Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Untuk mengelola izin dalam database Anda dengan mudah, SQL Server menyediakan beberapa peran yang merupakan prinsip keamanan yang mengelompokkan prinsipal lain. Mereka seperti grup dalam sistem operasi Microsoft Windows. Peran tingkat database adalah seluruh database dalam cakupan izinnya.
Ada dua jenis peran tingkat database dalam SQL Server: peran database tetap yang telah ditentukan sebelumnya dalam database dan peran database fleksibel yang dapat Anda buat.
Peran database tetap ditentukan pada tingkat database dan ada di setiap database. Anggota peran database db_owner dapat mengelola keanggotaan peran database tetap. Ada juga beberapa peran database tetap tujuan khusus dalam database msdb.
Anda dapat menambahkan akun database dan peran SQL Server lainnya ke dalam peran tingkat database. Setiap anggota peran database tetap dapat menambahkan login lain ke peran yang sama.
Penting
Jangan tambahkan peran database fleksibel sebagai anggota peran tetap. Ini dapat mengaktifkan eskalasi hak istimewa yang tidak diinginkan.
Tabel berikut ini memperlihatkan peran tingkat database tetap dan kemampuannya. Peran ini ada di semua database.
| Nama peran tingkat database | Deskripsi |
|---|---|
| db_owner | Anggota peran database tetap db_owner dapat melakukan semua aktivitas konfigurasi dan pemeliharaan pada database, dan juga dapat menghilangkan database. |
| db_securityadmin | Anggota peran database tetap db_securityadmin dapat mengubah keanggotaan peran dan mengelola izin. Menambahkan prinsipal ke peran ini dapat memungkinkan eskalasi hak istimewa yang tidak diinginkan. |
| db_accessadmin | Anggota peran database tetap db_accessadmin dapat menambahkan atau menghapus akses ke database untuk login Windows, grup Windows, dan login SQL Server. |
| db_backupoperator | Anggota peran database tetap db_backupoperator dapat mencadangkan database. |
| db_ddladmin | Anggota peran database tetap db_ddladmin dapat menjalankan perintah Bahasa Definisi Data (DDL) apa pun dalam database. |
| db_datawriter | Anggota peran database tetap db_datawriter dapat menambahkan, menghapus, atau mengubah data di semua tabel pengguna. |
| db_datareader | Anggota peran database tetap db_datareader dapat membaca semua data dari semua tabel pengguna. |
| db_denydatawriter | Anggota peran database tetap db_denydatawriter tidak dapat menambahkan, mengubah, atau menghapus data apa pun dalam tabel pengguna dalam database. |
| db_denydatareader | Anggota peran database tetap db_denydatareader tidak dapat membaca data apa pun dalam tabel pengguna dalam database. |
Peran msdb
Database msdb berisi peran tujuan khusus yang diperlihatkan dalam tabel berikut ini.
| nama peran msdb | Deskripsi |
|---|---|
db_ssisadmindb_ssisoperator db_ssisltduser |
Anggota peran database ini dapat mengelola dan menggunakan SSIS. Instans SQL Server yang ditingkatkan dari versi yang lebih lama mungkin berisi versi peran lama yang diberi nama menggunakan Data Transformation Services (DTS) alih-alih SSIS. Untuk informasi selengkapnya, lihat Peran Layanan Integrasi (Layanan SSIS). |
dc_admindc_operator dc_proxy |
Anggota peran database ini dapat mengelola dan menggunakan pengumpul data. Untuk informasi selengkapnya, lihat Pengumpulan Data. |
| PolicyAdministratorRole | Anggota peran database db_ PolicyAdministratorRole dapat melakukan semua aktivitas konfigurasi dan pemeliharaan pada kebijakan dan kondisi Manajemen Berbasis Kebijakan. Untuk informasi selengkapnya, lihat Mengelola Server dengan Menggunakan Manajemen Berbasis Kebijakan. |
|
ServerGroupAdministratorRole ServerGroupReaderRole |
Anggota peran database ini dapat mengelola dan menggunakan grup server terdaftar. |
| dbm_monitor | Dibuat dalam msdb database saat database pertama terdaftar di Database Mirroring Monitor. Peran dbm_monitor tidak memiliki anggota sampai administrator sistem menetapkan pengguna ke peran tersebut. |
Penting
Anggota peran db_ssisadmin dan peran dc_admin mungkin dapat meningkatkan hak istimewa mereka menjadi sysadmin. Peningkatan hak istimewa ini dapat terjadi karena peran ini dapat memodifikasi paket Layanan Integrasi dan paket Layanan Integrasi dapat dijalankan dengan SQL Server menggunakan konteks keamanan sysadmin SQL Server Agent. Untuk menjaga dari peningkatan hak istimewa ini saat menjalankan rencana pemeliharaan, kumpulan pengumpulan data, dan paket Layanan Integrasi lainnya, konfigurasikan SQL Server Agent pekerjaan yang menjalankan paket untuk menggunakan akun proksi dengan hak istimewa terbatas atau hanya menambahkan anggota sysadmin ke peran db_ssisadmin dan dc_admin.
Bekerja dengan Peran Database-Level
Tabel berikut menjelaskan perintah, tampilan, dan fungsi untuk bekerja dengan peran tingkat database.
| Fitur | Jenis | Deskripsi |
|---|---|---|
| sp_helpdbfixedrole (Transact-SQL) | Metadata | Mengembalikan daftar peran database tetap. |
| sp_dbfixedrolepermission (Transact-SQL) | Metadata | Menampilkan izin peran database tetap. |
| sp_helprole (Transact-SQL) | Metadata | Mengembalikan informasi tentang peran dalam database saat ini. |
| sp_helprolemember (Transact-SQL) | Metadata | Mengembalikan informasi tentang anggota peran dalam database saat ini. |
| sys.database_role_members (Transact-SQL) | Metadata | Mengembalikan satu baris untuk setiap anggota setiap peran database. |
| IS_MEMBER (Transact-SQL) | Metadata | Menunjukkan apakah pengguna saat ini adalah anggota grup Microsoft Windows yang ditentukan atau peran database Microsoft SQL Server. |
| CREATE ROLE (Transact-SQL) | Perintah | Membuat peran database baru dalam database saat ini. |
| ALTER ROLE (Transact-SQL) | Perintah | Mengubah nama peran database. |
| DROP ROLE (Transact-SQL) | Perintah | Menghapus peran dari database. |
| sp_addrole (Transact-SQL) | Perintah | Membuat peran database baru dalam database saat ini. |
| sp_droprole (Transact-SQL) | Perintah | Menghapus peran database dari database saat ini. |
| sp_addrolemember (T-SQL) | Perintah | Menambahkan pengguna database, peran database, login Windows, atau grup Windows ke peran database dalam database saat ini. |
| sp_droprolemember (T-SQL) | Perintah | Menghapus akun keamanan dari peran SQL Server dalam database saat ini. |
Peran Database publik
Setiap pengguna database termasuk dalam peran database publik . Ketika pengguna belum diberikan atau ditolak izin tertentu pada objek yang dapat diamankan, pengguna mewarisi izin yang diberikan kepada publik pada objek tersebut.
Konten terkait
Tampilan Katalog Keamanan (Transact-SQL)