Roles de nivel de base de datos
Para administrar con facilidad los permisos en las bases de datos, SQL Server proporciona varios roles, que son las entidades de seguridad que agrupan a otras entidades de seguridad. Son como los grupos del sistema operativo Microsoft Windows. Los roles de nivel de base de datos se aplican a toda la base de datos en lo que respecta a su ámbito de permisos.
Existen dos tipos de roles de nivel de base de datos en SQL Server: los roles fijos de base de datos, que están predefinidos en la base de datos, y los roles flexibles de base de datos, que pueden crearse.
Los roles fijos de base de datos se definen en el nivel de base de datos y existen en cada una de ellas. Los miembros de los roles de base de datos db_owner y db_securityadmin pueden administrar los miembros de los roles fijos de base de datos. Sin embargo, sólo los miembros del rol de base de datos db_owner pueden agregar miembros al rol fijo de base de datos db_owner. Hay también algunos roles fijos de base de datos con fines especiales en la base de datos msdb.
Puede agregar cualquier cuenta de la base de datos y otros roles de SQL Server a los roles de nivel de base de datos. Cada miembro de un rol fijo de base de datos puede agregar otros inicios de sesión a ese mismo rol.
.gif "Nota importante") Importante |
|---|
No agregue roles flexibles de la base de datos como miembros de roles fijos. Esto podría habilitar un aumento de privilegios no deseado. |
En la tabla siguiente se muestran los roles fijos de nivel de base de datos y sus capacidades. Estos roles existen en todas las bases de datos.
Nombre de rol de nivel de base de datos |
Descripción |
|---|---|
db_owner |
Los miembros del rol fijo de base de datos db_owner pueden realizar todas las actividades de configuración y mantenimiento en la base de datos y también pueden quitar la base de datos. |
db_securityadmin |
Los miembros del rol fijo de base de datos db_securityadmin pueden modificar la pertenencia a roles y administrar permisos. Si se agregan entidades de seguridad a este rol, podría habilitarse un aumento de privilegios no deseado. |
db_accessadmin |
Los miembros del rol fijo de base de datos db_accessadmin pueden agregar o quitar el acceso a la base de datos para inicios de sesión de Windows, grupos de Windows e inicios de sesión de SQL Server. |
db_backupoperator |
Los miembros del rol fijo de base de datos db_backupoperator pueden crear copias de seguridad de la base de datos. |
db_ddladmin |
Los miembros del rol fijo de base de datos db_ddladmin pueden ejecutar cualquier comando del lenguaje de definición de datos (DDL) en una base de datos. |
db_datawriter |
Los miembros del rol fijo de base de datos db_datawriter pueden agregar, eliminar o cambiar datos en todas las tablas de usuario. |
db_datareader |
Los miembros del rol fijo de base de datos db_datareader pueden leer todos los datos de todas las tablas de usuario. |
db_denydatawriter |
Los miembros del rol fijo de base de datos db_denydatawriter no pueden agregar, modificar ni eliminar datos de tablas de usuario de una base de datos. |
db_denydatareader |
Los miembros del rol fijo de base de datos db_denydatareader no pueden leer datos de las tablas de usuario dentro de una base de datos. |
Para obtener información específica sobre los permisos de los roles fijos de nivel de base de datos, vea Permisos de los roles fijos de base de datos (motor de base de datos).
Roles de msdb
La base de datos msdb contiene los roles con fines especiales que se muestran en la tabla siguiente.
Nombre de rol de msdb |
Descripción |
|---|---|
db_ssisadmin db_ssisoperator db_ssisltduser |
Los miembros de estos roles de base de datos pueden administrar y usar SSIS. Las instancias de SQL Server que se actualizan desde una versión anterior podrían contener una versión anterior del rol cuya denominación se realizaba utilizando Servicios de transformación de datos (DTS) en lugar de SSIS. Para obtener más información, vea Usar roles de Integration Services. |
dc_admin dc_operator dc_proxy |
Los miembros de estos roles de base de datos pueden administrar y usar el recopilador de datos. Para obtener más información, vea Seguridad del recolección de datos. |
PolicyAdministratorRole |
Los miembros del rol de base de datos db_PolicyAdministratorRole pueden realizar todas las actividades de mantenimiento y configuración en las condiciones y directivas de Administración basada en directiva. Para obtener más información, vea Administrar servidores mediante administración basada en directivas. |
ServerGroupAdministratorRole ServerGroupReaderRole |
Los miembros de estos roles de base de datos pueden administrar y usar grupos de servidores registrados. Para obtener más información, vea Crear grupos de servidores. |
dbm_monitor |
Se crea en la base de datos msdb cuando se registra la primera base de datos en el Monitor de creación de reflejo de la base de datos. El rol dbm_monitor no tiene miembros hasta que un administrador del sistema asigna usuarios al rol. |
| Importante |
|---|
Los miembros del rol db_ssisadmin y del rol dc_admin pueden elevar sus privilegios a sysadmin. Esta elevación de privilegios se puede producir porque estos roles pueden modificar los paquetes de Integration Services y los paquetes de Integration Services los puede ejecutar SQL Server utilizando el contexto de seguridad de sysadmin del Agente SQL Server. Para protegerse contra esta elevación de privilegio al ejecutar planes de mantenimiento, conjuntos de colección de datos y otros paquetes de Integration Services, configure los trabajos del Agente SQL Server que ejecutan paquetes para usar una cuenta de proxy con privilegios limitados o agregar solo los miembros de sysadmin a los roles db_ssisadmin y dc_admin. |
Trabajar con roles de nivel de base de datos
En la tabla siguiente se explican los comandos, las vistas y las funciones que se usan para trabajar con los roles de nivel de base de datos.
Característica |
Tipo |
Descripción |
|---|---|---|
Metadatos |
Devuelve la lista de los roles fijos de base de datos. |
|
Metadatos |
Muestra los permisos de un rol fijo de base de datos. |
|
Metadatos |
Devuelve información acerca de los roles de la base de datos actual. |
|
Metadatos |
Devuelve información acerca de los miembros de un rol de la base de datos actual. |
|
Metadatos |
Devuelve una fila por cada miembro de cada rol de base de datos. |
|
Metadatos |
Indica si el usuario actual es miembro del grupo de Microsoft Windows o del rol de base de datos de SQL Server especificados. |
|
Comando |
Crea un nuevo rol de base de datos en la base de datos actual. |
|
Comando |
Cambia el nombre de un rol de base de datos. |
|
Comando |
Quita un rol de la base de datos. |
|
Comando |
Crea un nuevo rol de base de datos en la base de datos actual. |
|
Comando |
Quita un rol de base de datos de la base de datos actual. |
|
Comando |
Agrega un usuario de base de datos, un rol de base de datos, un inicio de sesión de Windows o un grupo de Windows a un rol de base de datos en la base de datos actual. |
|
Comando |
Quita una cuenta de seguridad de un rol de SQL Server de la base de datos actual. |
Rol de base de datos public
Todos los usuarios de una base de datos pertenecen al rol de base de datos publics. Cuando a un usuario no se le han concedido ni denegado permisos específicos para un objeto protegible, el usuario hereda los permisos concedidos a la función pública para ese objeto.