Rollen auf Datenbankebene
Zur einfachen Verwaltung der Berechtigungen für Ihre Datenbanken stellt SQL Server mehrere Rollen zur Verfügung. Dies sind Sicherheitsprinzipale, die andere Prinzipale gruppieren. Sie entsprechen den Gruppen im Microsoft Windows-Betriebssystem. Der Geltungsbereich der Berechtigungen von Rollen auf Datenbankebene erstreckt sich auf die gesamte Datenbank.
Es gibt in SQL Server zwei Typen von Rollen auf Datenbankebene: feste Datenbankrollen, die in der Datenbank vordefiniert sind, und flexible Datenbankrollen, die Sie erstellen können.
Feste Datenbankrollen werden auf der Datenbankebene definiert und sind in jeder Datenbank vorhanden. Mitglieder der festen Datenbankrollen db_owner und db_securityadmin können die Mitgliedschaft von festen Datenbankrollen ändern. Jedoch können nur Mitglieder der Datenbankrolle db_owner der festen Datenbankrolle db_owner Mitglieder hinzufügen. In der msdb-Datenbank gibt es auch einige feste Datenbankrollen für spezielle Zwecke.
Sie können in Rollen auf Datenbankebene jedes Datenbankkonto und andere SQL Server-Rollen hinzufügen. Jedes Mitglied einer festen Datenbankrolle kann der gleichen Rolle andere Anmeldenamen hinzufügen.
.gif "Wichtiger Hinweis") Wichtig |
|---|
Fügen Sie keine flexiblen Datenbankrollen als Mitglieder fester Rollen hinzu. Dies könnte zu einer unbeabsichtigten Ausweitung von Privilegien führen. |
In der folgenden Tabelle werden die festen Datenbankrollen und ihre Möglichkeiten aufgeführt. Diese Rollen sind in allen Datenbanken vorhanden.
Rollenname auf Datenbankebene |
Beschreibung |
|---|---|
db_owner |
Mitglieder der festen Datenbankrolle db_owner können alle Aktivitäten zur Konfiguration und Wartung an der Datenbank ausführen und können die Datenbank auch löschen. |
db_securityadmin |
Mitglieder der festen Datenbankrolle db_securityadmin können die Rollenmitgliedschaft ändern und Berechtigungen verwalten. Das Hinzufügen von Prinzipalen zu dieser Rolle könnte zu einer unbeabsichtigten Ausweitung von Privilegien führen. |
db_accessadmin |
Mitglieder der festen Datenbankrolle db_accessadmin können den Zugriff auf die Datenbank für Windows-Anmeldungen, Windows-Gruppen und SQL Server-Anmeldungen hinzufügen oder entfernen. |
db_backupoperator |
Mitglieder der festen Datenbankrolle db_backupoperator können eine Sicherung der Datenbank durchführen. |
db_ddladmin |
Mitglieder der festen Datenbankrolle db_ddladmin können in einer Datenbank sämtliche DDL-Befehle (Data Definition Language) ausführen. |
db_datawriter |
Mitglieder der festen Datenbankrolle db_datawriter können Daten in allen Benutzertabellen hinzufügen, löschen oder ändern. |
db_datareader |
Mitglieder der festen Datenbankrolle db_datareader können alle Daten aller Benutzertabellen lesen. |
db_denydatawriter |
Mitglieder der festen Datenbankrolle db_denydatareader können keine Daten in den Benutzertabellen in einer Datenbank hinzufügen, ändern oder löschen. |
db_denydatareader |
Mitglieder der festen Datenbankrolle db_denydatareader können keine Daten in den Benutzertabellen in einer Datenbank lesen. |
Spezielle Informationen zu Berechtigungen fester Datenbankrollen finden Sie unter Berechtigungen der festen Datenbankrollen (Datenbankmodul).
msdb-Rollen
Die msdb-Datenbank enthält die in der folgenden Tabelle aufgeführten Rollen für spezielle Zwecke.
Name der msdb-Rolle |
Beschreibung |
|---|---|
db_ssisadmin db_ssisoperator db_ssisltduser |
Mitglieder dieser Datenbankrollen können SSIS verwalten und verwenden. Instanzen von SQL Server, die von einer früheren Version aktualisiert wurden, enthalten möglicherweise eine ältere Version der Rolle, die mit Data Transformation Services (DTS) und nicht mit SSIS benannt wurde. Weitere Informationen finden Sie unter Verwenden von Integration Services-Rollen. |
dc_admin dc_operator dc_proxy |
Mitglieder dieser Datenbankrollen können den Datensammler verwalten und verwenden. Weitere Informationen finden Sie unter Datenauflistersicherheit. |
PolicyAdministratorRole |
Mitglieder der Datenbankrolle db_ PolicyAdministratorRole können alle Aktivitäten zur Konfiguration und Wartung für Richtlinien und Bedingungen der richtlinienbasierten Verwaltung ausführen. Weitere Informationen finden Sie unter Verwalten von Servern mit der richtlinienbasierten Verwaltung. |
ServerGroupAdministratorRole ServerGroupReaderRole |
Mitglieder dieser Datenbankrollen können registrierte Servergruppen verwalten und verwenden. Weitere Informationen finden Sie unter Erstellen von Servergruppen. |
dbm_monitor |
Wird in der msdb-Datenbank erstellt, wenn die erste Datenbank im Datenbankspiegelungs-Monitor registriert wird. Die dbm_monitor-Rolle hat keine Mitglieder, bis ein Systemadministrator der Rolle Benutzer zuweist. |
| Wichtig |
|---|
Mitglieder der db_ssisadmin-Rolle und der dc_admin-Rolle können ihre Berechtigungen möglicherweise auf sysadmin erhöhen. Diese Ausweitung von Berechtigungen ist möglich, da diese Rollen Integration Services-Pakete ändern können und Integration Services-Pakete von SQL Server mithilfe des sysadmin-Sicherheitskontexts des SQL Server-Agents ausgeführt werden können. Konfigurieren Sie als Schutz vor dieser Ausweitung von Berechtigungen beim Ausführen von Wartungsplänen, Datensammlungssätzen und anderen Integration Services-Paketen Aufträge des SQL Server-Agents, die Pakete ausführen, für die Verwendung eines Proxykontos mit einschränkten Berechtigungen, oder fügen Sie der db_ssisadmin-Rolle und der dc_admin-Rolle nur sysadmin-Mitglieder hinzu. |
Arbeiten mit Rollen auf Datenbankebene
In der folgenden Tabelle werden die Befehle, Sichten und Funktionen zum Arbeiten mit Rollen auf Datenbankebene erklärt.
Funktion |
Typ |
Beschreibung |
|---|---|---|
Metadaten |
Gibt eine Liste der festen Datenbankrollen zurück. |
|
Metadaten |
Zeigt die Berechtigungen einer festen Datenbankrolle an. |
|
Metadaten |
Gibt Informationen zu den Rollen in der aktuellen Datenbank zurück. |
|
Metadaten |
Gibt Informationen zu den Mitgliedern einer Rolle in der aktuellen Datenbank zurück. |
|
Metadaten |
Gibt eine Zeile für jedes Mitglied jeder Datenbankrolle zurück. |
|
Metadaten |
Zeigt an, ob der aktuelle Benutzer ein Mitglied der angegebenen Microsoft Windows-Gruppe oder der Microsoft SQL Server-Datenbankrolle ist. |
|
Befehl |
Erstellt eine neue Datenbankrolle in der aktuellen Datenbank. |
|
Befehl |
Ändert den Namen einer Datenbankrolle. |
|
Befehl |
Entfernt eine Rolle aus der Datenbank. |
|
Befehl |
Erstellt eine neue Datenbankrolle in der aktuellen Datenbank. |
|
Befehl |
Entfernt eine Datenbankrolle aus der aktuellen Datenbank. |
|
Befehl |
Fügt einer Datenbankrolle in der aktuellen Datenbank einen Datenbankbenutzer, eine Datenbankrolle, einen Windows-Anmeldenamen oder eine Windows-Gruppe hinzu. |
|
Befehl |
Entfernt ein Sicherheitskonto aus einer SQL Serverrolle in der aktuellen Datenbank. |
Datenbankrolle public
Jeder Datenbankbenutzer gehört der Datenbankrolle public an. Wenn einem Benutzer keine bestimmten Berechtigungen für ein sicherungsfähiges Objekt erteilt oder verweigert werden, erbt der Benutzer die Berechtigungen, die der Datenbankrolle public für dieses Objekt erteilt wurden.