Compartir a través de


Roles de nivel de base de datos

Para administrar con facilidad los permisos en las bases de datos, SQL Server proporciona varios roles, que son las entidades de seguridad que agrupan a otras entidades de seguridad. Son como los grupos del sistema operativo Microsoft Windows. Los roles de nivel de base de datos se aplican a toda la base de datos en lo que respecta a su ámbito de permisos. 

Existen dos tipos de roles de nivel de base de datos en SQL Server: los roles fijos de base de datos, que están predefinidos en la base de datos, y los roles flexibles de base de datos, que pueden crearse.

Los roles fijos de base de datos se definen en el nivel de base de datos y existen en cada una de ellas. Los miembros de los roles de base de datos db_owner y db_securityadmin pueden administrar los miembros de los roles fijos de base de datos. Sin embargo, sólo los miembros del rol de base de datos db_owner pueden agregar miembros al rol fijo de base de datos db_owner. Hay también algunos roles fijos de base de datos con fines especiales en la base de datos msdb.

Puede agregar cualquier cuenta de la base de datos y otros roles de SQL Server a los roles de nivel de base de datos. Cada miembro de un rol fijo de base de datos puede agregar otros inicios de sesión a ese mismo rol.

Nota importanteImportante

No agregue roles flexibles de la base de datos como miembros de roles fijos. Esto podría habilitar un aumento de privilegios no deseado.

En la tabla siguiente se muestran los roles fijos de nivel de base de datos y sus capacidades. Estos roles existen en todas las bases de datos.

Nombre de rol de nivel de base de datos

Descripción

db_owner

Los miembros del rol fijo de base de datos db_owner pueden realizar todas las actividades de configuración y mantenimiento en la base de datos y también pueden quitar la base de datos.

db_securityadmin

Los miembros del rol fijo de base de datos db_securityadmin pueden modificar la pertenencia a roles y administrar permisos. Si se agregan entidades de seguridad a este rol, podría habilitarse un aumento de privilegios no deseado.

db_accessadmin

Los miembros del rol fijo de base de datos db_accessadmin pueden agregar o quitar el acceso a la base de datos para inicios de sesión de Windows, grupos de Windows e inicios de sesión de SQL Server.

db_backupoperator

Los miembros del rol fijo de base de datos db_backupoperator pueden crear copias de seguridad de la base de datos.

db_ddladmin

Los miembros del rol fijo de base de datos db_ddladmin pueden ejecutar cualquier comando del lenguaje de definición de datos (DDL) en una base de datos.

db_datawriter

Los miembros del rol fijo de base de datos db_datawriter pueden agregar, eliminar o cambiar datos en todas las tablas de usuario.

db_datareader

Los miembros del rol fijo de base de datos db_datareader pueden leer todos los datos de todas las tablas de usuario.

db_denydatawriter

Los miembros del rol fijo de base de datos db_denydatawriter no pueden agregar, modificar ni eliminar datos de tablas de usuario de una base de datos.

db_denydatareader

Los miembros del rol fijo de base de datos db_denydatareader no pueden leer datos de las tablas de usuario dentro de una base de datos.

Para obtener información específica sobre los permisos de los roles fijos de nivel de base de datos, vea Permisos de los roles fijos de base de datos (motor de base de datos).

Roles de msdb

La base de datos msdb contiene los roles con fines especiales que se muestran en la tabla siguiente.

Nombre de rol de msdb

Descripción

db_ssisadmin

db_ssisoperator

db_ssisltduser

Los miembros de estos roles de base de datos pueden administrar y usar SSIS. Las instancias de SQL Server que se actualizan desde una versión anterior podrían contener una versión anterior del rol cuya denominación se realizaba utilizando Servicios de transformación de datos (DTS) en lugar de SSIS. Para obtener más información, vea Usar roles de Integration Services.

dc_admin

dc_operator

dc_proxy

Los miembros de estos roles de base de datos pueden administrar y usar el recopilador de datos. Para obtener más información, vea Seguridad del recolección de datos.

PolicyAdministratorRole

Los miembros del rol de base de datos db_PolicyAdministratorRole pueden realizar todas las actividades de mantenimiento y configuración en las condiciones y directivas de Administración basada en directiva. Para obtener más información, vea Administrar servidores mediante administración basada en directivas.

ServerGroupAdministratorRole

ServerGroupReaderRole

Los miembros de estos roles de base de datos pueden administrar y usar grupos de servidores registrados. Para obtener más información, vea Crear grupos de servidores.

dbm_monitor

Se crea en la base de datos msdb cuando se registra la primera base de datos en el Monitor de creación de reflejo de la base de datos. El rol dbm_monitor no tiene miembros hasta que un administrador del sistema asigna usuarios al rol.

Nota importanteImportante

Los miembros del rol db_ssisadmin y del rol dc_admin pueden elevar sus privilegios a sysadmin. Esta elevación de privilegios se puede producir porque estos roles pueden modificar los paquetes de Integration Services y los paquetes de Integration Services los puede ejecutar SQL Server utilizando el contexto de seguridad de sysadmin del Agente SQL Server. Para protegerse contra esta elevación de privilegio al ejecutar planes de mantenimiento, conjuntos de colección de datos y otros paquetes de Integration Services, configure los trabajos del Agente SQL Server que ejecutan paquetes para usar una cuenta de proxy con privilegios limitados o agregar solo los miembros de sysadmin a los roles db_ssisadmin y dc_admin.

Trabajar con roles de nivel de base de datos

En la tabla siguiente se explican los comandos, las vistas y las funciones que se usan para trabajar con los roles de nivel de base de datos.

Característica

Tipo

Descripción

sp_helpdbfixedrole (Transact-SQL)

Metadatos

Devuelve la lista de los roles fijos de base de datos.

sp_dbfixedrolepermission (Transact-SQL)

Metadatos

Muestra los permisos de un rol fijo de base de datos.

sp_helprole (Transact-SQL)

Metadatos

Devuelve información acerca de los roles de la base de datos actual.

sp_helprolemember (Transact-SQL)

Metadatos

Devuelve información acerca de los miembros de un rol de la base de datos actual.

sys.database_role_members (Transact-SQL)

Metadatos

Devuelve una fila por cada miembro de cada rol de base de datos.

IS_MEMBER (Transact-SQL)

Metadatos

Indica si el usuario actual es miembro del grupo de Microsoft Windows o del rol de base de datos de SQL Server especificados.

CREATE ROLE (Transact-SQL)

Comando

Crea un nuevo rol de base de datos en la base de datos actual.

ALTER ROLE (Transact-SQL)

Comando

Cambia el nombre de un rol de base de datos.

DROP ROLE (Transact-SQL)

Comando

Quita un rol de la base de datos.

sp_addrole (Transact-SQL)

Comando

Crea un nuevo rol de base de datos en la base de datos actual.

sp_droprole (Transact-SQL)

Comando

Quita un rol de base de datos de la base de datos actual.

sp_addrolemember (Transact-SQL)

Comando

Agrega un usuario de base de datos, un rol de base de datos, un inicio de sesión de Windows o un grupo de Windows a un rol de base de datos en la base de datos actual.

sp_droprolemember (Transact-SQL)

Comando

Quita una cuenta de seguridad de un rol de SQL Server de la base de datos actual.

Rol de base de datos public

Todos los usuarios de una base de datos pertenecen al rol de base de datos publics. Cuando a un usuario no se le han concedido ni denegado permisos específicos para un objeto protegible, el usuario hereda los permisos concedidos a la función pública para ese objeto.