spécifiques, comme nous allons le voir dans la section "Autorisations relatives au jeu de données". Aucune est le niveau d'autorisation par défaut pour les géodatabases. Il est accordé lors de l'ajout d'un utilisateur au serveur de base de données.
Dans la boîte de dialogue Autorisations présentée ci-dessous, l'identifiant de connexion ROCKETAY\pllama est ajouté au rôle Lecture/écriture de l'historique de la géodatabase.
Pour en savoir plus sur les administrateurs de géodatabase et de serveur, reportez-vous à la rubrique Administrateurs de serveur de base de données.
Autorisations relatives au jeu de données
Les autorisations d'accès au jeu de données sont disponibles via la commande Privilèges du menu contextuel du jeu de données, qui permet d'ouvrir la boîte de dialogue Autorisations. Les autorisations sur les jeux de données disponibles par l'intermédiaire de la boîte de dialogue Autorisations au niveau du jeu de données sont les suivantes : Lecture seule, Lecture/écriture et Aucune.
Un utilisateur peut ne pas avoir d'autorisation pour l'ensemble de la géodatabase (Aucune), mais avoir accès en lecture ou en lecture/écriture à des jeux de classes d'entités spécifiques de la géodatabase. Par exemple, vous pouvez octroyer aux utilisateurs d'un groupe d'analystes un droit d'accès en lecture seule à la géodatabase, mais leur accorder l'autorisation d'accès en lecture/écriture pour une classe d'entités spécifique de la géodatabase.
Lorsqu'un utilisateur crée un jeu de données, tel qu'une table, cet utilisateur en est propriétaire et ce jeu de données est considéré comme faisant partie de le schéma de cet utilisateur. Les autorisations d'accès aux jeux de données dans une géodatabase peuvent uniquement être définies par le propriétaire du jeu de données.
Dans le cas d'un administrateur de serveur, les jeux de données qu'il crée sont la propriété du dbo et sont stockés dans le schéma dbo. L'administrateur de serveur, par conséquent, peut accorder des autorisations pour tous les jeux de données figurant dans le schéma dbo, mais seulement pour les objets dans le schéma dbo. En d'autres termes, un administrateur de serveur ne peut pas accorder l'autorisation d'accéder à des données dont des utilisateurs non administratifs sont propriétaires.
Voici un exemple de la boîte de dialogue Autorisations du jeu de données pour un jeu de données nommé firestations (casernes) :
Pour savoir comment affecter des utilisateurs à ces rôles et ainsi accorder ou révoquer des autorisations, reportez-vous à la rubrique Modifier les autorisations.