什么是基于角色的安全?
介绍
安全角色可以简化SQL Server中的权限。在本文中,解释了固定的服务器和数据库角色
管理SQL Server的安全是非常重要的。作为DBA或安全管理员,您需要为登录用户和数据库用户提供访问SQL Server中的资源的权限。SQL Server同时拥有服务器和数据库资源,其中可能需要授予访问权限。可以将对这些资源的访问权限授予单个登录用户或数据库用户,也可以授予角色(登录用户或数据库用户可以是角色的成员)。通过角色授予访问权称为基于角色的安全。
两种类型的角色:固定的或用户定义的。在本文中,我将讨论SQL server提供的不同的固定服务器和数据库角色,以及如何使用这些角色来支持基于角色的安全性,从而简化对不同SQL server资源的访问。在以后的文章中,我将讨论用户定义的服务器和数据库角色。
什么是基于角色的安全?
基于角色的安全是通过角色的成员来提供登录和/或数据库用户访问SQL Server资源的概念。角色是SQL Server中包含成员的对象,很像Windows组包含成员。当登录用户或数据库用户是角色的成员时,他们继承角色的权限。当使用基于角色的安全时,对SQL Server资源的实际访问权限被授予一个角色,而不是特定的登录或用户。当多个登录或用户需要对SQL Server资源进行相同的访问时,基于角色的安全性减少了授予和管理安全性所需的管理工作量。一旦设置了角色,并向其授予了适当的权限,只需将登录或用户添加到角色,就可以为其提供与角色相同的访问权限。如果不使用角色,管理员将需要向每个登录用户或数据库用户授予相同的权限,从而导致额外的管理工作。还可能会出现错误,导致一些登录和用户获得错误的权限集。SQL Server中有两种固定角色:服务器和数据库。固定的服务器角色提供对服务器资源的特定安全访问。相比之下,固定的数据库角色提供对数据库资源的访问。
固定的服务器角色
Fixed Server roles have server-wide scope. They come with a set of canned permissions tied to them. The permissions for server roles can’t be changed or extended.
There are nine different fixed server roles provided with SQL Server, which are shown in Table 1, along with a description. The information in the table is directly from the Microsoft SQL Server documentation.
固定的服务器角色具有服务器范围的作用域。它们附带了一组固定的权限。服务器角色的权限不能更改或扩展。
SQL server提供了9种不同的固定服务器角色,如表1所示,并提供了描述。表中的信息直接来自Microsoft SQL Server 文档
Table 1: 固定服务器橘色
Server Role | Description |
|---|---|
sysadmin | sysadmin的成员可以执行服务器中的任何指令和操作。 |
serveradmin | 可以更改服务器范围的配置选项并关闭服务器。 |
securityadmin | 理登录及其属性。它们可以GRANT、DENY和REVOKE服务器级别的权限。如果他们有访问数据库的权限,他们还可以GRANT、DENY和REVOKE数据库级权限。此外,他们可以重置SQL Server登录的密码。 重要提示:授予对数据库引擎的访问权限和配置用户权限的能力允许安全管理员分配大多数服务器权限。securityadmin角色应被视为与sysadmin角色等同。 |
processadmin | 可以终止SQL Server实例中运行的进程。 |
setupadmin | 以使用Transact-SQL语句添加和删除链接服务器。(使用Management Studio时需要sysadmin成员身份。) |
bulkadmin | 可以执行BULK INSERT语句。 |
diskadmin | 用于管理磁盘文件。 |
dbcreator | 可以创建、修改、删除和恢复任何数据库。 |
public | 每个SQL Server登录都属于公共服务器角色。当服务器主体未被授予或拒绝对安全对象的特定权限时,用户将继承该对象上授予public的权限。仅当您希望对象对所有用户可用时,才为该对象分配公共权限。您不能公开更改会员资格。 注意:public的实现与其他角色不同,可以从public fixed server角色中授予、拒绝或撤销权限。 |
每个固定的服务器角色提供一组唯一的固定权限,这些权限可以提供对服务器资源的不同类型的访问。固定服务器角色(公共服务器角色除外)关联的权限集不能修改。公共角色与所有其他固定服务器角色略有不同,因为您可以向该角色授予权限。当将权限授予该公共角色时,所有访问SQL Server的用户将继承该公共角色的权限。公共角色是为每次登录提供一些默认权限的好方法。当登录、Windows帐户或Windows组成为这些服务器角色之一的成员时,它们将继承与该角色关联的权限。如果某人需要与服务器角色拥有相同的权限,那么让他们成为角色的成员要比授予他们对与角色关联的每个权限的访问权限容易得多。此外,当您希望向多个登录授予相同的服务器权限时,将每个登录放在相同的服务器角色中可以很容易地实现这一点,确保它们获得完全相同的权限。用户定义的角色也可以添加为服务器角色的成员。关于用户定义角色的讨论将留到另一篇文章中讨论。有许多不同的存储过程、视图和函数可用于处理固定的服务器角色。
如果不确定与服务器角色关联的权限,可以使用系统存储过程sp_srvrolepermission来显示分配给单个固定服务器角色或所有固定服务器角色的权限。清单1中的代码显示了如何使用这个存储过程的两个不同示例。
Listing 1: 使用sp_srvrolepermission 展示单个或者全部角色权限
-- Displaying all server role permissions
EXEC sp_srvrolepermission;
GO
-- Displaying permissions for only the dbcreator role
EXEC sp_srvrolepermission @srvrolename = 'dbcreator';可以使用SQL server Management Studio (SSMS)或TSQL向固定服务器角色添加登录。要使用SSMS,请遵循以下步骤:
连接到一个实例
- 展开Security项
- 展开“服务器角色”项
- 右键单击固定服务器角色,然后单击属性选项
- 单击服务器角色属性页面上的Add按钮
- 选择要添加到固定服务器角色中的登录或自定义服务器角色
- 单击一系列Ok按钮,完成向角色添加新成员的操作
如下:
Figure 1: 添加一个新的成员到固定服务器角色
Alternatively, you can use the TSQL code to add a login to a fixed server role. The code in Listing 2 adds the Red-Gate login to the sysadmin fixed server role.
或者采用下面listing 2 的脚本添加。
Listing 2: 添加新的角色成员.
ALTER SERVER ROLE sysadmin ADD MEMBER [Red-Gate];Listing 3: 删除成员
ALTER SERVER ROLE sysadmin DROP MEMBER [Red-Gate];固定服务器角色是一种很好的方式,可以让dba、安全管理员和操作人员访问他们执行工作职责所需的服务器资源。通过使用服务器角色,可以简化对服务器资源的权限授予。除了固定的服务器角色外,还有固定的数据库角色。
腾讯云开发者
