Funciones en el nivel de base de datos
Para administrar con facilidad los permisos en las bases de datos, SQL Server proporciona varias funciones, que son las entidades de seguridad que agrupan a otras entidades de seguridad. Son como los grupos del sistema operativo Microsoft Windows. Las funciones del nivel de base de datos se aplican a toda la base de datos en lo que respecta a su ámbito de permisos.
Existen dos tipos de funciones de nivel de base de datos en SQL Server: las funciones fijas de base de datos, que están predefinidas en la base de datos, y las funciones flexibles de base de datos, que pueden crearse.
Las funciones de base de datos fijas se definen en el nivel de base de datos y existen en cada una de ellas. Los miembros de las funciones de base de datos db_owner y db_securityadmin pueden administrar los miembros de las funciones de base de datos fijas. Sin embargo, sólo los miembros de la función de base de datos db_owner pueden agregar miembros a la función de base de datos fija db_owner. Hay también algunas funciones fijas de base de datos con fines especiales en la base de datos msdb.
Puede agregar cualquier cuenta de la base de datos y otras funciones de SQL Server a las funciones del nivel de base de datos. Cada miembro de una función de base de datos fija puede agregar otros inicios de sesión a esa misma función.
.gif "Nota importante") Importante |
|---|
No agregue funciones flexibles de la base de datos como miembros de funciones fijas. Esto podría habilitar un aumento de privilegios no deseado. |
En la tabla siguiente se muestran las funciones fijas del nivel de base de datos y sus capacidades. Estas funciones existen en todas las bases de datos.
Nombre de función de nivel de base de datos |
Descripción |
|---|---|
db_owner |
Los miembros de la función de base de datos fija db_owner pueden realizar todas las actividades de configuración y mantenimiento en la base de datos y también pueden quitar la base de datos. |
db_securityadmin |
Los miembros de la función de base de datos fija db_securityadmin pueden modificar la pertenencia a funciones y administrar permisos. Si se agregan entidades de seguridad a esta función, podría habilitarse un aumento de privilegios no deseado. |
db_accessadmin |
Los miembros de la función de base de datos fija db_accessadmin pueden agregar o quitar el acceso a la base de datos para inicios de sesión de Windows, grupos de Windows e inicios de sesión de SQL Server. |
db_backupoperator |
Los miembros de la función de base de datos fija db_backupoperator pueden crear copias de seguridad de la base de datos. |
db_ddladmin |
Los miembros de la función de base de datos fija db_ddladmin pueden ejecutar cualquier comando del lenguaje de definición de datos (DDL) en una base de datos. |
db_datawriter |
Los miembros de la función de base de datos fija db_datawriter pueden agregar, eliminar o cambiar datos en todas las tablas de usuario. |
db_datareader |
Los miembros de la función de base de datos fija db_datareader pueden leer todos los datos de todas las tablas de usuario. |
db_denydatawriter |
Los miembros de la función de base de datos fija db_denydatawriter no pueden agregar, modificar ni eliminar datos de tablas de usuario de una base de datos. |
db_denydatareader |
Los miembros de la función de base de datos fija db_denydatareader no pueden leer datos de las tablas de usuario dentro de una base de datos. |
Para obtener información específica sobre los permisos de las funciones de base de datos fijas, vea Permisos de las funciones de base de datos fijas (motor de base de datos).
Funciones de msdb
La base de datos msdb contiene las funciones con fines especiales que se muestran en la tabla siguiente.
Nombre de función de msdb |
Descripción |
|---|---|
db_ssisadmin db_ssisoperator db_ssisltduser |
Los miembros de estas funciones de base de datos pueden administrar y utilizar SSIS. Las instancias de SQL Server que se actualizan desde una versión anterior podrían contener una versión anterior de la función cuya denominación se realizaba utilizando Servicios de transformación de datos (DTS) en lugar de SSIS. Para obtener más información, vea Usar funciones de Integration Services. |
dc_admin dc_operator dc_proxy |
Los miembros de estas funciones de base de datos pueden administrar y utilizar el recopilador de datos. Para obtener más información, vea Seguridad del recolección de datos. |
PolicyAdministratorRole |
Los miembros de la función de base de datos db_PolicyAdministratorRole pueden realizar todas las actividades de mantenimiento y configuración en las condiciones y directivas de Administración basada en directiva. Para obtener más información, vea Administrar servidores mediante administración basada en directivas. |
ServerGroupAdministratorRole ServerGroupReaderRole |
Los miembros de estas funciones de la base de datos pueden administrar y utilizar grupos de servidores registrados. Para obtener más información, vea Crear grupos de servidores. |
| Importante |
|---|
Los miembros de la función db_ssisadmin y de la función dc_admin quizá puedan elevar sus privilegios a sysadmin. Esta elevación de privilegio se puede producir porque estas funciones pueden modificar los paquetes de Integration Services y SQL Server puede ejecutar estos paquetes utilizando el contexto de seguridad de sysadmin del Agente SQL Server. Para protegerse contra esta elevación de privilegio al ejecutar planes de mantenimiento, conjuntos de recopilación de datos y otros paquetes de Integration Services, configure los trabajos del Agente SQL Server que ejecutan paquetes para utilizar una cuenta de proxy con privilegios limitados o agregar sólo los miembros de sysadmin a las funciones dc_admin y db_ssisadmin. |
Trabajar con funciones del nivel de base de datos
En la tabla siguiente se explican los comandos, las vistas y las funciones que se utilizan para trabajar con funciones del nivel de base de datos.
Característica |
Tipo |
Descripción |
|---|---|---|
Metadatos |
Devuelve la lista de las funciones de base de datos fijas. |
|
Metadatos |
Muestra los permisos de una función de base de datos fija. |
|
Metadatos |
Devuelve información acerca de las funciones de la base de datos actual. |
|
Metadatos |
Devuelve información acerca de los miembros de una función de base de datos actual. |
|
Metadatos |
Devuelve una fila por cada miembro de cada función de base de datos. |
|
Metadatos |
Indica si el usuario actual es miembro del grupo de Microsoft Windows o de la función de base de datos de SQL Server especificados. |
|
Comando |
Crea una nueva función de base de datos en la base de datos actual. |
|
Comando |
Cambia el nombre de una función de base de datos. |
|
Comando |
Quita una función de base de datos. |
|
Comando |
Crea una nueva función de base de datos en la base de datos actual. |
|
Comando |
Quita una función de base de datos de la base de datos actual. |
|
Comando |
Agrega un usuario de base de datos, una función de base de datos, un inicio de sesión de Windows o un grupo de Windows a una función de base de datos en la base de datos actual. |
|
Comando |
Quita una cuenta de seguridad de una función de SQL Server de la base de datos actual. |
Función pública de la base de datos
Todos los usuarios de una base de datos pertenecen a la función pública de la base de datos. Cuando a un usuario no se le han concedido ni denegado permisos específicos para un objeto que puede protegerse, el usuario hereda los permisos concedidos a la función pública para ese objeto.