固定サーバー ロールの権限 (データベース エンジン)
固定サーバー ロールには、SQL Server によって特定の権限が割り当てられています。固定サーバー ロールの権限は変更できません。固定サーバー ロールは、利便性と下位互換性を目的に提供されています。可能な限り具体的なアクセス許可を割り当てるようにしてください。
次の表では、固定サーバー ロールに許可される権限について説明します。
固定サーバー ロール |
サーバーレベルの権限 |
|---|---|
bulkadmin |
許可: ADMINISTER BULK OPERATIONS |
dbcreator |
許可: CREATE ANY DATABASE |
diskadmin |
許可: ALTER RESOURCES |
processadmin |
許可: ALTER ANY CONNECTION、ALTER SERVER STATE |
securityadmin |
許可: ALTER ANY LOGIN .gif "セキュリティに関する注意") セキュリティに関する注意
データベース エンジンへのアクセスを許可したりユーザー権限を構成したりできるという点で、securityadmin には、ほとんどのサーバー権限を割り当てる権限があります。securityadmin ロールは、sysadmin ロールに匹敵するものとして扱う必要があります。
|
serveradmin |
許可: ALTER ANY ENDPOINT、ALTER RESOURCES、ALTER SERVER STATE、ALTER SETTINGS、SHUTDOWN、VIEW SERVER STATE |
setupadmin |
許可: ALTER ANY LINKED SERVER |
sysadmin |
GRANT オプションを使用して許可: CONTROL SERVER |
解説
public サーバー ロールは、権限を変更できるため、固定サーバー ロールではありません。public サーバー ロールには、VIEW ANY DATABASE 権限と、既定のエンドポイント (TSQL Local Machine、TSQL Named Pipes、TSQL Default TCP、TSQL Default VIA) に対する CONNECT 権限が許可されています。
securityadmin 固定サーバー ロールのメンバーは、サーバーレベルとデータベースレベルの両方の権限を許可できます。
固定サーバー ロールは、サーバー レベルの権限とは異なります。たとえば、sysadmin 固定サーバー ロールには、CONTROL SERVER 権限があります。しかし、CONTROL SERVER 権限を付与しても、ログインが sysadmin 固定サーバー ロールのメンバーになるわけではありません。ログインが sysadmin 固定サーバー ロールのメンバーでないことは、IS_SRVROLEMEMBER (Transact-SQL) 関数によって正しく報告されます。sysadmin 固定サーバー ロールのメンバーは、すべてのデータベースの dbo ユーザーとして認識されますが、CONTROL SERVER 権限を持つログインが、そのように認識されることはありません。