SQL Server: comment éviter les droits d'administrateur système mais donner des droits adéquats

9

J'ai un collègue qui souhaite obtenir un accès à une instance SQL Server 2008. Je vais devoir lui donner des droits sur cette instance. Il devrait avoir le droit de faire est par exemple

  • Ajouter et modifier les connexions au serveur
  • Ajouter et modifier des plans de maintenance (par exemple créer des sauvegardes à partir des bases de données)
  • Planifier des tâches d'agent

Je ne veux pas lui donner de droits d'administrateur système, quels droits devraient être accordés?

sql-server security jrara
la source

Réponses:

10

Pour les connexions au serveur, vous pouvez accorder "securityadmin" . La façon "plus récente" est d'exécuter

GRANT ALTER ANY LOGIN TO AColleague

Edit: Securityadmin permet à quelqu'un de se bootstrap à sysadmin. Pas bon. Je ne sais pas comment contourner cela au niveau du serveur

Pour les travaux, consultez les «Rôles de base de données fixes de l'Agent SQL Server»

Pour les plans de maintenance, il ressemble à "sysadmin" uniquement

gbn
la source
Merci, il est indiqué dans BOL: msdn.microsoft.com/en-us/library/ms188659.aspx?ppud=4 que securityadmin doit être traité comme un rôle de serveur sysadmin. Existe-t-il un moyen de restreindre les droits d'administrateur de sécurité aux connexions? Ou est-ce que "GRANT ALTER ANY LOGIN to AColleagu" fera cela?
jrara
@jrara: securityadmin suffit ou le GRANT
gbn
2
Il doit être traité comme sysadmin, car l'octroi de droits securityadmin permet à l'utilisateur de s'octroyer des autorisations de rôle sysadmin.
@jrara: dans ce cas, vous ne pouvez pas utiliser securityadmin. Dans les rôles db%, les principaux et les autorisations sont séparés. Il est d' habitude de ne pas accorder de rôles de serveur , sauf peut - être bulkadmin
GBN
5

Pour que vous ayez quelque chose à espérer, dans SQL Server Denali, cela sera encore plus flexible. Au lieu d'accorder des droits individuels un par un, vous pourrez définir des rôles de serveur personnalisés , attribuer toutes ces autorisations au rôle, puis ajouter des membres au rôle. Certaines personnes ont blogué à ce sujet:

http://www.sqlsoldier.com/wp/sqlserver/customserverrolesindenali

http://www.straightpathsql.com/archives/2010/11/create-your-own-sql-server-server-roles/

Aaron Bertrand
la source