Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:
SQL Server Azure SQL Managed InstanceAnalytics Platform System (PDW)
SQL Server menyediakan peran tingkat server untuk membantu Anda mengelola izin di server. Peran ini adalah prinsip keamanan yang mengelompokkan prinsipal lain. Peran di tingkat server memiliki cakupan izin yang berlaku untuk seluruh server. (Peran seperti grup dalam sistem operasi Windows.)
SQL Server 2019 (15.x) dan versi sebelumnya menyediakan sembilan peran server tetap. Izin yang diberikan ke peran server tetap (kecuali publik) tidak dapat diubah. Dimulai dengan SQL Server 2012 (11.x), Anda dapat membuat peran server yang ditentukan pengguna dan menambahkan izin tingkat server ke peran server yang ditentukan pengguna.
SQL Server 2022 (16.x) hadir dengan 10 peran server tambahan yang dirancang khusus dengan Prinsip Hak Istimewa Paling Sedikit , yang memiliki awalan ##MS_ dan akhiran ## untuk membedakannya dari prinsipal reguler yang dibuat pengguna dan peran server kustom lainnya. Peran baru tersebut berisi hak istimewa yang berlaku pada cakupan server tetapi juga dapat diwariskan ke database individual (kecuali untuk ##MS_LoginManager## peran server.)
Seperti SQL Server di tempat, izin server diatur secara hierarkis. Izin yang dipegang oleh peran tingkat server ini dapat menyebar ke izin database. Agar izin berfungsi secara efektif pada tingkat database, login harus menjadi anggota peran ##MS_DatabaseConnector## tingkat server (dimulai dengan SQL Server 2022 (16.x)), yang memberikan CONNECT izin ke semua database, atau memiliki akun pengguna dalam database individu. Ini juga berlaku untuk master database.
Pertimbangkan contoh berikut: Peran ##MS_ServerStateReader## tingkat server memegang izin VIEW SERVER STATE. Login yang merupakan anggota peran ini memiliki akun pengguna di basis data master dan WideWorldImporters. Pengguna ini juga memiliki izin dalam dua database tersebut VIEW DATABASE STATE berdasarkan pewarisan.
Anda dapat menambahkan prinsipal tingkat server (login SQL Server, akun Windows, dan grup Windows) ke dalam peran tingkat server. Setiap anggota peran server tetap dapat menambahkan login lain ke peran yang sama. Anggota peran server yang ditentukan pengguna tidak dapat menambahkan prinsipal server lain ke peran tersebut.
Peran tetap tingkat server
Catatan
Peran tingkat server ini diperkenalkan sebelum SQL Server 2022 (16.x), dan tidak tersedia di Azure SQL Database atau Azure Synapse Analytics. Ada peran server Azure SQL Database khusus untuk manajemen izin yang setara dengan peran tingkat server yang diperkenalkan di SQL Server 2022 (16.x). Untuk informasi selengkapnya tentang SQL Database, lihat Mengontrol dan memberikan akses database..
Tabel berikut menunjukkan peran tingkat server tetap dan kemampuannya.
| Peran tingkat server tetap | Deskripsi |
|---|---|
| administrator sistem | Anggota peran server tetap sysadmin dapat melakukan aktivitas apa pun di server. Penting: izin tidak dapat ditolak untuk anggota peran ini. |
| serveradmin | Anggota peran server tetap serveradmin dapat mengubah opsi konfigurasi di seluruh server dan mematikan server. |
| securityadmin | Anggota peran server tetap securityadmin mengelola login dan properti mereka. Mereka dapat GRANT, DENY, dan REVOKE izin tingkat server.
securityadmin juga dapat GRANT, DENY, dan REVOKE izin tingkat database jika mereka memiliki akses ke database. Selain itu, securityadmin dapat mengatur ulang kata sandi untuk login SQL Server.PENTING: Kemampuan untuk memberikan akses ke Mesin Database dan untuk mengonfigurasi izin pengguna memungkinkan admin keamanan untuk menetapkan sebagian besar izin server. Peran securityadmin harus diperlakukan setara dengan peran sysadmin . Sebagai alternatif, dimulai dengan SQL Server 2022 (16.x), pertimbangkan untuk menggunakan peran server tetap baru ##MS_LoginManager##. |
| processadmin | Anggota peran server tetap processadmin dapat mengakhiri proses yang berjalan dalam instans SQL Server. |
| setupadmin | Anggota peran server tetap setupadmin dapat menambahkan dan menghapus server tertaut dengan menggunakan pernyataan Transact-SQL. (keanggotaan sysadmin diperlukan saat menggunakan Management Studio.) |
| bulkadmin | Anggota peran server tetap bulkadmin dapat menjalankan BULK INSERT pernyataan. Anggota peran ini berpotensi meningkatkan hak istimewa mereka dalam kondisi tertentu. Terapkan prinsip hak istimewa paling sedikit saat menetapkan peran ini dan memantau semua aktivitas yang dilakukan oleh anggotanya. Peran bulkadmin atau izin ADMINISTER BULK OPERATIONS tidak didukung untuk SQL Server di Linux.Operasi massal ( BULK INSERT pernyataan) tidak didukung untuk login yang menggunakan autentikasi Microsoft Entra, baik pada Linux maupun Windows. Dalam skenario ini, hanya anggota peran sysadmin yang dapat melakukan penyisipan massal untuk SQL Server. |
| diskadmin | Peran server tetap diskadmin digunakan untuk mengelola file disk. |
| dbcreator | Anggota peran server tetap dbcreator dapat membuat, mengubah, menghilangkan, dan memulihkan database apa pun. |
| public | Setiap login SQL Server milik peran server publik . Ketika entitas server tidak diberikan atau ditolak hak akses tertentu pada suatu objek yang dapat diamankan, pengguna mewarisi hak akses yang diberikan kepada publik pada objek tersebut. Hanya tetapkan izin publik pada objek apa pun saat Anda ingin objek tersedia untuk semua pengguna. Anda tidak dapat mengubah keanggotaan di publik. Catatan:publik diimplementasikan secara berbeda dari peran lain, dan izin dapat diberikan, ditolak, atau dicabut dari peran server tetap publik . |
Penting
Sebagian besar izin yang disediakan oleh peran server berikut tidak berlaku untuk Azure Synapse Analytics - processadmin, serveradmin, setupadmin, dan diskadmin.
Peran tingkat server tetap yang diperkenalkan di SQL Server 2022
Tabel berikut ini memperlihatkan peran tingkat server tetap yang diperkenalkan di SQL Server 2022 (16.x), dan kemampuannya.
Catatan
Izin tingkat server ini tidak tersedia untuk Azure SQL Managed Instance atau Azure Synapse Analytics.
##MS_PerformanceDefinitionReader##, ##MS_ServerPerformanceStateReader##, dan ##MS_ServerSecurityStateReader## diperkenalkan di SQL Server 2022 (16.x), dan tidak tersedia di Azure SQL Database.
| Peran tingkat server tetap | Deskripsi |
|---|---|
##MS_DatabaseConnector## |
Anggota dari peran server tetap dapat terhubung ke database mana pun tanpa memerlukan akun pengguna dalam database. Untuk menolak CONNECT izin ke database tertentu, pengguna dapat membuat akun pengguna yang cocok untuk masuk ini dalam database lalu DENYCONNECT izin ke pengguna database. Izin ini DENY mengesampingkan izin GRANT CONNECT yang berasal dari peran ini. |
##MS_LoginManager## |
Anggota peran server tetap ##MS_LoginManager## dapat membuat, menghapus, dan memodifikasi login. Bertentangan dengan peran tetap server lama securityadmin, peran ini tidak memungkinkan anggota untuk GRANT hak istimewa. Ini adalah peran yang lebih terbatas yang membantu mematuhi Prinsip Hak Istimewa Paling Sedikit. |
##MS_DatabaseManager## |
Anggota peran server tetap ##MS_DatabaseManager## dapat membuat dan menghapus database. Seorang anggota peran ##MS_DatabaseManager## yang membuat database akan menjadi pemilik database tersebut, sehingga memungkinkan pengguna tersebut untuk terhubung ke database itu sebagai pengguna dbo. Pengguna dbo memiliki semua izin database dalam database.
##MS_DatabaseManager## Anggota peran tidak selalu memiliki izin untuk mengakses database yang tidak mereka miliki. Peran server ini memiliki hak istimewa yang sama dengan peran dbcreator di SQL Server, tetapi sebaiknya gunakan peran baru ini daripada yang pertama, karena peran ini ada juga di Azure SQL Database dan dengan demikian membantu menggunakan skrip yang sama di berbagai lingkungan. Anggota peran ini berpotensi meningkatkan hak istimewa mereka dalam kondisi tertentu. Terapkan prinsip hak istimewa paling sedikit saat menetapkan peran ini dan memantau semua aktivitas yang dilakukan oleh anggotanya. |
##MS_ServerStateManager## |
Anggota ##MS_ServerStateManager## peran server tetap memiliki izin yang sama dengan peran ##MS_ServerStateReader##. Selain itu, ia memegang ALTER SERVER STATE izin, yang memungkinkan akses ke beberapa operasi manajemen, seperti: DBCC FREEPROCCACHE, DBCC FREESYSTEMCACHE ('ALL'), DBCC SQLPERF() |
##MS_ServerStateReader## |
Anggota peran server tetap ##MS_ServerStateReader## dapat membaca semua tampilan manajemen dinamis (DMV) dan fungsi yang dicakup oleh VIEW SERVER STATE, dan masing-masing memiliki perizinan VIEW DATABASE STATE pada database mana pun di mana anggota peran ini memiliki akun pengguna. |
##MS_ServerPerformanceStateReader## |
Anggota ##MS_ServerPerformanceStateReader## peran server tetap dapat membaca semua tampilan manajemen dinamis (DMV) dan fungsi yang ditentukan oleh VIEW SERVER PERFORMANCE STATE. Selain itu, masing-masing memiliki izin VIEW DATABASE PERFORMANCE STATE pada database apa pun di mana anggota peran ini memiliki akun pengguna. Subset dari hal-hal yang dapat diakses oleh peran server ##MS_ServerStateReader##, yang membantu mematuhi Prinsip Hak Istimewa Paling Rendah. |
##MS_ServerSecurityStateReader## |
Anggota ##MS_ServerSecurityStateReader## peran server tetap dapat membaca semua tampilan manajemen dinamis (DMV) dan fungsi yang dicakup oleh VIEW SERVER SECURITY STATE, dan masing-masing memiliki VIEW DATABASE SECURITY STATE izin pada database apa pun di mana anggota peran ini memiliki akun pengguna. Subset kecil dari jenis akses yang dimiliki oleh peran server ##MS_ServerStateReader##, yang membantu mematuhi Prinsip Hak Istimewa Minimal. |
##MS_DefinitionReader## |
Anggota |
##MS_PerformanceDefinitionReader## |
Anggota ##MS_DefinitionReader##. |
##MS_SecurityDefinitionReader## |
Anggota |
Izin peran Server Tetap
Setiap peran server tetap memiliki izin tertentu yang ditetapkan untuknya.
Izin peran server tetap baru di SQL Server 2022
Tabel berikut menunjukkan hak akses yang ditetapkan ke peran tingkat server. Ini juga memperlihatkan izin tingkat database yang diwariskan selama pengguna dapat tersambung ke database individual.
| Peran tingkat server tetap | Izin tingkat server | Izin pada tingkat database |
|---|---|---|
##MS_DatabaseConnector## |
- CONNECT ANY DATABASE |
- CONNECT |
##MS_LoginManager## |
- CREATE LOGIN- ALTER ANY LOGIN |
T/A |
##MS_DatabaseManager## |
- CREATE ANY DATABASE- ALTER ANY DATABASE |
- ALTER |
##MS_ServerStateManager## |
- ALTER SERVER STATE- VIEW SERVER STATE- VIEW SERVER PERFORMANCE STATE- VIEW SERVER SECURITY STATE |
- VIEW DATABASE STATE- VIEW DATABASE PERFORMANCE STATE- VIEW DATABASE SECURITY STATE |
##MS_ServerStateReader## |
- VIEW SERVER STATE- VIEW SERVER PERFORMANCE STATE- VIEW SERVER SECURITY STATE |
- VIEW DATABASE STATE- VIEW DATABASE PERFORMANCE STATE- VIEW DATABASE SECURITY STATE |
##MS_ServerPerformanceStateReader## |
- VIEW SERVER PERFORMANCE STATE |
- VIEW DATABASE PERFORMANCE STATE |
##MS_ServerSecurityStateReader## |
- VIEW SERVER SECURITY STATE |
- VIEW DATABASE SECURITY STATE |
##MS_DefinitionReader## |
- VIEW ANY DATABASE- VIEW ANY DEFINITION- VIEW ANY PERFORMANCE DEFINITION- VIEW ANY SECURITY DEFINITION |
- VIEW DEFINITION- VIEW PERFORMANCE DEFINITION- VIEW SECURITY DEFINITION |
##MS_PerformanceDefinitionReader## |
- VIEW ANY PERFORMANCE DEFINITION |
- VIEW PERFORMANCE DEFINITION |
##MS_SecurityDefinitionReader## |
- VIEW ANY SECURITY DEFINITION |
- VIEW SECURITY DEFINITION |
Hak akses peran server untuk SQL Server 2019 dan yang lebih lama
Grafik berikut menunjukkan izin yang ditetapkan ke peran server warisan (SQL Server 2019 (15.x) dan versi yang lebih lama).
Izin CONTROL SERVER mirip tetapi tidak identik dengan peran server tetap sysadmin. Prinsipal dengan izin CONTROL SERVER dapat ditolak hak akses tertentu. Dari perspektif keamanan, pertimbangkan prinsipal yang identik dengan CONTROL SERVER sebagai anggota sysadmin, karena adanya beberapa cara untuk meningkatkan hak akses dari CONTROL SERVER ke sysadmin penuh. Beberapa DBCC perintah dan banyak prosedur sistem memerlukan keanggotaan dalam peran server tetap sysadmin .
Izin tingkat server
Hanya izin tingkat server yang dapat ditambahkan ke peran server yang ditentukan pengguna. Untuk mencantumkan izin tingkat server, jalankan pernyataan berikut. Izin tingkat server adalah:
SELECT *
FROM sys.fn_builtin_permissions('SERVER')
ORDER BY permission_name;
Untuk informasi selengkapnya tentang izin, lihat Izin (Mesin Database) dan sys.fn_builtin_permissions.
Bekerja dengan peran tingkat server
Tabel berikut menjelaskan perintah, tampilan, dan fungsi yang bisa Anda gunakan untuk bekerja dengan peran tingkat server.
| Fitur | Tipe | Deskripsi |
|---|---|---|
| sp_helpsrvrole | Metadata | Mengembalikan daftar peran tingkat server. |
| sp_helpsrvrolemember | Metadata | Mengembalikan informasi tentang anggota peran di tingkat server. |
| sp_srvrolepermission | Metadata | Menampilkan izin peran tingkat server. |
| IS_SRVROLEMEMBER | Metadata | Menunjukkan apakah login ke SQL Server adalah anggota dari peran pada tingkat server yang ditentukan. |
| sys.server_role_members | Metadata | Mengembalikan satu baris untuk setiap anggota dari setiap peran tingkat server. |
| BUAT PERAN | Perintah | Membuat peran server yang ditentukan pengguna. |
| ALTER SERVER ROLE | Perintah | Mengubah keanggotaan peran server atau mengubah nama peran server yang ditentukan pengguna. |
| DROP SERVER ROLE | Perintah | Menghapus peran server yang ditentukan pengguna. |
| sp_addsrvrolemember | Perintah | Menambahkan login sebagai anggota peran tingkat server. Kadaluarsa. Gunakan ALTER SERVER ROLE sebagai gantinya. |
| sp_dropsrvrolemember | Perintah | Menghapus login SQL Server atau pengguna atau grup Windows dari peran tingkat server. Tidak dianjurkan. Gunakan ALTER SERVER ROLE sebagai gantinya. |
Peran khusus untuk SQL Server yang diaktifkan oleh Azure Arc
Saat Anda memasang Ekstensi Azure untuk SQL Server dalam mode bukan hak istimewa paling sedikit, proses pemasangan:
- Membuat peran tingkat server:
SQLArcExtensionServerRole - Membuat peran tingkat database:
SQLArcExtensionUserRole - Menambahkan
NT AUTHORITY\SYSTEMakun ke setiap peran - Memetakan
NT AUTHORITY\SYSTEMdi tingkat database untuk setiap database - Memberikan izin minimum untuk fitur yang diaktifkan
Atau, Anda dapat mengonfigurasi SQL Server diaktifkan oleh Azure Arc untuk berjalan dalam mode hak istimewa paling sedikit. Untuk informasi selengkapnya, lihat Mengoperasikan SQL Server yang diaktifkan oleh Azure Arc dengan hak akses minimal.
Selain itu, Ekstensi Azure untuk SQL Server mencabut izin untuk peran ini saat tidak lagi diperlukan untuk fitur tertentu.
Catatan
Tindakan yang dijelaskan sebelumnya mengharuskan Deployer untuk terhubung ke SQL Server sebagai NT AUTHORITY\SYSTEM. Jika login NT AUTHORITY\SYSTEM dihapus, dinonaktifkan, atau ditolak CONNECT SQL izinnya, Deployer tidak dapat melakukan tindakan-tindakan ini, dan Ekstensi Azure untuk SQL Server gagal tersedia. Lihat Prasyarat untuk langkah-langkah memverifikasi dan memulihkan login ini.
SqlServerExtensionPermissionProvider adalah tugas Windows. Ini menjalankan Deployer.exe untuk memberikan atau mencabut hak istimewa dalam SQL Server ketika mendeteksi:
- Instans SQL Server baru diinstal pada host
- Instans SQL Server dihapus instalannya dari host
- Fitur tingkat instans diaktifkan atau dinonaktifkan, atau pengaturan diperbarui
- Layanan ekstensi dimulai ulang
- Izin just-in-time (JIT) diaktifkan atau dinonaktifkan
Catatan
Sebelum rilis Juli 2024, SqlServerExtensionPermissionProvider adalah tugas terjadwal yang dijalankan setiap jam.
Untuk detailnya, tinjau Konfigurasi akun layanan Windows dan izin untuk Ekstensi Azure untuk SQL Server.
Jika Anda menghapus instalan Ekstensi Azure untuk SQL Server, peran tingkat server dan tingkat database akan dihapus.
Untuk izin, tinjau Izin.
Konten terkait
- Peran tingkat database
- Tampilan Katalog Keamanan (Transact-SQL)
- Fungsi Keamanan (T-SQL)
- Mengamankan SQL Server
- IZIN Utama Server GRANT (Transact-SQL)
- MENCABUT Izin Utama Server (Transact-SQL)
- Deny Server Principal Permissions (Transact-SQL)
- Membuat Peran Server
- Peran server Azure SQL Database untuk manajemen izin