Peran tingkat server

Berlaku untuk: SQL Server Azure SQL Managed InstanceAnalytics Platform System (PDW)

SQL Server menyediakan peran tingkat server untuk membantu Anda mengelola izin di server. Peran ini adalah prinsip keamanan yang mengelompokkan prinsipal lain. Peran tingkat server berada di seluruh server dalam cakupan izinnya. (Peran seperti grup dalam sistem operasi Windows.)

SQL Server 2019 (15.x) dan versi sebelumnya menyediakan sembilan peran server tetap. Izin yang diberikan ke peran server tetap (kecuali publik) tidak dapat diubah. Dimulai dengan SQL Server 2012 (11.x), Anda dapat membuat peran server yang ditentukan pengguna dan menambahkan izin tingkat server ke peran server yang ditentukan pengguna. SQL Server 2022 (16.x) hadir dengan 10 peran server tambahan yang dirancang khusus dengan Prinsip Hak Istimewa Paling Sedikit , yang memiliki awalan ##MS_ dan akhiran ## untuk membedakannya dari prinsipal reguler yang dibuat pengguna dan peran server kustom lainnya. Peran baru tersebut berisi hak istimewa yang berlaku pada cakupan server tetapi juga dapat mewarisi ke database individual (kecuali untuk ##MS_LoginManager## peran server.)

Seperti SQL Server di tempat, izin server diatur secara hierarkis. Izin yang dipegang oleh peran tingkat server ini dapat menyebar ke izin database. Agar izin berguna secara efektif di tingkat database, login harus menjadi anggota peran ##MS_DatabaseConnector## tingkat server (dimulai dengan SQL Server 2022 (16.x)), yang memberikan CONNECT izin ke semua database, atau memiliki akun pengguna dalam database individual. Ini juga berlaku untuk master database.

Pertimbangkan contoh berikut: Peran ##MS_ServerStateReader## tingkat server memegang izin VIEW SERVER STATE. Login yang merupakan anggota peran ini memiliki akun pengguna di master database dan WideWorldImporters . Pengguna ini juga memiliki izin dalam dua database tersebut VIEW DATABASE STATE berdasarkan pewarisan.

Anda dapat menambahkan prinsipal tingkat server (login SQL Server, akun Windows, dan grup Windows) ke dalam peran tingkat server. Setiap anggota peran database tetap dapat menambahkan pengguna lain ke peran yang sama. Anggota peran server yang ditentukan pengguna tidak dapat menambahkan prinsipal server lain ke peran tersebut.

Memperbaiki peran tingkat server

Catatan

Peran tingkat server ini diperkenalkan sebelum SQL Server 2022 (16.x), dan tidak tersedia di Azure SQL Database atau Azure Synapse Analytics. Ada peran server Azure SQL Database khusus untuk manajemen izin yang setara dengan peran tingkat server yang diperkenalkan di SQL Server 2022 (16.x). Untuk informasi selengkapnya tentang SQL Database, lihat Mengontrol dan memberikan akses database..

Tabel berikut menunjukkan peran tingkat server tetap dan kemampuannya.

Peran tingkat server tetap	Deskripsi
adminsis	Anggota peran server tetap sysadmin dapat melakukan aktivitas apa pun di server. Penting: izin tidak dapat ditolak untuk anggota peran ini.
serveradmin	Anggota peran server tetap serveradmin dapat mengubah opsi konfigurasi di seluruh server dan mematikan server.
securityadmin	Anggota peran server tetap securityadmin mengelola login dan propertinya. Mereka dapat GRANT, DENY, dan REVOKE izin tingkat server. securityadmin juga GRANTdapat , DENY, dan REVOKE izin tingkat database jika mereka memiliki akses ke database. Selain itu, securityadmin dapat mengatur ulang kata sandi untuk login SQL Server. PENTING: Kemampuan untuk memberikan akses ke Mesin Database dan untuk mengonfigurasi izin pengguna memungkinkan admin keamanan untuk menetapkan sebagian besar izin server. Peran securityadmin harus diperlakukan setara dengan peran sysadmin . Sebagai alternatif, dimulai dengan SQL Server 2022 (16.x), pertimbangkan untuk menggunakan peran server tetap baru ##MS_LoginManager##.
processadmin	Anggota peran server tetap processadmin dapat mengakhiri proses yang berjalan dalam instans SQL Server.
setupadmin	Anggota peran server tetap setupadmin dapat menambahkan dan menghapus server tertaut dengan menggunakan pernyataan Transact-SQL. (keanggotaan sysadmin diperlukan saat menggunakan Management Studio.)
bulkadmin	Anggota peran server tetap bulkadmin dapat menjalankan BULK INSERT pernyataan. Anggota peran ini berpotensi meningkatkan hak istimewa mereka dalam kondisi tertentu. Terapkan prinsip hak istimewa paling sedikit saat menetapkan peran ini dan memantau semua aktivitas yang dilakukan oleh anggotanya. Peran atau ADMINISTER BULK OPERATIONS izin bulkadmin tidak didukung untuk SQL Server di Linux. Operasi massal (BULK INSERT pernyataan) tidak didukung untuk masuk berdasarkan autentikasi Microsoft Entra, baik di Linux atau Windows. Dalam skenario ini, hanya anggota peran sysadmin yang dapat melakukan penyisipan massal untuk SQL Server.
diskadmin	Peran server tetap diskadmin digunakan untuk mengelola file disk.
dbcreator	Anggota peran server tetap dbcreator dapat membuat, mengubah, menghilangkan, dan memulihkan database apa pun.
public	Setiap login SQL Server milik peran server publik . Ketika perwakilan server tidak diberikan atau ditolak izin tertentu pada objek yang dapat diamankan, pengguna mewarisi izin yang diberikan kepada publik pada objek tersebut. Hanya tetapkan izin publik pada objek apa pun saat Anda ingin objek tersedia untuk semua pengguna. Anda tidak dapat mengubah keanggotaan di publik. Catatan:publik diimplementasikan secara berbeda dari peran lain, dan izin dapat diberikan, ditolak, atau dicabut dari peran server tetap publik .

Penting

Sebagian besar izin yang disediakan oleh peran server berikut tidak berlaku untuk Azure Synapse Analytics - processadmin, serveradmin, setupadmin, dan diskadmin.

Memperbaiki peran tingkat server yang diperkenalkan di SQL Server 2022

Tabel berikut ini memperlihatkan peran tingkat server tetap yang diperkenalkan di SQL Server 2022 (16.x), dan kemampuannya.

Catatan

Izin tingkat server ini tidak tersedia untuk Azure SQL Managed Instance atau Azure Synapse Analytics. ##MS_PerformanceDefinitionReader##, ##MS_ServerPerformanceStateReader##, dan ##MS_ServerSecurityStateReader## diperkenalkan di SQL Server 2022 (16.x), dan tidak tersedia di Azure SQL Database.

Peran tingkat server tetap	Deskripsi
##MS_DatabaseConnector##	Anggota dari peran server tetap dapat terhubung ke database mana pun tanpa memerlukan akun pengguna dalam database. Untuk menolak CONNECT izin ke database tertentu, pengguna dapat membuat akun pengguna yang cocok untuk masuk ini dalam database lalu DENYCONNECT izin ke pengguna database. Izin ini DENY mengesampingkan izin GRANT CONNECT yang berasal dari peran ini.
##MS_LoginManager##	Anggota ##MS_LoginManager## peran server tetap dapat membuat, menghapus, dan memodifikasi login. Bertentangan dengan securityadmin peran server tetap lama, peran ini tidak memungkinkan anggota untuk GRANT hak istimewa. Ini adalah peran yang lebih terbatas yang membantu mematuhi Prinsip Hak Istimewa paling sedikit.
##MS_DatabaseManager##	Anggota peran server tetap ##MS_DatabaseManager## dapat membuat dan menghapus database. Seorang anggota peran ##MS_DatabaseManager## yang membuat database akan menjadi pemilik database tersebut, sehingga memungkinkan pengguna tersebut untuk terhubung ke database itu sebagai pengguna dbo. Pengguna dbo memiliki semua izin database dalam database. ##MS_DatabaseManager## Anggota peran tidak selalu memiliki izin untuk mengakses database yang tidak mereka miliki. Peran server ini memiliki hak istimewa yang sama dengan peran dbcreator di SQL Server, tetapi sebaiknya gunakan peran baru ini daripada yang pertama, karena peran ini ada juga di Azure SQL Database dan dengan demikian membantu menggunakan skrip yang sama di berbagai lingkungan. Anggota peran ini berpotensi meningkatkan hak istimewa mereka dalam kondisi tertentu. Terapkan prinsip hak istimewa paling sedikit saat menetapkan peran ini dan memantau semua aktivitas yang dilakukan oleh anggotanya.
##MS_ServerStateManager##	Anggota ##MS_ServerStateManager## peran server tetap memiliki izin yang sama dengan peran ##MS_ServerStateReader##. Selain itu, ia memegang ALTER SERVER STATE izin, yang memungkinkan akses ke beberapa operasi manajemen, seperti: DBCC FREEPROCCACHE, , DBCC FREESYSTEMCACHE ('ALL')DBCC SQLPERF()
##MS_ServerStateReader##	Anggota ##MS_ServerStateReader## peran server tetap dapat membaca semua tampilan manajemen dinamis (DMV) dan fungsi yang dicakup oleh VIEW SERVER STATE, dan masing-masing memiliki VIEW DATABASE STATE izin pada database apa pun di mana anggota peran ini memiliki akun pengguna.
##MS_ServerPerformanceStateReader##	Anggota ##MS_ServerPerformanceStateReader## peran server tetap dapat membaca semua tampilan manajemen dinamis (DMV) dan fungsi yang dicakup oleh VIEW SERVER PERFORMANCE STATE, dan masing-masing memiliki VIEW DATABASE PERFORMANCE STATE izin pada database apa pun di mana anggota peran ini memiliki akun pengguna. Subset dari apa yang ##MS_ServerStateReader## dapat diakses peran server, yang membantu mematuhi Prinsip Hak Istimewa paling sedikit.
##MS_ServerSecurityStateReader##	Anggota ##MS_ServerSecurityStateReader## peran server tetap dapat membaca semua tampilan manajemen dinamis (DMV) dan fungsi yang dicakup oleh VIEW SERVER SECURITY STATE, dan masing-masing memiliki VIEW DATABASE SECURITY STATE izin pada database apa pun di mana anggota peran ini memiliki akun pengguna. Subset kecil dari apa yang ##MS_ServerStateReader## dapat diakses peran server, yang membantu mematuhi Prinsip Hak Istimewa paling sedikit.
##MS_DefinitionReader##	Anggota peran server tetap dapat membaca semua tampilan katalog yang dicakup oleh , dan masing-masing memiliki izin pada setiap database tempat anggota peran ini memiliki akun pengguna.
##MS_PerformanceDefinitionReader##	Anggota peran server tetap dapat membaca semua tampilan katalog yang dicakup oleh , dan masing-masing memiliki izin pada setiap database tempat anggota peran ini memiliki akun pengguna. Subset dari apa yang ##MS_DefinitionReader## dapat diakses oleh peran server.
##MS_SecurityDefinitionReader##	Anggota peran server tetap dapat membaca semua tampilan katalog yang dicakup oleh , dan masing-masing memiliki izin pada setiap database tempat anggota peran ini memiliki akun pengguna. Subset kecil dari apa yang ##MS_DefinitionReader## dapat diakses peran server, yang membantu mematuhi Prinsip Hak Istimewa paling sedikit.

Izin peran Server Tetap

Setiap peran server tetap memiliki izin tertentu yang ditetapkan untuknya.

Izin peran server tetap baru di SQL Server 2022

Tabel berikut menunjukkan izin yang ditetapkan ke peran tingkat server. Ini juga memperlihatkan izin tingkat database yang diwariskan selama pengguna dapat tersambung ke database individual.

Peran tingkat server tetap	Izin tingkat server	Izin tingkat database
##MS_DatabaseConnector##	- CONNECT ANY DATABASE	- CONNECT
##MS_LoginManager##	- CREATE LOGIN - ALTER ANY LOGIN	T/A
##MS_DatabaseManager##	- CREATE ANY DATABASE - ALTER ANY DATABASE	- ALTER
##MS_ServerStateManager##	- ALTER SERVER STATE - VIEW SERVER STATE - VIEW SERVER PERFORMANCE STATE - VIEW SERVER SECURITY STATE	- VIEW DATABASE STATE - VIEW DATABASE PERFORMANCE STATE - VIEW DATABASE SECURITY STATE
##MS_ServerStateReader##	- VIEW SERVER STATE - VIEW SERVER PERFORMANCE STATE - VIEW SERVER SECURITY STATE	- VIEW DATABASE STATE - VIEW DATABASE PERFORMANCE STATE - VIEW DATABASE SECURITY STATE
##MS_ServerPerformanceStateReader##	- VIEW SERVER PERFORMANCE STATE	- VIEW DATABASE PERFORMANCE STATE
##MS_ServerSecurityStateReader##	- VIEW SERVER SECURITY STATE	- VIEW DATABASE SECURITY STATE
##MS_DefinitionReader##	- VIEW ANY DATABASE - VIEW ANY DEFINITION - VIEW ANY PERFORMANCE DEFINITION - VIEW ANY SECURITY DEFINITION	- VIEW DEFINITION - VIEW PERFORMANCE DEFINITION - VIEW SECURITY DEFINITION
##MS_PerformanceDefinitionReader##	- VIEW ANY PERFORMANCE DEFINITION	- VIEW PERFORMANCE DEFINITION
##MS_SecurityDefinitionReader##	- VIEW ANY SECURITY DEFINITION	- VIEW SECURITY DEFINITION

Izin peran server untuk SQL Server 2019 dan yang lebih lama

Grafik berikut menunjukkan izin yang ditetapkan ke peran server warisan (SQL Server 2019 (15.x) dan versi yang lebih lama).

Izinnya CONTROL SERVER mirip tetapi tidak identik dengan peran server tetap sysadmin . Prinsipal dengan CONTROL SERVER izin dapat ditolak izin tertentu. Dari perspektif keamanan, pertimbangkan prinsipal dengan yang identik dengan CONTROL SERVER anggota sysadmin, karena beberapa cara yang mungkin untuk meningkatkan izin dari CONTROL SERVER ke sysadmin penuh. Beberapa DBCC perintah dan banyak prosedur sistem memerlukan keanggotaan dalam peran server tetap sysadmin .

Izin tingkat server

Hanya izin tingkat server yang dapat ditambahkan ke peran server yang ditentukan pengguna. Untuk mencantumkan izin tingkat server, jalankan pernyataan berikut. Izin tingkat server adalah:

SELECT *
FROM sys.fn_builtin_permissions('SERVER')
ORDER BY permission_name;

Untuk informasi selengkapnya tentang izin, lihat Izin (Mesin Database) dan sys.fn_builtin_permissions.

Bekerja dengan peran tingkat server

Tabel berikut menjelaskan perintah, tampilan, dan fungsi yang bisa Anda gunakan untuk bekerja dengan peran tingkat server.

Fitur	Tipe	Deskripsi
sp_helpsrvrole	Metadata	Mengembalikan daftar peran tingkat server.
sp_helpsrvrolemember	Metadata	Mengembalikan informasi tentang anggota peran tingkat server.
sp_srvrolepermission	Metadata	Menampilkan izin peran tingkat server.
IS_SRVROLEMEMBER	Metadata	Menunjukkan apakah login SQL Server adalah anggota peran tingkat server yang ditentukan.
sys.server_role_members	Metadata	Mengembalikan satu baris untuk setiap anggota dari setiap peran tingkat server.
BUAT PERAN SERVER	Perintah	Membuat peran server yang ditentukan pengguna.
MENGUBAH PERAN SERVER	Perintah	Mengubah keanggotaan peran server atau mengubah nama peran server yang ditentukan pengguna.
MENJATUHKAN PERAN SERVER	Perintah	Menghapus peran server yang ditentukan pengguna.
sp_addsrvrolemember	Perintah	Menambahkan login sebagai anggota peran tingkat server. Ditolak. Gunakan ALTER SERVER ROLE sebagai gantinya.
sp_dropsrvrolemember	Perintah	Menghapus login SQL Server atau pengguna atau grup Windows dari peran tingkat server. Ditolak. Gunakan ALTER SERVER ROLE sebagai gantinya.

Peran khusus untuk SQL Server yang diaktifkan oleh Azure Arc

Saat Anda menginstal ekstensi Azure untuk SQL Server, penginstalan:

1. Membuat peran tingkat server: SQLArcExtensionServerRole

2. Membuat peran tingkat database: SQLArcExtensionUserRole

3. Menambahkan akun NT AUTHORITY\SYSTEM^* ke setiap peran

4. Memetakan NT AUTHORITY\SYSTEM^* di tingkat database untuk setiap database

5. Memberikan izin minimum untuk fitur yang diaktifkan

   ^*Atau, Anda dapat mengonfigurasi SQL Server yang diaktifkan oleh Azure Arc untuk berjalan dalam mode hak istimewa paling sedikit (tersedia dalam pratinjau). Untuk detailnya, tinjau Mengoperasikan SQL Server yang diaktifkan oleh Azure Arc dengan hak istimewa paling sedikit (pratinjau).

Selain itu, ekstensi Azure untuk SQL Server mencabut izin untuk peran ini ketika tidak lagi diperlukan untuk fitur tertentu.

SqlServerExtensionPermissionProvider adalah tugas Windows. Ini memberikan atau mencabut hak istimewa di SQL Server ketika mendeteksi:

• Instans SQL Server baru diinstal pada host
• Instans SQL Server dihapus instalannya dari host
• Fitur tingkat instans diaktifkan atau dinonaktifkan atau pengaturan diperbarui
• Layanan ekstensi dimulai ulang

Catatan

Sebelum rilis Juli 2024, SqlServerExtensionPermissionProvider adalah tugas terjadwal. Ini berjalan per jam.

Untuk detailnya, tinjau Mengonfigurasi akun dan izin layanan Windows untuk ekstensi Azure untuk SQL Server.

Jika Anda menghapus instalan ekstensi Azure untuk SQL Server, peran tingkat server dan database akan dihapus.

Untuk izin, tinjau Izin.

Konten terkait

• Peran tingkat database
• Tampilan Katalog Keamanan (Transact-SQL)
• Fungsi Keamanan (T-SQL)
• Mengamankan SQL Server
• IZIN Utama Server GRANT (Transact-SQL)
• MENCABUT Izin Utama Server (Transact-SQL)
• Deny Server Principal Permissions (Transact-SQL)
• Membuat Peran Server
• Peran server Azure SQL Database untuk manajemen izin