- 05/24/2017
- 4 minutes to read
-
-
V -
w -
M -
j -
D -
+8
-
SOVELLETTAA: 
SQL Server 
Azure SQL Database Azure Synapse Analytics Parallel Data Warehouse
SQL Server tarjoaa palvelintason rooleja, joiden avulla voit hallita palvelimen käyttöoikeuksia. Nämä roolit ovat turvallisuuspäämääriä, jotka ryhmittelevät muita päämääriä. Palvelintason roolit ovat käyttöoikeuksien laajuudeltaan koko palvelimen laajuisia. (Roolit ovat kuin Windows-käyttöjärjestelmän ryhmät.)
Kiinteät palvelinroolit tarjotaan mukavuuden ja taaksepäin yhteensopivuuden vuoksi. Määritä tarkempia oikeuksia aina kun mahdollista.
SQL Server tarjoaa yhdeksän kiinteää palvelinroolia. Kiinteille palvelinrooleille (paitsi julkisille) myönnettyjä oikeuksia ei voi muuttaa. SQL Server 2012:sta (11.x) alkaen voit luoda käyttäjämääriteltyjä palvelinrooleja ja lisätä palvelintason oikeuksia käyttäjämääriteltyihin palvelinrooleihin.
Palvelintason rooleihin voi lisätä palvelintason pääkäyttäjiä (SQL Serverin kirjautumiset, Windows-tilit ja Windows-ryhmät). Jokainen kiinteän palvelinroolin jäsen voi lisätä muita kirjautumisia samaan rooliin. Käyttäjän määrittelemien palvelinroolien jäsenet eivät voi lisätä muita palvelimen pääkäyttäjiä rooliin.
Huomautus
Palvelintason käyttöoikeudet eivät ole käytettävissä SQL-tietokannassa tai Azure Synapse Analyticsissa. Lisätietoja SQL-tietokannasta on kohdassa Tietokantaoikeuksien hallinta ja myöntäminen.
Kiinteät palvelintason roolit
Seuraavassa taulukossa esitetään kiinteät palvelintason roolit ja niiden ominaisuudet.
| Kiinteä palvelintason rooli | Kuvaus |
|---|---|
| sysadmin | Kiinteän palvelinroolin sysadmin jäsenet voivat suorittaa mitä tahansa toimintaa palvelimessa. |
| serveradmin | Kiinteän serveradmin-palvelinroolin jäsenet voivat muuttaa koko palvelimen laajuisia konfiguraatioasetuksia ja sammuttaa palvelimen. |
| securityadmin | Kiinteän securityadmin-palvelinroolin jäsenet voivat hallita kirjautumisia ja niiden ominaisuuksia. He voivat GRANT, DENY ja REVOKE palvelintason oikeuksia. He voivat myös GRANT, DENY ja REVOKE tietokantatason oikeuksia, jos heillä on pääsy tietokantaan. Lisäksi he voivat nollata SQL Server -kirjautumisten salasanat.TÄRKEÄÄ: Kyky myöntää käyttöoikeuksia tietokantamoottoriin ja määrittää käyttäjäoikeuksia antaa tietoturvan ylläpitäjälle mahdollisuuden määrittää useimmat palvelinoikeudet. Securityadmin-roolia tulisi käsitellä sysadmin-roolia vastaavana. |
| processadmin | Kiinteän palvelimen processadmin-roolin jäsenet voivat lopettaa SQL Server -instanssissa käynnissä olevia prosesseja. |
| setupadmin | Kiinteän palvelimen setupadmin-roolin jäsenet voivat lisätä ja poistaa linkitettyjä palvelimia Transact-SQL-lausekkeita käyttämällä. (Management Studiota käytettäessä tarvitaan sysadmin-jäsenyys.) |
| bulkadmin | Kiinteän palvelinroolin bulkadmin jäsenet voivat käyttää BULK INSERT-lauseketta. |
| diskadmin | Kiinteän palvelinroolin diskadmin avulla hallitaan levytiedostoja. |
| dbcreator | Kiinteän palvelinroolin dbcreator jäsenet voivat luoda, muuttaa, poistaa ja palauttaa minkä tahansa tietokannan. |
| public | Jokainen SQL Server -kirjautuminen kuuluu palvelinrooliin public. Kun palvelimen pääkäyttäjälle ei ole myönnetty tai evätty tiettyjä oikeuksia suojattavaan kohteeseen, käyttäjä perii publicille myönnetyt oikeudet kyseiseen kohteeseen. Määritä julkiset käyttöoikeudet mihin tahansa kohteeseen vain silloin, kun haluat kohteen olevan kaikkien käyttäjien käytettävissä. Et voi muuttaa publicin jäsenyyttä. Huomaa: public on toteutettu eri tavalla kuin muut roolit, ja käyttöoikeudet voidaan myöntää, evätä tai peruuttaa julkisista kiinteistä palvelinrooleista. |
Tärkeää
Suurinta osaa seuraavien palvelinroolien tarjoamista oikeuksista ei voi käyttää Synapse SQL:ssä: processadmin, serveradmin, setupadmin ja diskadmin.
Kiinteän palvelinroolin oikeudet
Jokaiseen kiinteään palvelinrooliin on määritetty tietyt oikeudet. Seuraavassa kuvassa näkyvät palvelinrooleille määritetyt oikeudet.
Tärkeää
VALVONTAPALVELIN-oikeus on samankaltainen mutta ei identtinen kiinteän palvelinroolin sysadmin kanssa. Oikeudet eivät edellytä roolijäsenyyksiä eivätkä roolijäsenyydet anna oikeuksia. (Esim. CONTROL SERVER ei edellytä jäsenyyttä sysadmin fixed server -roolissa). Joskus on kuitenkin mahdollista esiintyä roolien ja vastaavien oikeuksien välillä. Useimmat DBCC-komennot ja monet järjestelmäproseduurit edellyttävät jäsenyyttä sysadmin fixed server -roolissa. Luettelo 171 järjestelmään tallennetusta proseduurista, jotka edellyttävät sysadmin-jäsenyyttä, on seuraavassa Andreas Wolterin blogikirjoituksessa CONTROL SERVER vs. sysadmin/sa: käyttöoikeudet, järjestelmäproseduurit, DBCC, automaattinen skeeman luominen ja oikeuksien eskalointi – varoituksia.
Palvelintason käyttöoikeudet
Käyttäjän määrittelemiin palvelinrooleihin voidaan lisätä vain palvelintason käyttöoikeuksia. Voit luetella palvelintason käyttöoikeudet suorittamalla seuraavan lausekkeen. Palvelintason käyttöoikeudet ovat:
SELECT * FROM sys.fn_builtin_permissions('SERVER') ORDER BY permission_name; Lisätietoja käyttöoikeuksista on kohdissa Käyttöoikeudet (tietokantamoottori) ja sys.fn_builtin_permissions (Transact-SQL).
Työskentely palvelintason rooleilla
Seuraavassa taulukossa selitetään komennot, näkymät ja toiminnot, joiden avulla voit työskennellä palvelintason rooleilla.
| Ominaisuus | Tyyppi | Kuvaus | |
|---|---|---|---|
| sp_helpsrvrole (Transact-SQL) | Metatiedot | Palauttaa luettelon palvelintason rooleista. | |
| sp_helpsrvrolemember (Transact-SQL) | Metadata | Palauttaa tietoja palvelintason roolin jäsenistä. | |
| sp_srvrolepermission (Transact-SQL) | Metatiedot | Näyttää palvelintason roolin oikeudet. | |
| IS_SRVROLEMEMBER (Transact-SQL) | Metatiedot | Merkitsee, onko SQL Server -kirjautuminen määritetyn palvelintason roolin jäsen. | |
| sys.server_role_members (Transact-SQL) | Metatiedot | Palauttaa yhden rivin kustakin palvelintason roolin jäsenestä. | |
| sp_addsrvrolemember (Transact-SQL) | Komento | Lisää käyttäjätunnuksen palvelintason roolin jäseneksi. Poistettu käytöstä. Käytä sen sijaan ALTER SERVER ROLE. | |
| sp_dropsrvrolemember (Transact-SQL) | Command | Poistaa SQL Server -tunnuksen tai Windows-käyttäjän tai -ryhmän palvelintason roolista. Poistettu käytöstä. Käytä sen sijaan ALTER SERVER ROLE. | |
| CREATE SERVER ROLE (Transact-SQL) | Command | Luo käyttäjän määrittämän palvelinroolin. | |
| ALTER SERVER ROLE (Transact-SQL) | Komento | Muuttaa palvelinroolin jäsenyyden tai muuttaa käyttäjän määrittelemän palvelinroolin nimeä. | |
| DROP SERVER ROLE (Transact-SQL) | Komento | Käsky | Poistaa käyttäjän määrittelemän palvelinroolin. |
| IS_SRVROLEMEMBER (Transact-SQL) | Function | Määrittää palvelinroolin jäsenyyden. |
Katso myös
Tietokantatason roolit
Turvaluettelonäkymät (Transact-SQL)
Turvaluettelon toiminnot (Transact-SQL)
Turvatoiminnot (Transact-SQL)
Securencing SQL Server
GRANT Palvelimen pääkäyttäjän oikeudet (Transact-SQL)
REVOKE Palvelimen pääkäyttäjän oikeudet (Transact-SQL)
DENY Palvelimen pääkäyttäjän oikeudet (Transact-SQL)
Luo palvelinrooli
.