SQL Server:sysadmin権限を回避しながら適切な権限を与える方法


9

SQL Server 2008の1つのインスタンスにアクセスしたい同僚がいます。私は彼にこのインスタンスへの権利を与えなければならないでしょう。彼はする権利を持っている必要があります例えばです

  • サーバーログインを追加および変更する
  • メンテナンスプランの追加と変更(データベースからのバックアップの作成など)
  • エージェントジョブのスケジュール

彼にsysadmin権限を与えたくないのですが、どのような権限を与える必要がありますか?

回答:


10

サーバーログインの場合、「securityadmin」を付与できます。「新しい」方法は実行することです

GRANT ALTER ANY LOGIN TO AColleague

編集:Securityadminは、誰かが自分自身をsysadminにブートストラップできるようにします。良くない。サーバーレベルでこれを回避する方法がわからない

ジョブについては、「SQL Serverエージェントの固定データベースロール」を参照してください

メンテナンスプランの場合、「sysadmin」のみのように見えます


おかげで、BOLで次のように述べています:msdn.microsoft.com/en-us/library/ms188659.aspx?ppud=4 securityadminはsysadminサーバーロールとして扱う必要があるとしています ログインに対するsecurityadmin権限を制限する方法はありますか?それとも「GRANT ALTER ANY LOGIN to AColleagu」はそれを行いますか?
jrara

@jrara:securityadminで十分またはGRANT
gbn '25

2
securityadmin権限を付与すると、ユーザーは自分自身にsysadminロールの権限を付与できるため、sysadminとして扱う必要があります。

@jrara:この場合、securityadminを使用できません。db%ロールでは、プリンシパルと権限が分離されています。bulkadmin以外のサーバーの役割を付与しないのは通常のことです
gbn '25

5

SQL Server Denaliでは、これがさらに柔軟になります。個別の権限を1つずつ付与する代わりに、カスタムサーバーの役割を定義し、それらのすべての権限を役割に割り当ててから、メンバーを役割に追加できます。一部の人々はそれについてブログに書いています:

http://www.sqlsoldier.com/wp/sqlserver/customserverrolesindenali

http://www.straightpathsql.com/archives/2010/11/create-your-own-sql-server-server-roles/

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.