• 05/24/2017
  • 4 minutes to read
    • V
    • w
    • M
    • j
    • D
    • +8

SOVELLETTAA: SQL Server Azure SQL Database Azure Synapse Analytics Parallel Data Warehouse

SQL Server tarjoaa palvelintason rooleja, joiden avulla voit hallita palvelimen käyttöoikeuksia. Nämä roolit ovat turvallisuuspäämääriä, jotka ryhmittelevät muita päämääriä. Palvelintason roolit ovat käyttöoikeuksien laajuudeltaan koko palvelimen laajuisia. (Roolit ovat kuin Windows-käyttöjärjestelmän ryhmät.)

Kiinteät palvelinroolit tarjotaan mukavuuden ja taaksepäin yhteensopivuuden vuoksi. Määritä tarkempia oikeuksia aina kun mahdollista.

SQL Server tarjoaa yhdeksän kiinteää palvelinroolia. Kiinteille palvelinrooleille (paitsi julkisille) myönnettyjä oikeuksia ei voi muuttaa. SQL Server 2012:sta (11.x) alkaen voit luoda käyttäjämääriteltyjä palvelinrooleja ja lisätä palvelintason oikeuksia käyttäjämääriteltyihin palvelinrooleihin.

Palvelintason rooleihin voi lisätä palvelintason pääkäyttäjiä (SQL Serverin kirjautumiset, Windows-tilit ja Windows-ryhmät). Jokainen kiinteän palvelinroolin jäsen voi lisätä muita kirjautumisia samaan rooliin. Käyttäjän määrittelemien palvelinroolien jäsenet eivät voi lisätä muita palvelimen pääkäyttäjiä rooliin.

Huomautus

Palvelintason käyttöoikeudet eivät ole käytettävissä SQL-tietokannassa tai Azure Synapse Analyticsissa. Lisätietoja SQL-tietokannasta on kohdassa Tietokantaoikeuksien hallinta ja myöntäminen.

Kiinteät palvelintason roolit

Seuraavassa taulukossa esitetään kiinteät palvelintason roolit ja niiden ominaisuudet.

Kiinteä palvelintason rooli Kuvaus
sysadmin Kiinteän palvelinroolin sysadmin jäsenet voivat suorittaa mitä tahansa toimintaa palvelimessa.
serveradmin Kiinteän serveradmin-palvelinroolin jäsenet voivat muuttaa koko palvelimen laajuisia konfiguraatioasetuksia ja sammuttaa palvelimen.
securityadmin Kiinteän securityadmin-palvelinroolin jäsenet voivat hallita kirjautumisia ja niiden ominaisuuksia. He voivat GRANT, DENY ja REVOKE palvelintason oikeuksia. He voivat myös GRANT, DENY ja REVOKE tietokantatason oikeuksia, jos heillä on pääsy tietokantaan. Lisäksi he voivat nollata SQL Server -kirjautumisten salasanat.
TÄRKEÄÄ: Kyky myöntää käyttöoikeuksia tietokantamoottoriin ja määrittää käyttäjäoikeuksia antaa tietoturvan ylläpitäjälle mahdollisuuden määrittää useimmat palvelinoikeudet. Securityadmin-roolia tulisi käsitellä sysadmin-roolia vastaavana.
processadmin Kiinteän palvelimen processadmin-roolin jäsenet voivat lopettaa SQL Server -instanssissa käynnissä olevia prosesseja.
setupadmin Kiinteän palvelimen setupadmin-roolin jäsenet voivat lisätä ja poistaa linkitettyjä palvelimia Transact-SQL-lausekkeita käyttämällä. (Management Studiota käytettäessä tarvitaan sysadmin-jäsenyys.)
bulkadmin Kiinteän palvelinroolin bulkadmin jäsenet voivat käyttää BULK INSERT-lauseketta.
diskadmin Kiinteän palvelinroolin diskadmin avulla hallitaan levytiedostoja.
dbcreator Kiinteän palvelinroolin dbcreator jäsenet voivat luoda, muuttaa, poistaa ja palauttaa minkä tahansa tietokannan.
public Jokainen SQL Server -kirjautuminen kuuluu palvelinrooliin public. Kun palvelimen pääkäyttäjälle ei ole myönnetty tai evätty tiettyjä oikeuksia suojattavaan kohteeseen, käyttäjä perii publicille myönnetyt oikeudet kyseiseen kohteeseen. Määritä julkiset käyttöoikeudet mihin tahansa kohteeseen vain silloin, kun haluat kohteen olevan kaikkien käyttäjien käytettävissä. Et voi muuttaa publicin jäsenyyttä.
Huomaa: public on toteutettu eri tavalla kuin muut roolit, ja käyttöoikeudet voidaan myöntää, evätä tai peruuttaa julkisista kiinteistä palvelinrooleista.

Tärkeää

Suurinta osaa seuraavien palvelinroolien tarjoamista oikeuksista ei voi käyttää Synapse SQL:ssä: processadmin, serveradmin, setupadmin ja diskadmin.

Kiinteän palvelinroolin oikeudet

Jokaiseen kiinteään palvelinrooliin on määritetty tietyt oikeudet. Seuraavassa kuvassa näkyvät palvelinrooleille määritetyt oikeudet.

Tärkeää

VALVONTAPALVELIN-oikeus on samankaltainen mutta ei identtinen kiinteän palvelinroolin sysadmin kanssa. Oikeudet eivät edellytä roolijäsenyyksiä eivätkä roolijäsenyydet anna oikeuksia. (Esim. CONTROL SERVER ei edellytä jäsenyyttä sysadmin fixed server -roolissa). Joskus on kuitenkin mahdollista esiintyä roolien ja vastaavien oikeuksien välillä. Useimmat DBCC-komennot ja monet järjestelmäproseduurit edellyttävät jäsenyyttä sysadmin fixed server -roolissa. Luettelo 171 järjestelmään tallennetusta proseduurista, jotka edellyttävät sysadmin-jäsenyyttä, on seuraavassa Andreas Wolterin blogikirjoituksessa CONTROL SERVER vs. sysadmin/sa: käyttöoikeudet, järjestelmäproseduurit, DBCC, automaattinen skeeman luominen ja oikeuksien eskalointi – varoituksia.

Palvelintason käyttöoikeudet

Käyttäjän määrittelemiin palvelinrooleihin voidaan lisätä vain palvelintason käyttöoikeuksia. Voit luetella palvelintason käyttöoikeudet suorittamalla seuraavan lausekkeen. Palvelintason käyttöoikeudet ovat:

SELECT * FROM sys.fn_builtin_permissions('SERVER') ORDER BY permission_name; 

Lisätietoja käyttöoikeuksista on kohdissa Käyttöoikeudet (tietokantamoottori) ja sys.fn_builtin_permissions (Transact-SQL).

Työskentely palvelintason rooleilla

Seuraavassa taulukossa selitetään komennot, näkymät ja toiminnot, joiden avulla voit työskennellä palvelintason rooleilla.

Ominaisuus Tyyppi Kuvaus
sp_helpsrvrole (Transact-SQL) Metatiedot Palauttaa luettelon palvelintason rooleista.
sp_helpsrvrolemember (Transact-SQL) Metadata Palauttaa tietoja palvelintason roolin jäsenistä.
sp_srvrolepermission (Transact-SQL) Metatiedot Näyttää palvelintason roolin oikeudet.
IS_SRVROLEMEMBER (Transact-SQL) Metatiedot Merkitsee, onko SQL Server -kirjautuminen määritetyn palvelintason roolin jäsen.
sys.server_role_members (Transact-SQL) Metatiedot Palauttaa yhden rivin kustakin palvelintason roolin jäsenestä.
sp_addsrvrolemember (Transact-SQL) Komento Lisää käyttäjätunnuksen palvelintason roolin jäseneksi. Poistettu käytöstä. Käytä sen sijaan ALTER SERVER ROLE.
sp_dropsrvrolemember (Transact-SQL) Command Poistaa SQL Server -tunnuksen tai Windows-käyttäjän tai -ryhmän palvelintason roolista. Poistettu käytöstä. Käytä sen sijaan ALTER SERVER ROLE.
CREATE SERVER ROLE (Transact-SQL) Command Luo käyttäjän määrittämän palvelinroolin.
ALTER SERVER ROLE (Transact-SQL) Komento Muuttaa palvelinroolin jäsenyyden tai muuttaa käyttäjän määrittelemän palvelinroolin nimeä.
DROP SERVER ROLE (Transact-SQL) Komento Käsky Poistaa käyttäjän määrittelemän palvelinroolin.
IS_SRVROLEMEMBER (Transact-SQL) Function Määrittää palvelinroolin jäsenyyden.

Katso myös

Tietokantatason roolit
Turvaluettelonäkymät (Transact-SQL)
Turvaluettelon toiminnot (Transact-SQL)
Turvatoiminnot (Transact-SQL)
Securencing SQL Server
GRANT Palvelimen pääkäyttäjän oikeudet (Transact-SQL)
REVOKE Palvelimen pääkäyttäjän oikeudet (Transact-SQL)
DENY Palvelimen pääkäyttäjän oikeudet (Transact-SQL)
Luo palvelinrooli

.

Vastaa

Sähköpostiosoitettasi ei julkaista.