SQL Server: jak uniknąć praw administratora systemu, ale dać odpowiednie uprawnienia

9

Mam kolegę, który chce uzyskać dostęp do jednego wystąpienia programu SQL Server 2008. Będę musiał dać mu prawa do tej instancji. Powinien mieć do tego prawo np

  • Dodaj i zmodyfikuj dane logowania do serwera
  • Dodawaj i modyfikuj plany konserwacji (np. Twórz kopie zapasowe z baz danych)
  • Zaplanuj zadania agenta

Nie chcę mu dawać praw administratora, jakie prawa należy mu dać?

sql-server security jrara
źródło

Odpowiedzi:

10

W przypadku logowania do serwera możesz przyznać „securityadmin” . „Nowszym” sposobem jest uruchomienie

GRANT ALTER ANY LOGIN TO AColleague

Edycja: Securityadmin pozwala komuś bootować się do sysadmin. Niedobrze. Nie wiem, jak to obejść na poziomie serwera

Aby zobaczyć zadania, spójrz na „SQL Server Agent Naprawiono role bazy danych”

W przypadku planów konserwacji wygląda to jak „sysadmin”

gbn
źródło
Dzięki, w BOL jest napisane: msdn.microsoft.com/en-us/library/ms188659.aspx?ppud=4, że securityadmin powinien być traktowany jak rola serwera sysadmin. Czy istnieje sposób na zawężenie uprawnień administratora do logowania? A może zrobi to „UDZIELENIE ZMIANY DOWOLNEGO LOGOWANIA do AColleagu”?
jrara,
@jrara: securityadmin wystarczy lub GRANT
gbn
2
Należy to traktować jako sysadmin, ponieważ nadanie uprawnień securityadmin pozwala użytkownikowi na przyznanie sobie uprawnień do roli sysadmin.
@jrara: w takim przypadku nie możesz użyć securityadmin. W db% role, podmioty i uprawnienia są rozdzielone. Zwykle nie przyznaje się żadnych ról serwera, z wyjątkiem może bulkadmin
gbn
5

W SQL Server Denali będzie to coś jeszcze bardziej elastycznego. Zamiast przyznawać indywidualne prawa jeden po drugim, będziesz mógł zdefiniować niestandardowe role serwera , przypisać wszystkie te uprawnienia do roli, a następnie dodać członków do roli. Niektórzy blogowali na ten temat:

http://www.sqlsoldier.com/wp/sqlserver/customserverrolesindenali

http://www.straightpathsql.com/archives/2010/11/create-your-own-sql-server-server-roles/

Aaron Bertrand
źródło