SQL Server: So vermeiden Sie Sysadmin-Rechte, geben jedoch angemessene Rechte

9

Ich habe einen Kollegen, der Zugriff auf eine SQL Server 2008-Instanz erhalten möchte. Ich muss ihm Rechte an dieser Instanz geben. Er sollte das Recht haben, z

  • Hinzufügen und Ändern von Serveranmeldungen
  • Hinzufügen und Ändern von Wartungsplänen (z. B. Erstellen von Sicherungen aus den Datenbanken)
  • Planen Sie Agent-Jobs

Ich möchte ihm keine Systemadministratorrechte geben. Welche Rechte sollten gegeben werden?

sql-server security jrara
quelle

Antworten:

10

Für Serveranmeldungen können Sie "securityadmin" gewähren . Der "neuere" Weg ist zu laufen

GRANT ALTER ANY LOGIN TO AColleague

Bearbeiten: Mit Securityadmin kann sich jemand auf sysadmin booten. Nicht gut. Ich weiß nicht, wie ich das auf Serverebene umgehen soll

Informationen zu Jobs finden Sie unter "Feste Datenbankrollen des SQL Server-Agenten".

Bei Wartungsplänen sieht es nur nach "sysadmin" aus

gbn
quelle
Vielen Dank, in BOL heißt es: msdn.microsoft.com/en-us/library/ms188659.aspx?ppud=4, dass securityadmin als sysadmin-Serverrolle behandelt werden sollte. Gibt es eine Möglichkeit, die Sicherheitsadministratorrechte für Anmeldungen einzuschränken? Oder wird das "GRANT ALTER ANY LOGIN to AColleagu" das tun?
Jrara
@ jrara: securityadmin ist genug oder die GRANT
gbn
2
Es sollte als sysadmin behandelt werden, da der Benutzer durch die Erteilung von Sicherheitsadministratorrechten selbst Sysadmin-Rollenberechtigungen erteilen kann.
@jrara: In diesem Fall können Sie securityadmin nicht verwenden. In den Rollen db% sind Principals und Berechtigungen getrennt. Es ist üblich, keine Serverrollen zu gewähren, außer vielleicht Bulkadmin
gbn
5

Damit Sie sich auf etwas freuen können, wird dies in SQL Server Denali noch flexibler. Anstatt einzelne Rechte einzeln zu erteilen, können Sie benutzerdefinierte Serverrollen definieren , der Rolle alle diese Berechtigungen zuweisen und der Rolle dann Mitglieder hinzufügen. Einige Leute haben darüber gebloggt:

http://www.sqlsoldier.com/wp/sqlserver/customserverrolesindenali

http://www.straightpathsql.com/archives/2010/11/create-your-own-sql-server-server-roles/

Aaron Bertrand
quelle