SQL Server: cara menghindari hak sysadmin tetapi memberikan hak yang memadai

9

Saya memiliki kolega yang ingin mendapatkan akses ke satu contoh SQL Server 2008. Saya harus memberinya hak untuk hal ini. Ia harus memiliki hak untuk melakukan mis

  • Tambahkan dan ubah login server
  • Tambah dan modifikasi rencana pemeliharaan (mis. Buat cadangan dari basis data)
  • Jadwalkan pekerjaan Agen

Saya tidak ingin memberinya hak sysadmin, hak apa yang harus diberikan?

sql-server security jrara
sumber

Jawaban:

10

Untuk login server, Anda dapat memberikan "securityadmin" . Cara "baru" adalah menjalankan

GRANT ALTER ANY LOGIN TO AColleague

Sunting: Securityadmin memungkinkan seseorang untuk bootstrap sendiri ke sysadmin. Tidak baik. Tidak tahu bagaimana cara mengatasinya di tingkat server

Untuk pekerjaan, lihat "Peran Database Tetap Agen SQL Server"

Untuk rencana perawatan, sepertinya "sysadmin" saja

gbn
sumber
Terima kasih, katanya di BOL: msdn.microsoft.com/en-us/library/ms188659.aspx?ppud=4 bahwa securityadmin harus diperlakukan sebagai peran server sysadmin. Apakah ada cara untuk mempersempit hak keamanan minimum untuk login? Atau apakah "GRANT ALTER ANY LOGIN to AColleagu" akan melakukannya?
jrara
@jrara: securityadmin sudah cukup atau GRANT
gbn
2
Ini harus diperlakukan sebagai sysadmin karena memberikan hak securityadmin memungkinkan pengguna untuk memberikan dirinya sendiri izin peran sysadmin.
@jrara: dalam hal ini, Anda tidak dapat menggunakan securityadmin. Dalam peran db%, kepala sekolah dan izin dipisahkan. Biasanya tidak memberikan peran server apa pun kecuali mungkin bulkadmin
gbn
5

Supaya Anda memiliki sesuatu untuk dinanti-nantikan, dalam SQL Server Denali ini akan menjadi lebih fleksibel. Alih-alih memberikan hak individu satu per satu, Anda akan dapat menentukan peran server khusus , menetapkan semua izin itu ke peran tersebut, lalu menambahkan anggota ke peran tersebut. Beberapa orang telah membuat blog tentang hal itu:

http://www.sqlsoldier.com/wp/sqlserver/customserverrolesindenali

http://www.st Straightpathsql.com/archives/2010/11/create-your-own-sql-server-server-roles/

Aaron Bertrand
sumber