SQL Server: cách tránh quyền sysadmin nhưng cung cấp quyền đầy đủ

Tôi có một đồng nghiệp muốn có quyền truy cập vào một phiên bản SQL Server 2008. Tôi sẽ phải cho anh ta quyền đối với trường hợp này. Anh ta nên có quyền làm là vd

Thêm và sửa đổi thông tin đăng nhập máy chủ
Thêm và sửa đổi các gói bảo trì (ví dụ: tạo bản sao lưu từ cơ sở dữ liệu)
Lịch trình công việc đại lý

Tôi không muốn cho anh ta quyền sysadmin, nên trao những quyền gì?

sql-server security

— jrara
nguồn

Câu trả lời:

Đối với thông tin đăng nhập máy chủ, bạn có thể cấp "securityadmin" . Cách "mới hơn" là chạy

GRANT ALTER ANY LOGIN TO AColleague

Chỉnh sửa: Securityadmin cho phép ai đó tự khởi động để sysadmin. Không tốt. Không biết cách khắc phục điều này ở cấp máy chủ

Đối với công việc, hãy xem "Vai trò cơ sở dữ liệu cố định của tác nhân máy chủ SQL"

Đối với các kế hoạch bảo trì, có vẻ như chỉ "sysadmin"

— gbn
nguồn

Cảm ơn, nó nói trong BOL: msdn.microsoft.com/en-us/l Library / ms188659.aspx? Ppud = 4 rằng securityadmin nên được coi là vai trò máy chủ sysadmin. Có cách nào để thu hẹp quyền Securityadmin để đăng nhập không? Hay rằng "GRANT ALTER ANY LOGIN to AColleagu" sẽ làm điều đó?

— jrara

@jrara: securityadmin là đủ hoặc GRANT

— gbn

Nó nên được coi là sysadmin vì việc trao quyền securityadmin cho phép người dùng cấp quyền cho vai trò sysadmin của mình.

@jrara: trong trường hợp đó, bạn không thể sử dụng securityadmin. Trong các vai trò %%, hiệu trưởng và quyền được phân tách. Thông thường không cấp bất kỳ vai trò máy chủ nào ngoại trừ có thể là massadmin

— gbn

Chỉ cần bạn có một cái gì đó để mong đợi, trong SQL Server Denali, điều này sẽ còn linh hoạt hơn nữa. Thay vì cấp từng quyền một, bạn sẽ có thể xác định vai trò máy chủ tùy chỉnh , gán tất cả các quyền đó cho vai trò, sau đó thêm thành viên vào vai trò. Một số người đã viết về nó:

http://www.sqlsoldier.com/wp/sqlserver/customserverrolesindenali

http: //www.stẳngpathsql.com/archives/2010/11/create-your-own-sql-server-server-roles/

— Aaron Bertrand
nguồn