Entender correctamente los conceptos de Propietario (object owner) y Esquema (schema), requiere también de comprender el concepto de Resolución de Nombres en SQL Server. Todo objeto de base de datos tiene un nombre, que permite identificarlo de forma única en la base de datos en la que existe. Así, podemos tener una tabla llamada TBL_DIVISAS. En la mayoría de los casos se crean los objetos con propietario o esquema dbo, por lo que sería posible acceder a ésta tabla denominándola TBL_DIVISAS ó dbo.TBL_DIVISAS. Pero este comportamiento, ¿Por qué es así?.
Hasta SQL Server 2000, el nombre completo de un objeto toma la forma de servidor_instancia.base_de_datos.propietario.objeto, mientras que a partir de SQL Server 2005 el nombre completo de un objeto pasa a ser servidor_instancia.base_de_datos.esquema.objeto. Como se puede apreciar, se cambia al Propietario por el Esquema. Pero, ¿qué importancia tiene?.
Hasta SQL Server 2000 no existía el concepto de Esquema, de tal modo que un usuario al crear un objeto, si no lo calificaba de forma explícita, se crea con el nombre del usuario creador como propietario (existe un excepción que luego se comenta, y ahora se omite por motivos didácticos). Por ejemplo, si el usuario juan crea una tabla con nombre TBL_DIVISAS sin calificar su nombre completo en la sentencia CREATE TABLE (o al menos sin calificar el propietario), la tabla se denominará juan.TBL_DIVISAS. Esto tiene varias implicaciones:
- Juan podrá acceder a la tabla sin calificar, por ejemplo con SELECT * FROM TBL_DIVISAS.
- El resto de usuarios necesitarán calificar correctamente la tabla para acceder a ella, por ejemplo con SELECT * FROM juan.TBL_DIVISAS. En caso contrario obtendrán el siguiente error aún cuando existe el objeto al que desean acceder:
Server: Msg 208, Level 16, State 1, Line 1
Invalid object name 'TBL_DIVISAS'.
Aquí, ya tenemos un problema potencial de resolución de nombres. Hay que tener en cuenta, que un usuario pepe, puede tener otra tabla TBL_DIVISAS. El nombre sigue siendo único, es decir, un objeto será juan.TBL_DIVISAS y el otro será pepe.TBL_DIVISAS. Es decir, distintos usuarios (propietarios) pueden tener objetos con el mismo nombre en la misma base de datos. Esto no es un gran problema, pero si no lo tenemos presente, en alguna ocasión nos podremos dar algún pequeño susto, por esta pequeña confusión. Sin embargo, ésto no acaba aquí, dado que si el usuario juan empieza a crear objetos y el resto de usuarios a utilizarlos, si en un futuro necesitamos eliminar al usuario juan, necesitaremos eliminar todos sus objetos. Es decir, para eliminar un usuario hay que eliminar todos sus objetos, y las consultas que acceden a dichos objetos calificándolos correctamente dejarán de funcionar (salvo que las modifiquemos, claro ;-). Es cierto que podemos evitar eliminar los objetos, si cambiamos su propietario. Es decir, podemos utilizar el procedimiento almacenado del sistema sp_changeobjectowner para cambiar el propietario de los objetos, y así poder eliminar al usuario, pero seguimos con un potencial problema de resolución de nombres.
En ocasiones los objetos se crean por el usuario correspondiente al inicio de sesión propietario de la base de datos (cuyo usuario de base de datos es dbo) o por un inicio de sesión miembro de sysadmin (cuyo usuario de base de datos es también dbo), lo cual tiene sus propias implicaciones. Cuando el propietario de la base de datos o un miembro de sysadmin crea un objeto sin calificar de forma explítica en la sentencia CREATE, la propiedad de dicho objeto se asigna a dbo. Este detalle es vital, dada la forma en que funciona la resolución de nombres hasta SQL Server 2000, pues al intentar acceder a objetos no calificados correctamente, primero se comprueba si existen con propietario el usuario actual, y en caso de que no exista, se comprueba si el usuario existe con propietario dbo. De este modo, al crear objetos con propietario dbo, todos los usuarios podrán acceder a ellos calificándolos correctamente o sin calificarlos correctamente, y habremos evitado nuestro problema, con el precio de dicha limitación (utilizar como propietario a dbo). Es ésta la forma en la que se trabaja en la mayoría de los casos: todos los objetos como propiedad de dbo, al margen de quién sea el creador.
Una alternativa casera, no muy recomendada, pero interesante desde un punto de vista didáctico, es la posibilidad de poder crear funciones de base de datos (database roles), que son como grupo de usuarios, y utilizar funciones de base de datos (database roles) como propietarios de los objetos. Personalmente, me quedo con la opción de utilizar siempre dbo como propietario ;-)
Ahora vamos a hablar de cómo es a partir de SQL Server 2005. Los esquemas (schemas) son objetos de base de datos que facilitan la resolución de nombres, es decir, los esquemas facilitan un espacio de nombres (namespace). Con esto, ahora podemos eliminar un usuario sin que impacte en las aplicaciones y consultas existentes, puesto que la eliminación de un usuario (una cuestión de seguridad) no implica la eliminación del esquema (una cuestión de resolución de nombres). Es evidente, que todo objeto de base de datos (ej: tabla, vista, procedimiento almacenado, etc.) tiene asociado uno y sólo un esquema. Además, todo usuario tiene asignado un esquema por defecto (default schema), en su defecto, el esquema dbo (si... es cierto... y tenemos que ser capaces de diferenciar entre esquema y usuario claramente, porque nos vamos a encontrar muchas bases de datos que tiene esquemas con los mimos nombres que los usuarios, por ejemplo, como resultado de una migración de SQL Server 2000 a SQL Server 2005.... y si no estamos atentos, podemos confundirnos, cual humano que somos ;-). De hecho, múltiples usuarios pueden tener asignado el mismo esquema por defecto, si nos resulta de utilidad. A continuación, mostramos un ejemplo de Transact-SQL para asignar un esquema por defecto a un usuario existente:
ALTER USER juan
WITH DEFAULT_SCHEMA = facturacion |
También podemos cambiar el esquema bajo el que está un objeto (utilizando ALTER SCHEMA), con el fin de alterar la correspondiente resolución de nombres. A continuación se muestra un ejemplo en el que se transfiere el objeto TBL_DIVISAS desde el esquema juan al esquema facturacion:
ALTER SCHEMA facturacion
TRANSFER juan.TBL_DIVISAS |
Además, los esquemas también nos permitirán organizar nuestros objetos (ej: crear múltiples esquemas para distribuir los objetos de la base de datos entre los mismos, como si fueran carpetas), y también facilitan la configuración de seguridad (GRANT, DENY, REVOKE) al poder conceder permisos sobre todos los objetos contenidos en un esquema mediante una única instrucción (ej: GRANT SELECT ON SCHEMA). A continuación se muestra un ejemplo para conceder permiso de SELECT sobre todos los objetos de un esquema determinado (facturacion) a un usuario particular (juan):
GRANT SELECT
ON SCHEMA :: facturacion
TO juan
WITH GRANT OPTION |
En cualquier caso, los esquemas, como objetos de base de datos que son, tienen a su vez un propietario o creador. Es decir, un usuario con suficientes permisos puede crear un esquema, siendo él el propietario. Después podrá crear múltiples objetos y asignarlos a dicho esquema, con el fin de utilizar el espacio de nombres que desee. Así, es posible cambiar el propietario de un esquema utilizando la sentencia ALTER AUTHORIZATION ON SCHEMA, como se muestra en el siguiente ejemplo:
ALTER AUTHORIZATION
ON SCHEMA::[facturacion]
TO [juan] |
Esto es vital, ya que igual que en SQL Server 2000 no podemos eliminar un usuario si es propietario de algún objeto, en SQL Server 2005 no podemos eliminar un usuario si posee algún esquema (aunque sea lo transferimos a dbo). En caso de intentar eliminar un usuario que posee algún esquema, se mostrará el siguiente error:
Msg 15138, Level 16, State 1, Line 1
The database principal owns a schema in the database, and cannot be dropped. |
Un error algo típico al empezar a trabajar con SQL Server 2005, es que al editar las propiedades de un usuario con SQL Server Management Studio con el fin de hacer a dicho usuario miembro de alguna fúnción de base de datos (database roles como db_owner, db_datareader, etc.), en vez de hacer al usuario miembro de la función de base de datos que deseamos, le asignemos como propietario del esquema con mismo nombre. El error es producido por la confusión que puede ocasionar el diálogo Database User (bueno... realmente, el no leer el contenido del diálogo, que a veces todos vamos con prisas, y claro ;-), como a continución se muestra:
Al tener este usuario un esquema en propiedad, ya no podremos eliminarlo, pues se produciría el error que antes comentamos, salvo que se transfiera la propiedad del esquema a otro usuario.
Es importante recordar que en una base de datos de SQL Server 2000, al migrar a SQL Server 2005 (mediante un RESTORE o mediante ATTACH), se creará un esquema para cada usuario existente, aunque dicho esquema no contenga ningún objeto.
