Database-Level Roles
Aby łatwo zarządzać uprawnieniami w bazach danych, SQL Server zawiera kilka role będące podmiotów zabezpieczeń, które grupują inne podmioty.Są one podobne grupy in the Microsoft System operacyjny Windows. Role bazy danych poziom są całej bazy danych w swoim zakresie uprawnień.
Istnieją dwa typy ról poziom bazy danych SQL Server: ról stałej bazy danych wstępnie zdefiniowanych w bazie danych i ról elastycznych bazy danych, którą można utworzyć.
Ról stałej bazy danych są zdefiniowane poziom bazy danych i istnieje w każdej bazy danych.Członkowie db_owner and db_securityadmin role bazy danych mogą zarządzać członkostwem stała rola bazy danych.Jednakże tylko członkowie db_owner do rola bazy danych można dodać członkówdb_owner stała rola bazy danych.W bazie danych msdb istnieją także pewne ról stałej bazy danych specjalnych.
Można dodać dowolnego konta bazy danych i inne SQL Server role do ról poziom bazy danych. Każdy element członkowski stała rola bazy danych można dodać inne logowania do tej samej roli.
.gif "Important note") Important Note: |
|---|
Nie należy dodawać ról elastycznych bazy danych jako członkowie ról stałej.Może to umożliwić eskalacją uprawnień niezamierzone. |
W poniższej tabela przedstawiono stałe role bazy danych poziom i ich możliwości.Role te znajdują się w wszystkich baz danych.
Nazwa roli poziom bazy danych |
Description |
|---|---|
Duński (Dania) |
Członkowie db_owner stała rola bazy danych wszystkich konfiguracja i konserwacji działań można wykonać na bazie danych, a także można usunąć bazy danych. |
Divehi_90_ |
Członkowie db_securityadmin stała rola bazy danych można zmodyfikować członkostwo roli i zarządzać uprawnieniami.Dodawanie głównych do tej roli może włączyć eskalacją uprawnień niezamierzone. |
Malediwski (Malediwy) |
Członkowie db_accessadmin stała rola bazy danych można dodać lub usunąć dostęp do bazy danych do identyfikatorów logowania systemu Windows, grup systemu Windows i SQL Server identyfikatory logowania. |
db_backupoperator |
Członkowie db_backupoperator stała rola bazy danych może wykonywać kopie zapasowe bazy danych. |
Holenderski (Holandia) |
Członkowie db_ddladmin stała rola bazy danych można uruchomić dowolne polecenie definicja danych Language (DDL) w bazie danych. |
db_datawriter |
Członkowie db_datawriter stała rola bazy danych można dodawać, usuwać lub zmieniać dane we wszystkich tabelach użytkownika. |
db_datareader |
Członkowie db_datareader stała rola bazy danych może odczytywać wszystkie dane ze wszystkich tabel użytkownika. |
db_denydatawriter |
Członkowie db_denydatawriter stała rola bazy danych nie można dodać, zmodyfikować lub usunąć wszystkie dane w tabelach użytkownika w bazie danych. |
db_denydatareader |
Członkowie db_denydatareader ustalone rola bazy danych nie można odczytać żadnych danych w tabelach użytkownika w bazie danych. |
Aby uzyskać informacje o uprawnienia ról stałej bazy danych poziom zobacz Permissions of Fixed Database Roles (Database Engine).
msdb role
Baza danych msdb zawiera role specjalnych, które są pokazane w poniższej tabela.
Nazwa roli msdb |
Description |
|---|---|
db_ssisadmin db_ssisoperator db_ssisltduser |
Członkowie tych ról bazy danych mogą administrować i stosować SSIS. Wystąpienia SQL Server uaktualnieniu z wcześniejszej wersja może zawierać rolę, która była o nazwie Data transformacja Services (DTS), zamiast korzystania ze starszej wersja SSIS. Aby uzyskać więcej informacji zobaczUsing Integration Services Roles. |
dc_admin dc_operator dc_proxy |
Członkowie tych ról bazy danych mogą administrować i stosować modułów zbierających dane.Aby uzyskać więcej informacji zobaczData Collector Security. |
PolicyAdministratorRole |
Członkowie db_ PolicyAdministratorRole rola bazy danych może wykonywać wszystkich konfiguracja i konserwacji działań na zasady oparte na zasadach zarządzania i warunki.Aby uzyskać więcej informacji zobaczAdministering Servers by Using Policy-Based Management. |
ServerGroupAdministratorRole ServerGroupReaderRole |
Członkowie tych ról bazy danych można administrować i używać serwera zarejestrowanych grup.Aby uzyskać więcej informacji zobaczCreating Server Groups. |
| Important Note: |
|---|
Członkowie roli db_ssisadmin i roli dc_admin może mieć możliwość podniesienia swoich uprawnień do sysadmin.To podniesienie poziomu uprawnień może występować, ponieważ role te można modyfikować. Integration Services pakiety i Integration Services pakiety mogą być wykonywane przez SQL Server za pomocą kontekstu zabezpieczeń sysadmin SQL Server Agent. Aby zabezpieczyć się przed tym podniesienie poziomu uprawnień podczas uruchamiania planów konserwacji, zestawy zbierania danych i inne Integration Services pakiety, konfigurowanie SQL Server Zadania agenta uruchamianych pakiety z serwerem proxy za pomocą konta z ograniczonymi uprawnieniami lub tylko dodawanie członków sysadmin do ról db_ssisadmin i dc_admin. |
Praca z ról poziom serwera
W poniższej tabela opisano polecenia, widoki i funkcje do pracy z ról poziom serwera.
Funkcja |
Typ |
Description |
|---|---|---|
Metadane |
Chinese_PRC_90_ Chinese_PRC_ |
|
Metadane |
Wyświetla uprawnienia stała rola bazy danych. |
|
Metadane |
W tym trybie zautomatyzowane uniknąć naruszenia zasad za pomocą wyzwalaczy DDL. |
|
Metadane |
Zwraca informacje o członków roli w bieżącej bazie danych. |
|
Metadane |
Zwraca jeden wiersz dla każdego element członkowski członkowski każdej rola bazy danych. |
|
Metadane |
Wskazuje, czy bieżący użytkownik jest członkiem określonej grupy systemu Microsoft Windows lub Microsoft SQL Server rola bazy danych. |
|
Polecenie |
is_name_condition |
|
Polecenie |
Zmienia nazwę rola bazy danych. |
|
Polecenie |
Powoduje usunięcie roli z bazy danych. |
|
Polecenie |
is_name_condition |
|
Polecenie |
Usuwa rolę bazy danych z bieżącej bazy danych. |
|
Polecenie |
smallint |
|
Polecenie |
Konto zabezpieczeń powoduje usunięcie roli serwera SQL w bieżącej bazie danych. |
publiczne rola bazy danych
Każdy użytkownik bazy danych należy do publiczne rola bazy danych.Użytkownik nie zostało przyznane lub odmówić określonych uprawnień dla obiektu zabezpieczany, użytkownik odziedziczy uprawnień publiczne dla tego obiektu.