SQL Server: cómo evitar los derechos de administrador del sistema pero otorgando derechos adecuados

9

Tengo un colega que quiere obtener acceso a una instancia de SQL Server 2008. Tendré que darle los derechos de esta instancia. Debería tener derechos para hacer es, por ejemplo,

  • Agregar y modificar inicios de sesión del servidor
  • Agregar y modificar planes de mantenimiento (por ejemplo, crear copias de seguridad de las bases de datos)
  • Programar trabajos de agente

No quiero darle derechos de administrador de sistemas, ¿qué derechos se deben otorgar?

sql-server security jrara
fuente

Respuestas:

10

Para los inicios de sesión del servidor, puede otorgar "securityadmin" . La forma "más nueva" es correr

GRANT ALTER ANY LOGIN TO AColleague

Editar: Securityadmin permite que alguien se inicie en sysadmin. No está bien. No sé cómo solucionar esto a nivel de servidor

Para trabajos, consulte "Roles de base de datos fijos del Agente SQL Server"

Para los planes de mantenimiento, solo parece "administrador del sistema"

gbn
fuente
Gracias, dice en BOL: msdn.microsoft.com/en-us/library/ms188659.aspx?ppud=4 que securityadmin debe tratarse como un rol de servidor sysadmin. ¿Hay alguna forma de limitar los derechos de administrador de seguridad a los inicios de sesión? ¿O hará eso "CONCEDER ALTERAR CUALQUIER INICIO DE SESIÓN a AColleagu"?
jrara
@jrara: securityadmin es suficiente o la CONCESIÓN
gbn
2
Debe tratarse como sysadmin porque otorgar derechos de securityadmin le permite al usuario otorgarse permisos de rol sysadmin.
@jrara: en cuyo caso, no puede usar securityadmin. En los roles db%, los principales y los permisos están separados. Es habitual no otorgar ningún rol de servidor, excepto quizás bulkadmin
gbn