SQL Server: як уникнути прав sysadmin, але надати адекватні права

У мене є колега, який хоче отримати доступ до одного екземпляра SQL Server 2008. Я мушу надати йому права на цю інстанцію. Він повинен мати на це право, наприклад

Додавання та змінення входів на сервер
Додавання та зміна планів підтримки (наприклад, створення резервних копій із баз даних)
Графік роботи агента

Я не хочу надавати йому права систематизму, які права слід надати?

sql-server security

— jrara
джерело

Відповіді:

Для входу в сервер ви можете надати "securityadmin" . "Новіший" спосіб - бігати

GRANT ALTER ANY LOGIN TO AColleague

Редагувати: Securityadmin дозволяє комусь завантажуватися на sysadmin. Не добре. Не знаєте, як вирішити це на рівні сервера

Для робочих місць подивіться "Ролі бази даних з фіксованою базою даних агента SQL"

Що стосується планів технічного обслуговування, він виглядає лише як "sysadmin"

— гбн
джерело

Дякую, в BOL написано : msdn.microsoft.com/en-us/library/ms188659.aspx?ppud=4, що Securityadmin слід розглядати як роль сервера sysadmin. Чи є спосіб обмежити права адміністратора на вхід? Або зробить це те, що "ВИДАЛУЙТЕ АБО ВСІЙ ВХОД на AColleagu"?

— jrara

@jrara: достатньо безпекиadmin або ГРАНТ

— gbn

Це слід розглядати як sysadmin, оскільки надання прав на безпеку адміністратора дозволяє користувачеві надавати собі дозволу на роль сисадміна.

@jrara: у такому випадку ви не можете використовувати securityadmin. У ролях db% розділені принципи та дозволи. Зазвичай не надавати жодної ролі сервера, крім, можливо, bulkadmin

— gbn

Тільки щоб вам було з чим чекати, в SQL Server Denali це буде ще більш гнучким. Замість надання індивідуальних прав окремо, ви зможете визначити власні ролі сервера , призначити всі ці дозволи на роль, а потім додати членів до ролі. Деякі люди блогували про це:

http://www.sqlsoldier.com/wp/sqlserver/customserverrolesindenali

http://www.straightpathsql.com/archives/2010/11/create-your-own-sql-server-server-roles/

— Аарон Бертран
джерело