服务器级别角色 .pdf - 墨天轮文档

服务器级别角色 .pdf

Ty3306

9页

2次

2023-12-22

免费下载

服务器级别⾓⾊  
项⽬
2023/10/07
18 个参与者
反馈
本文内容 服务器级别的固定⾓⾊ 请参阅 SQL Server 2022 中引入的固定服务器级⾓⾊。 固定服务
器⾓⾊的权限 服务器级别权限 显⽰另外 2 个
适⽤于： SQL Server Azure SQL 托管实例 Analytics Platform System (PDW)
SQL Server提供服务器级⾓⾊来帮助管理服务器上的权限。 这些⾓⾊是可组合其他主体的安全主
体。 服务器级⾓⾊的权限作⽤域为服务器范围。 （“⾓⾊”类似于 Windows 操作系统中的
“组”。）
SQL Server 2019 和早期版本提供了 9 个固定服务器⾓⾊。 ⽆法更改授予固定服务器⾓⾊（public 
⾓⾊除外）的权限。 从 SQL Server 2012 (11.x) 开始，你可以创建⽤户定义的服务器⾓⾊，并将服
务器级权限添加到⽤户定义的服务器⾓⾊。 SQL Server 2022 (16.x) 附带 10 个额外的服务器⾓
⾊，这些⾓⾊专⽤于 最低特权原则 ，具有前缀  ##MS_  和后缀  ## ，以便将它们与其他常规⽤户
创建的主体和⾃定义服务器⾓⾊区分开来。 这些新⾓⾊包含应⽤于服务器范围的特权，但也可以
继承到单个数据库（##MS_LoginManager## 服务器⾓⾊除外）。
与本地 SQL Server ⼀样，服务器权限也是分层组织的。 这些服务器级⾓⾊拥有的权限可以传播
到数据库权限。 若要使权限在数据库级别有效地发挥作⽤，登录需要是服务器级别⾓⾊ 
##MS_DatabaseConnector##（最低版本为 SQL Server 2022 (16.x) 预览版））（该⾓⾊授予对所有
数据库的“连接”权限）的成员，或在各个数据库中拥有⽤户帐户。 这也适⽤于  master  数据
库。 请考虑以下⽰例：服务器级别⾓⾊ ##MS_ServerStateReader## 具有“查看服务器状态”权限。 
此⾓⾊成员的登录名在数据库中具有⽤户帐户、 master  以及  WideWorldImporters 。 此⽤户
还将具有权限，即通过继承在这两个数据库中“查看数据库状态”。
可以将服务器级别主体（SQL Server 登录名、Windows 帐户和 Windows 组）添加到服务器级别⾓
⾊。 固定服务器⾓⾊的每个成员都可以将其他登录名添加到该同⼀⾓⾊。 ⽤户定义的服务器⾓
⾊的成员则⽆法将其他服务器主体添加到⾓⾊。

服务器级别的固定⾓⾊  
 备注
在 SQL Server 2022 (16.x) 之前的版本中引入的这些服务器级⾓⾊在 Azure SQL 数据库或 Azure 
Synapse Analytics 中不可⽤。 有⼀些特殊的 ⽤于权限管理的 Azure SQL 数据库服务器⾓⾊ ，这些
⾓⾊等效于 SQL Server 2022 (16.x) 中引入的服务器级⾓⾊。 有关 SQL 数据库的详细信息，请参
阅 控制和授予数据库访问权限 。
下表显⽰了服务器级的固定⾓⾊及其权限。

服务器级的固

定⾓⾊

说明

sysadmin sysadmin 固定服务器⾓⾊的成员可以在服务器上执⾏任何活动。

serveradmin

serveradmin 固定服务器⾓⾊的成员可以更改服务器范围的配置选项和关

闭服务器。

securityadmin

securityadmin 固定服务器⾓⾊的成员可以管理登录名及其属性。他们可

以 GRANT 、 DENY 和 REVOKE 服务器级权限。他们还可以 GRANT 、

DENY 和 REVOKE 数据库级权限（如果他们具有数据库的访问权限）。

此外，他们还可以重置 SQL Server 登录名的密码。重要提⽰：授予数据

库引擎的访问权限和配置⽤户权限的能⼒使得安全管理员可以分配⼤多数

服务器权限。 securityadmin ⾓⾊应视为与 sysadmin ⾓⾊等效。或者，

从 SQL Server 2022 (16.x) 开始，请考虑使⽤新的固定服务器⾓⾊

##MS_LoginManager##。

processadmin

processadmin 固定服务器⾓⾊的成员可以终⽌在 SQL Server 实例中运⾏

的进程。

setupadmin

setupadmin 固定服务器⾓⾊的成员可以使⽤ Transact-SQL 语句添加和删

除链接服务器。（使⽤ Management Studio 时需要 sysadmin 成员资

格。）

bulkadmin

bulkadmin 固定服务器⾓⾊的成员可以运⾏ BULK INSERT 语句。 Linux

上的 SQL Server 不⽀持 bulkadmin ⾓⾊或 ADMINISTER BULK OPERATIONS

权限。只有 sysadmin 才能对 Linux 上的 SQL Server 执⾏批量插入。

diskadmin diskadmin 固定服务器⾓⾊⽤于管理磁盘文件。

dbcreator

dbcreator 固定服务器⾓⾊的成员可以创建、更改、删除和还原任何数据

库。

公共

每个 SQL Server 登录名都属于 public 服务器⾓⾊。如果未向某个服务器

主体授予或拒绝对某个安全对象的特定权限，⽤户将继承向 public ⾓⾊授

予的对该对象的权限。只有在希望所有⽤户都能使⽤对象时，才在对象

上分配 Public 权限。你⽆法更改具有 Public ⾓⾊的成员⾝份。注意：

public 与其他⾓⾊的实现⽅式不同，可通过 public 固定服务器⾓⾊授予、

拒绝或调⽤权限。

展开表

重要

以下服务器⾓⾊提供的⼤多数权限都不适⽤于 Azure Synapse Analytics：processadmin、

serveradmin、setupadmin 和 diskadmin。



请参阅 SQL Server 2022 中引入的固定服务器级⾓⾊。

服务器级别⾓⾊  
项⽬
2023/10/07
18 个参与者
反馈
本文内容 服务器级别的固定⾓⾊ 请参阅 SQL Server 2022 中引入的固定服务器级⾓⾊。 固定服务
器⾓⾊的权限 服务器级别权限 显⽰另外 2 个
适⽤于： SQL Server Azure SQL 托管实例 Analytics Platform System (PDW)
SQL Server提供服务器级⾓⾊来帮助管理服务器上的权限。 这些⾓⾊是可组合其他主体的安全主
体。 服务器级⾓⾊的权限作⽤域为服务器范围。 （“⾓⾊”类似于 Windows 操作系统中的
“组”。）
SQL Server 2019 和早期版本提供了 9 个固定服务器⾓⾊。 ⽆法更改授予固定服务器⾓⾊（public 
⾓⾊除外）的权限。 从 SQL Server 2012 (11.x) 开始，你可以创建⽤户定义的服务器⾓⾊，并将服
务器级权限添加到⽤户定义的服务器⾓⾊。 SQL Server 2022 (16.x) 附带 10 个额外的服务器⾓
⾊，这些⾓⾊专⽤于 最低特权原则 ，具有前缀  ##MS_  和后缀  ## ，以便将它们与其他常规⽤户
创建的主体和⾃定义服务器⾓⾊区分开来。 这些新⾓⾊包含应⽤于服务器范围的特权，但也可以
继承到单个数据库（##MS_LoginManager## 服务器⾓⾊除外）。
与本地 SQL Server ⼀样，服务器权限也是分层组织的。 这些服务器级⾓⾊拥有的权限可以传播
到数据库权限。 若要使权限在数据库级别有效地发挥作⽤，登录需要是服务器级别⾓⾊ 
##MS_DatabaseConnector##（最低版本为 SQL Server 2022 (16.x) 预览版））（该⾓⾊授予对所有
数据库的“连接”权限）的成员，或在各个数据库中拥有⽤户帐户。 这也适⽤于  master  数据
库。 请考虑以下⽰例：服务器级别⾓⾊ ##MS_ServerStateReader## 具有“查看服务器状态”权限。 
此⾓⾊成员的登录名在数据库中具有⽤户帐户、 master  以及  WideWorldImporters 。 此⽤户
还将具有权限，即通过继承在这两个数据库中“查看数据库状态”。
可以将服务器级别主体（SQL Server 登录名、Windows 帐户和 Windows 组）添加到服务器级别⾓
⾊。 固定服务器⾓⾊的每个成员都可以将其他登录名添加到该同⼀⾓⾊。 ⽤户定义的服务器⾓
⾊的成员则⽆法将其他服务器主体添加到⾓⾊。

服务器级别的固定⾓⾊  
 备注
在 SQL Server 2022 (16.x) 之前的版本中引入的这些服务器级⾓⾊在 Azure SQL 数据库或 Azure 
Synapse Analytics 中不可⽤。 有⼀些特殊的 ⽤于权限管理的 Azure SQL 数据库服务器⾓⾊ ，这些
⾓⾊等效于 SQL Server 2022 (16.x) 中引入的服务器级⾓⾊。 有关 SQL 数据库的详细信息，请参
阅 控制和授予数据库访问权限 。
下表显⽰了服务器级的固定⾓⾊及其权限。