Datenauflistersicherheit
Der Datenauflister verwendet das von dem SQL Server-Agent implementierte rollenbasierte Sicherheitsmodell. Mit diesem Modell kann der Datenbankadministrator die verschiedenen Datenauflistertasks in einem Sicherheitskontext ausführen, der nur über die zum Ausführen dieses Tasks erforderlichen Berechtigungen verfügt. Dieser Ansatz wird auch für Vorgänge mit internen Tabellen verwendet, auf die nur unter Verwendung einer gespeicherten Prozedur oder Sicht zugegriffen werden kann. Für interne Tabellen werden keine Berechtigungen gewährt. Stattdessen werden Berechtigungen für den Benutzer der gespeicherten Prozedur oder der Sicht überprüft, die für den Zugriff auf eine Tabelle verwendet werden.
.gif "Wichtiger Hinweis") Wichtig |
|---|
Ein anderer Hauptaspekt dieses Sicherheitsmodells sind konzentrische Berechtigungen. Mit konzentrischen Berechtigungen erben Rollen mit höheren Berechtigungen die Berechtigungen von Rollen mit niedrigeren Berechtigungen für Objekte (einschließlich Warnungen, Operatoren, Aufträgen, Zeitplänen und Proxys). Weitere Informationen finden Sie unter Feste Datenbankrollen des SQL Server-Agents. |
In den folgenden Abschnitten werden die Datenauflistungssicherheit im Allgemeinen sowie die Rollen beschrieben, die Sie Benutzern erteilen müssen, damit diese den Datenauflister konfigurieren und verwenden und mit dem Verwaltungs-Data Warehouse verbundene Tasks ausführen können.
Allgemeine Sicherheit
Der Datenauflister wird gemäß der für SQL Server 2008 festgelegten dokumentierten Standards installiert. Weitere Informationen finden Sie unter Sichere Bereitstellung (Datenbankmodul).
Netzwerksicherheit
Vertrauliche Informationen können zwischen Zielinstanzen, der mit dem Konfigurationsserver verbundenen relationalen Instanz, den ausgeführten Auflistsätzen und dem Server, der das Verwaltungs-Data Warehouse hostet, übergeben werden.
Zum Schützen von Daten, die über ein Netzwerk übertragen werden, werden die Standardsicherheitsmechanismen implementiert, beispielsweise Protokollverschlüsselung für Transact-SQL.
Berechtigungen zum Konfigurieren und Verwenden des Datenauflisters
Je nach Task müssen Benutzer Mitglieder von mindestens einer festen Datenbankrolle sein, die für den Datenauflister bereitgestellt wurde. Beginnend mit der höchsten Zugriffsberechtigung bis zur niedrigsten Zugriffsberechtigung stehen folgende Rollen zur Verfügung:
dc_admin
dc_operator
dc_proxy
Diese Rollen werden in der msdb-Datenbank gespeichert. Standardmäßig ist kein Benutzer Mitglied dieser Datenbankrollen. Die Benutzermitgliedschaft in diesen Rollen muss explizit erteilt werden.
Benutzer, die Mitglieder der festen Serverrolle sysadmin sind, haben Vollzugriff auf SQL Server-Agent-Objekte und -Datenauflistersichten. Datenauflisterrollen müssen jedoch explizit hinzugefügt werden.
| Wichtig |
|---|
Mitglieder der db_ssisadmin-Rolle und der dc_admin-Rolle können Ihre Berechtigungen möglicherweise auf sysadmin erhöhen. Diese Ausweitung von Berechtigungen ist möglich, da diese Rollen Integration Services-Pakete ändern können und Integration Services-Pakete von SQL Server mithilfe des sysadmin-Sicherheitskontexts des SQL Server-Agents ausgeführt werden können. Konfigurieren Sie als Schutz vor dieser Ausweitung von Berechtigungen beim Ausführen von Wartungsplänen, Datenauflistsätzen und anderen Integration Services-Paketen Aufträge des SQL Server-Agents, die Pakete ausführen, für die Verwendung eines Proxykontos mit eingeschränkten Berechtigungen, oder fügen Sie der db_ssisadmin-Rolle und der dc_admin-Rolle nur sysadmin-Mitglieder hinzu. |
dc_admin-Rolle
Der dc_admin-Rolle zugewiesene Benutzer haben vollen Administratorzugriff (Erstellen, Lesen, Aktualisieren und Löschen) auf die Datenauflisterkonfiguration auf einer Serverinstanz. Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:
Festlegen von Eigenschaften auf Auflisterebene.
Hinzufügen neuer Auflistsätze.
Installieren neuer Auflistungstypen.
Ausführen aller Vorgänge, die der dc_operator-Rolle erteilt wurden.
Die dc_admin-Rolle ist ein Mitglied der folgenden Rollen:
SQLAgentUserRole. Diese Rolle ist zum Erstellen von Zeitplänen und zum Ausführen von Aufträgen erforderlich.
.gif "Hinweis")
HinweisFür den Datenauflister erstellte Proxys müssen den Zugriff auf dc_admin gewähren, damit sie erstellt und für alle Schritte eines Auftrags verwendet werden können, für die ein Proxy erforderlich ist.
dc_operator. Mitglieder von dc_admin erben die Berechtigungen, die dc_operator gewährt wurden.
dc_operator-Rolle
Mitglieder der dc_operator-Rolle verfügen über Lese- und Aktualisierungszugriff. Diese Rolle unterstützt Vorgangstasks in Bezug auf das Ausführen und Konfigurieren von Auflistsätzen. Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:
Starten oder Beenden eines Auflistsatzes.
Auflisten vorhandener Auflistsätze.
Anzeigen der mit einem Auflistsatz verbundenen ausführlichen Informationen (beispielsweise Auflistelemente und Auflistungshäufigkeit).
Ändern der Hochladehäufigkeit für vorhandene Auflistsätze.
Ändern der Auflistungshäufigkeit für Auflistelemente, die Teil eines vorhandenen Auflistsatzes sind.
Die dc_operator-Rolle ist ein Mitglied der folgenden Rolle:
- db_ssisltduser. Die Mitgliedschaft in dieser Rolle ist erforderlich, damit Mitglieder Datenauflisterpakete aufzählen und anzeigen können. Weitere Informationen finden Sie unter Verwenden von Integration Services-Rollen.
dc_proxy-Rolle
Mitglieder der dc_proxy-Rolle verfügen über Lesezugriff auf Auflistsätze des Datenauflisters und Eigenschaften auf Auflisterebene. Die Mitglieder dieser Rolle können auch Aufträge anzeigen und ausführen, deren Besitzer sie sind, und Auftragsschritte erstellen, die als bereits vorhandenes Proxykonto ausgeführt werden.
Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:
Anzeigen der mit einem Auflistsatz verbundenen Konfigurationsinformationen (beispielsweise Eingabeparameter für Auflistelemente und die Auflistungshäufigkeit für diese Elemente).
Abrufen interner verschlüsselter Informationen, auf die nur von einer signierten gespeicherten Prozedur zugegriffen werden kann (beispielsweise Informationen über eine Data Warehouse-Verbindung, die zum Hochladen von Daten verwendet wird).
Protokollieren von Laufzeitereignissen für einen Auflistsatz.
Die dc_proxy-Rolle ist ein Mitglied der folgenden Rolle:
- db_ssisltduser. Die Mitgliedschaft in dieser Rolle ist erforderlich, damit Mitglieder Datenauflisterpakete aufzählen und anzeigen können. Weitere Informationen finden Sie unter Verwenden von Integration Services-Rollen.
Berechtigungen zum Konfigurieren und Verwenden des Verwaltungs-Data Warehouse
Je nach Task müssen Benutzer Mitglieder von mindestens einer festen Datenbankrolle sein, die für den Zugriff auf das Verwaltungs-Data Warehouse bereitgestellt wurde. Beginnend mit der höchsten Zugriffsberechtigung bis zur niedrigsten Zugriffsberechtigung stehen folgende Rollen zur Verfügung:
mdw_admin
mdw_writer
mdw_reader
Diese Rollen werden in der msdb-Datenbank gespeichert. Standardmäßig ist kein Benutzer Mitglied dieser Datenbankrollen. Die Benutzermitgliedschaft in diesen Rollen muss explizit erteilt werden.
Benutzer, die Mitglieder der festen Serverrolle sysadmin sind, haben Vollzugriff auf Datenauflistersichten. Sie müssen jedoch explizit Datenbankrollen hinzugefügt werden, um andere Vorgänge ausführen zu können.
mdw_admin-Rolle
Mitglieder der mdw_admin-Rolle verfügen über Lese-, Schreib-, Aktualisierungs- und Löschzugriff auf das Verwaltungs-Data Warehouse.
Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:
Ändern des Verwaltungs-Data Warehouse-Schemas, falls erforderlich (beispielsweise Hinzufügen einer neuen Tabelle, wenn ein neuer Auflistertyp installiert wird).
HinweisBei einer Schemaänderung muss ein Benutzer auch Mitglied der dc_admin-Rolle sein, um einen neuen Auflistertyp installieren zu können, da für diese Aktion eine Berechtigung zum Aktualisieren der Datenauflisterkonfiguration in msdb erforderlich ist.
Ausführen von Wartungsaufträgen für das Verwaltungs-Data Warehouse, beispielsweise Archivierung oder Cleanup.
mdw_writer-Rolle
Mitglieder der mdw_writer-Rolle können Daten in das Verwaltungs-Data Warehouse hochladen und schreiben. Jeder Datenauflister, der Daten in dem Verwaltungs-Data Warehouse speichert, muss ein Mitglied dieser Rolle sein.
mdw_reader-Rolle
Mitglieder der mdw_reader-Rolle verfügen über Lesezugriff auf das Verwaltungs-Data Warehouse. Da diese Rolle zur Unterstützung bei der Problembehandlung dient, indem sie Zugriff auf Verlaufsdaten bietet, können Mitglieder dieser Rolle andere Elemente des Verwaltungs-Data Warehouse-Schemas nicht anzeigen.