Ir al contenido principal

Diferenica entre propietario (object owner) y schema?

Este capítulo explica los conceptos de Propietario y Esquema en SQL Server, así como la resolución de nombres de objetos en SQL Server. El concepto de Esquema, es un cambio importante frente a versiones anteriores de SQL Server, explicándose el cambio producido con los conceptos de Propietario y Esquema entre SQL Server 2000 y SQL Server 2005. Se explica el concepto de esquema por defecto, la utilización de GRANT - DENY - REVOKE con la cláusula ON SCHEMA, cómo cambiar el propietario de un objeto en SQL Server (sp_changeobjectowner), cómo cambiar el propietario de un esquema (ALTER AUTHORIZATION SCHEMA), ventajas de los esquemas al eliminar usuarios cambiando el esquema bajo es que están sus objetos (ALTER SCHEMA TRANSFER), etc.

Entender correctamente los conceptos de Propietario (object owner) y Esquema (schema), requiere también de comprender el concepto de Resolución de Nombres en SQL Server. Todo objeto de base de datos tiene un nombre, que permite identificarlo de forma única en la base de datos en la que existe. Así, podemos tener una tabla llamada TBL_DIVISAS. En la mayoría de los casos se crean los objetos con propietario o esquema dbo, por lo que sería posible acceder a ésta tabla denominándola TBL_DIVISAS ó dbo.TBL_DIVISAS. Pero este comportamiento, ¿Por qué es así?.
Hasta SQL Server 2000, el nombre completo de un objeto toma la forma deservidor_instancia.base_de_datos.propietario.objeto, mientras que a partir de SQL Server 2005 el nombre completo de un objeto pasa a serservidor_instancia.base_de_datos.esquema.objeto. Como se puede apreciar, se cambia al Propietario por el Esquema. Pero, ¿qué importancia tiene?.
Hasta SQL Server 2000 no existía el concepto de Esquema, de tal modo que un usuario al crear un objeto, si no lo calificaba de forma explícita, se crea con el nombre del usuario creador como propietario (existe un excepción que luego se comenta, y ahora se omite por motivos didácticos). Por ejemplo, si el usuario juan crea una tabla con nombre TBL_DIVISAS sin calificar su nombre completo en la sentencia CREATE TABLE (o al menos sin calificar el propietario), la tabla se denominará juan.TBL_DIVISAS. Esto tiene varias implicaciones:
  • Juan podrá acceder a la tabla sin calificar, por ejemplo con SELECT * FROM TBL_DIVISAS.
  • El resto de usuarios necesitarán calificar correctamente la tabla para acceder a ella, por ejemplo con SELECT * FROM juan.TBL_DIVISAS. En caso contrario obtendrán el siguiente error aún cuando existe el objeto al que desean acceder:

    Server: Msg 208, Level 16, State 1, Line 1
    Invalid object name 'TBL_DIVISAS'.
Aquí, ya tenemos un problema potencial de resolución de nombres. Hay que tener en cuenta, que un usuario pepe, puede tener otra tabla TBL_DIVISAS. El nombre sigue siendo único, es decir, un objeto será juan.TBL_DIVISAS y el otro será pepe.TBL_DIVISAS. Es decir, distintos usuarios (propietarios) pueden tener objetos con el mismo nombre en la misma base de datos. Esto no es un gran problema, pero si no lo tenemos presente, en alguna ocasión nos podremos dar algún pequeño susto, por esta pequeña confusión. Sin embargo, ésto no acaba aquí, dado que si el usuario juan empieza a crear objetos y el resto de usuarios a utilizarlos, si en un futuro necesitamos eliminar al usuario juan, necesitaremos eliminar todos sus objetos. Es decir, para eliminar un usuario hay que eliminar todos sus objetos, y las consultas que acceden a dichos objetos calificándolos correctamente dejarán de funcionar (salvo que las modifiquemos, claro ;-). Es cierto que podemos evitar eliminar los objetos, si cambiamos su propietario. Es decir, podemos utilizar el procedimiento almacenado del sistemasp_changeobjectowner para cambiar el propietario de los objetos, y así poder eliminar al usuario, pero seguimos con un potencial problema de resolución de nombres.
En ocasiones los objetos se crean por el usuario correspondiente al inicio de sesión propietario de la base de datos (cuyo usuario de base de datos es dbo) o por un inicio de sesión miembro de sysadmin (cuyo usuario de base de datos es también dbo), lo cual tiene sus propias implicaciones. Cuando el propietario de la base de datos o un miembro de sysadmin crea un objeto sin calificar de forma explítica en la sentencia CREATE, la propiedad de dicho objeto se asigna a dbo. Este detalle es vital, dada la forma en que funciona la resolución de nombres hasta SQL Server 2000, pues al intentar acceder a objetos no calificados correctamente, primero se comprueba si existen con propietario el usuario actual, y en caso de que no exista, se comprueba si el usuario existe con propietario dbo. De este modo, al crear objetos con propietario dbo, todos los usuarios podrán acceder a ellos calificándolos correctamente o sin calificarlos correctamente, y habremos evitado nuestro problema, con el precio de dicha limitación (utilizar como propietario a dbo). Es ésta la forma en la que se trabaja en la mayoría de los casos: todos los objetos como propiedad de dbo, al margen de quién sea el creador.
Una alternativa casera, no muy recomendada, pero interesante desde un punto de vista didáctico, es la posibilidad de poder crear funciones de base de datos (database roles), que son como grupo de usuarios, y utilizar funciones de base de datos (database roles) como propietarios de los objetos. Personalmente, me quedo con la opción de utilizar siempre dbo como propietario ;-)
Ahora vamos a hablar de cómo es a partir de SQL Server 2005. Los esquemas (schemas) son objetos de base de datos que facilitan la resolución de nombres, es decir, los esquemas facilitan un espacio de nombres (namespace). Con esto, ahora podemos eliminar un usuario sin que impacte en las aplicaciones y consultas existentes, puesto que la eliminación de un usuario (una cuestión de seguridad) no implica la eliminación del esquema (una cuestión de resolución de nombres). Es evidente, que todo objeto de base de datos (ej: tabla, vista, procedimiento almacenado, etc.) tiene asociado uno y sólo un esquema. Además, todo usuario tiene asignado un esquema por defecto (default schema), en su defecto, el esquema dbo (si... es cierto... y tenemos que ser capaces de diferenciar entre esquema y usuario claramente, porque nos vamos a encontrar muchas bases de datos que tiene esquemas con los mimos nombres que los usuarios, por ejemplo, como resultado de una migración de SQL Server 2000 a SQL Server 2005.... y si no estamos atentos, podemos confundirnos, cual humano que somos ;-). De hecho,múltiples usuarios pueden tener asignado el mismo esquema por defecto, si nos resulta de utilidad. A continuación, mostramos un ejemplo de Transact-SQL para asignar un esquema por defecto a un usuario existente:
ALTER USER juan
WITH DEFAULT_SCHEMA = facturacion
También podemos cambiar el esquema bajo el que está un objeto (utilizando ALTER SCHEMA), con el fin de alterar la correspondiente resolución de nombres. A continuación se muestra un ejemplo en el que se transfiere el objeto TBL_DIVISAS desde el esquema juan al esquema facturacion:
ALTER SCHEMA facturacion
TRANSFER juan.TBL_DIVISAS
Además, los esquemas también nos permitirán organizar nuestros objetos (ej: crear múltiples esquemas para distribuir los objetos de la base de datos entre los mismos, como si fueran carpetas), y también facilitan la configuración de seguridad (GRANT, DENY, REVOKE) al poder conceder permisos sobre todos los objetos contenidos en un esquema mediante una única instrucción (ej: GRANT SELECT ON SCHEMA). A continuación se muestra un ejemplo para conceder permiso de SELECT sobre todos los objetos de un esquema determinado (facturacion) a un usuario particular (juan):
GRANT SELECT
ON SCHEMA :: facturacion
TO juan
WITH GRANT OPTION
En cualquier caso, los esquemas, como objetos de base de datos que son, tienen a su vez un propietario o creador. Es decir, un usuario con suficientes permisos puede crear un esquema, siendo él el propietario. Después podrá crear múltiples objetos y asignarlos a dicho esquema, con el fin de utilizar el espacio de nombres que desee. Así, es posible cambiar el propietario de un esquema utilizando la sentencia ALTER AUTHORIZATION ON SCHEMA, como se muestra en el siguiente ejemplo:
ALTER AUTHORIZATION
ON SCHEMA::[facturacion]
TO [juan]
Esto es vital, ya que igual que en SQL Server 2000 no podemos eliminar un usuario si es propietario de algún objeto, en SQL Server 2005 no podemos eliminar un usuario si posee algún esquema (aunque sea lo transferimos a dbo). En caso de intentar eliminar un usuario que posee algún esquema, se mostrará el siguiente error:
Msg 15138, Level 16, State 1, Line 1
The database principal owns a schema in the database, and cannot be dropped.
Un error algo típico al empezar a trabajar con SQL Server 2005, es que al editar las propiedades de un usuario con SQL Server Management Studio con el fin de hacer a dicho usuario miembro de alguna fúnción de base de datos (database roles como db_owner, db_datareader, etc.), en vez de hacer al usuario miembro de la función de base de datos que deseamos, le asignemos como propietario del esquema con mismo nombre. El error es producido por la confusión que puede ocasionar el diálogo Database User (bueno... realmente, el no leer el contenido del diálogo, que a veces todos vamos con prisas, y claro ;-), como a continución se muestra:
Al tener este usuario un esquema en propiedad, ya no podremos eliminarlo, pues se produciría el error que antes comentamos, salvo que se transfiera la propiedad del esquema a otro usuario.
Es importante recordar que en una base de datos de SQL Server 2000, al migrar a SQL Server 2005 (mediante un RESTORE o mediante ATTACH), se creará un esquema para cada usuario existente, aunque dicho esquema no contenga ningún objeto.

Comentarios

Publicar un comentario

Entradas populares de este blog

¿En qué puerto TCP escucha SQL Server 2005? ¿Cómo cambiar o configurar el puerto TCP de escucha de una Instancia de SQL Server 2005?

Una buena práctica inmediatamente después de instalar SQL Server 2005 es cambiar el Puerto TCP de escucha, por múltiples motivos: Seguridad, Configuración de reglas de acceso de Firewall, Aplicaciones cliente que requieren un puerto TCP estático para SQL Server, etc. En este Artículo se explica cómo averiguar en qué puerto TCP escucha SQL Server 2005, cómo cambiar el puerto TCP de escucha de SQL Server 2005, etc. Resulta de gran interés ser capaz de responder a la pregunta  ¿En qué puerto TCP escucha SQL Server?  Por defecto, una  Instancia por Defecto de SQL Server 2005  queda configurada durante la instalación para escuchar en el  puerto TCP-1433 , sin embargo,  las Instancias con Nombre  quedan configuradas durante el proceso de instalación para escuchar en  puertos TCP dinámicos , por lo tanto, cada vez que se inicie la Instancia puede que escuche en un puerto diferente. Esta situación puede resultar problemática, por un lado desde el punto de vista de la seguridad (el hecho d
Publicar un comentario
Leer más

¿Qué es el nivel de aislamiento (Isolation Level) de una Transacción? ¿Qué niveles de aislamiento ofrece SQL Server?

Esta capítulo explica qué es el nivel de aislamiento (isolation level) de una transacción, el comportamiento de SQL Server en operaciones de lectura o de escritura, se detallan los diferentes niveles de aislamiento basados en bloqueos (READ UNCOMMITTED, READ COMMITTED, REPEATABLE READ, SERIALIZABLE) y los niveles de aislamiento basados en versionado de filas (READ COMMITTED SNAPSHOT, SNAPSHOT), se explican los males de la concurrencia (lecturas sucias, lecturas no repetibles, lecturas fantasma, y conflictos de actualización), como establecer el nivel de aislamiento deseado (SET TRANSACTION ISOLATION LEVEL y las opciones de base de datos READ_COMMITTED_SNAPSHOT y ALLOW_SNAPSHOT_ISOLATION), cómo conecer el tiempo máximo de bloqueo (@@LOCK_TIMEOUT) y como establecer el tiempo máximo de bloqueo (SET LOCK_TIMEOUT), etc. El nivel de aislamiento de una transacción (transaction isolation level)  define el grado en que se aísla una transacción de las modificaciones de recursos o datos rea
Publicar un comentario
Leer más

Aumentar y Reducir la TempDB en SQL Server?

Una buena práctica después de instalar SQL Server (y que interesa revisar periódicamente) es tener bien dimensionada la base de datos TEMPDB, es decir que el  tamaño inicial de TEMPDB  sea suficiente, y en consecuencia no sea necesario que TEMPDB crezca ni tampoco reducir TEMPDB (SHRINK). Esta artículo explica brevemente  para qué sirve TEMPDB , explica camo cambiar el tamaño inicial de TEMPDB (aumentar o reducir),  cómo reducir TEMPDB , cuántos ficheros son recomendables para TEMPDB, etc. ¿Para qué sirve TEMPDB?  La base de datos TEMPDB es un elemento de gran importancia en una Instancia de SQL Server, ya que  TEMPDB es la encargada de almacenar tanto los objetos temporales  (tablas temporales, procedimientos almacenados temporales, etc.),  como los resultados intermedios  que pueda necesitar crear el motor de base de datos, por ejemplo durante la ejecución de consultas que utilizan las cláusulas GROUP BY, ORDER BY, DISTINCT, etc. (es decir, las tablas temporales o WorkTables que
Publicar un comentario
Leer más