Artykuł
07/22/2011

Role poziom bazy danych

Łatwo zarządzać uprawnieniami w bazach danych, SQL Server zawiera kilka role , które są podmioty zabezpieczeń, które grupują innych podmiotów.Są one podobne grupy w Microsoft systemu operacyjnego Windows.Role poziom bazy danych są bazy danych dla całego zakres ich uprawnień.

Istnieją dwa typy ról poziom bazy danych w SQL Server: ról stałej bazy danych , które są wstępnie zdefiniowane w bazie danych i ról elastycznych bazy danych , można utworzyć.

Stałe role bazy danych są zdefiniowane poziom bazy danych i istnieje w każdej bazie danych.Członkowie db_owner i db_securityadmin rola bazy danychs można zarządzać stała rola bazy danych członkostwa.Jednak tylko członkowie db_owner rola bazy danych można dodać członków do db_owner stała rola bazy danych.Istnieją również niektórych specjalnych stałe role bazy danych w msdb bazy danych.

Można dodać dowolny konto bazy danych i inne SQL Server role do ról poziom bazy danych.Każdy element członkowski stała rola bazy danych można dodać inne logowania do tej samej roli.

Ważne:
Nie można dodać ról elastycznych bazy danych jako członkowie ról stałej.Może to umożliwić zwiększenie uprawnień niezamierzone.

W poniższej tabela przedstawiono role stały poziom bazy danych i ich możliwości.Role te istnieją w wszystkich baz danych.

Nazwa roli poziom bazy danych	Opis
db_owner	Członkowie db_owner stała rola bazy danych można wykonać na bazie wszystkich konfiguracja i konserwacji działań i można również usunąć bazy danych.
db_securityadmin	Członkowie db_securityadmin stała rola bazy danych można zmodyfikować członkostwo roli uprawnień i zarządzania nimi.Dodawanie podmiotów do tej roli może umożliwić zwiększenie uprawnień niezamierzone.
db_accessadmin	Członkowie db_accessadmin stała rola bazy danych można dodać lub usunąć dostęp do bazy danych dla logowania do systemu Windows, grupy systemu Windows i SQL Server logowania.
db_backupoperator	Członkowie db_backupoperator stała rola bazy danych można wykonać kopię zapasową bazy danych.
db_ddladmin	Członkowie db_ddladmin stała rola bazy danych uruchomić dowolne polecenie Data Definition Language (DDL) w bazie danych.
db_datawriter	Członkowie db_datawriter stała rola bazy danych można dodać, usunąć lub zmienić dane w tabelach użytkownika.
db_datareader	Członkowie db_datareader stała rola bazy danych może odczytywać wszystkie dane ze wszystkich tabel użytkownika.
db_denydatawriter	Członkowie db_denydatawriter stała rola bazy danych nie można dodać, zmodyfikować lub usunąć wszystkie dane w tabelach użytkownika w bazie danych.
db_denydatareader	Członkowie db_denydatareader stała rola bazy danych nie można odczytać wszystkich danych w tabelach użytkownika w bazie danych.

Aby uzyskać szczegółowe informacje na uprawnienia roli stały poziom bazy danych, zobacz Uprawnienia ról stałej bazy danych (aparat bazy danych).

msdb ról

msdb Baza danych zawiera role specjalnych, które przedstawiono w poniższej tabela.

Nazwa roli msdb	Opis
db_ssisadmin db_ssisoperator db_ssisltduser	Członkowie tych ról bazy danych można administrować i używać SSIS.Wystąpienia SQL Server uaktualnieniu z wcześniejszej wersja może zawierać starszą wersja roli, która została nadana usług transformacji danych (DTS) zamiast SSIS.Aby uzyskać więcej informacji, zobacz Przy użyciu integracji usług ról.
dc_admin dc_operator dc_proxy	Członkowie tych ról bazy danych można administrować i użyć modułów zbierających dane.Aby uzyskać więcej informacji, zobacz Zabezpieczenia modułów zbierających dane.
PolicyAdministratorRole	Członkowie db_ PolicyAdministratorRole rola bazy danych można wykonywać wszystkie działania konfiguracja i konserwacji na zasady zarządzania opartego na zasadach i warunkach.Aby uzyskać więcej informacji, zobacz Administrowanie serwerami za pomocą zarządzania opartego na zasadach.
ServerGroupAdministratorRole ServerGroupReaderRole	Członkowie tych ról bazy danych można administrować i używać grup serwerów zarejestrowane.Aby uzyskać więcej informacji, zobacz Tworzenie grupy serwerów.
dbm_monitor	Utworzone w msdb bazy danych podczas pierwszej bazy danych jest zarejestrowany w Monitor dublowania bazy danych.Dbm_monitor rola nie ma członków do momentu administrator systemu przypisuje użytkowników do roli.

Ważne:
Członkowie db_ssisadmin roli i dc_admin roli może mieć możliwość podniesienia swoich uprawnień do sysadmin.To podniesienie uprawnień może występować, ponieważ role te można modyfikować Integration Services pakietów i Integration Services pakiety mogą być wykonywane przez SQL Server za pomocą sysadmin kontekstu zabezpieczeń SQL Server agenta.Aby zabezpieczyć się przed tym podniesienie uprawnień podczas uruchamiania planów konserwacji, zestawy zbierania danych i inne Integration Services konfigurowania pakietów, SQL Server zadania agenta uruchamianych pakietów używać konto proxy z ograniczonymi uprawnieniami lub dodawać tylko sysadmin członków do db_ssisadmin i dc_admin ról.

Członkowie db_ssisadmin roli i dc_admin roli może mieć możliwość podniesienia swoich uprawnień do sysadmin.To podniesienie uprawnień może występować, ponieważ role te można modyfikować Integration Services pakietów i Integration Services pakiety mogą być wykonywane przez SQL Server za pomocą sysadmin kontekstu zabezpieczeń SQL Server agenta.Aby zabezpieczyć się przed tym podniesienie uprawnień podczas uruchamiania planów konserwacji, zestawy zbierania danych i inne Integration Services konfigurowania pakietów, SQL Server zadania agenta uruchamianych pakietów używać konto proxy z ograniczonymi uprawnieniami lub dodawać tylko sysadmin członków do db_ssisadmin i dc_admin ról.

Praca z ról na poziomie bazy danych

W poniższej tabela opisano polecenia, widoki i funkcje role poziom bazy danych.

Funkcja	Typ	Opis
sp_helpdbfixedrole (języka Transact-SQL)	Metadane	Zwraca listę ról stałej bazy danych.
sp_dbfixedrolepermission (języka Transact-SQL)	Metadane	Wyświetla uprawnienia stała rola bazy danych.
sp_helprole (języka Transact-SQL)	Metadane	Zwraca informacje dotyczące ról w bieżącej bazie danych.
sp_helprolemember (języka Transact-SQL)	Metadane	Zwraca informacje o członków roli w bieżącej bazie danych.
sys.database_role_members (języka Transact-SQL)	Metadane	Zwraca jeden wiersz dla każdego element członkowski każdej rola bazy danych.
IS_MEMBER (Transact-SQL)	Metadane	Wskazuje, czy bieżący użytkownik jest element członkowski Microsoft SQL Server rola bazy danych lub określonej grupy systemu Microsoft Windows.
Tworzenie roli (Transact-SQL)	Polecenia	Tworzy nową rola bazy danych w bieżącej bazie danych.
Zmiana roli (Transact-SQL)	Polecenia	Zmienia nazwę rola bazy danych.
Usuwanie roli (Transact-SQL)	Polecenia	Usuwa roli z bazy danych.
sp_addrole (języka Transact-SQL)	Polecenia	Tworzy nową rola bazy danych w bieżącej bazie danych.
sp_droprole (języka Transact-SQL)	Polecenia	Usuwa rola bazy danych z bieżącej bazy danych.
sp_addrolemember (języka Transact-SQL)	Polecenia	Dodaje użytkownika bazy danych, rola bazy danych, identyfikator logowania systemu Windows lub grupy systemu Windows do rola bazy danych w bieżącej bazie danych.
sp_droprolemember (języka Transact-SQL)	Polecenia	Usuwa konto zabezpieczeń z SQL Server rolę w bieżącej bazie danych.

publiczne roli bazy danych

Każdy użytkownik bazy danych należy do public rola bazy danych.Gdy użytkownik nie udzielono lub odmówiono uprawnienia do obiektu zabezpieczany, dziedziczy uprawnienia udzielone publicznych na tym obiekcie.