SQL Server服务器级权限

最新推荐文章于 2024-04-08 10:36:03 发布
最新推荐文章于 2024-04-08 10:36:03 发布
阅读量1.7k 收藏
点赞数
分类专栏: SQL Server SQL Server 安全管理 SQL Server 可用性 文章标签: 服务器级权限 系统固定角色 GRANT REVOKE DENY
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoujunah/article/details/104233185
版权

SQL Server 2008共有26个服务器级权限,分别为

  1. ADMINISTER BULK OPERATIONS

  2. ALTER ANY CONNECTION

  3. ALTER ANY CREDENTIAL

  4. CREATE ANY DATABASE

  5. ALTER ANY DATABASE

  6. VIEW ANY DATABASE

  7. CREATE ENDPOINT

  8. ALTER ANY ENDPOINT

  9. CREATE DDL EVENT NOTIFICATION

  10. CREATE TRACE EVENT NOTIFICATION

  11. ALTER ANY EVENT NOTIFICATION

  12. ALTER ANY LINKED SERVER

  13. ALTER ANY LOGIN

  14. ALTER ANY SERVER AUDIT

  15. ALTER RES

  16. ALTER TRACE

  17. AUTHENTICATE SERVER

  18. CONNECT SQL

  19. CONTROL SERVER

  20. EXTERNAL ACCESS ASSEMBLY

  21. SHUTDOWN

  22. UNSAFE ASSEMBLY

  23. VIEW ANY DEFINITION

  24. VIEW SERVER STATE

  25. OURCES

  26. ALTER SERVER STATE

  27. ALTER SETTINGS

SQL Server 2016 中比 2008 多出了如下8个服务级权限

  1. CREATE AVAILABILITY GROUP     --SQL Server 2012

  2. ALTER ANY AVAILABILITY GROUP    --SQL Server 2012

  3. ALTER ANY EVENT SESSION

  4. CREATE SERVER ROLE         --SQL Server 2012

  5. ALTER ANY SERVER ROLE       --SQL Server 2012

  6. CONNECT ANY DATABASE        --SQL Server 2014

  7. IMPERSONATE ANY LOGIN       --SQL Server 2014

  8. SELECT ALL USER SECURABLES    --SQL Server 2014

可以通过系统函数sys.fn_builtin_permissions('SERVER') 查看实例的服务器级权限:

SELECT * FROM sys.fn_builtin_permissions('SERVER')
ORDER BY permission_name;

可以通过grant、revoke/deny赋予、收回或拒绝登陆账户服务器级权限,如:

use [master]
GO
--赋予登陆账户loginName查看服务状态权限
GRANT VIEW SERVER STATE TO [loginName]
--收回登陆账户loginName查看服务状态权限
REVOKE VIEW SERVER STATE FROM [loginName]
--拒绝登陆账户loginName 查看服务状态
DENY VIEW SERVER STATE TO [loginName]

赋予登录名或服务器角色权限时,如果增加选项 WITH GRANT OPTION,则登录名具有给其他登陆名赋予该权限的权限,如:

GRANT VIEW ANY DATABASE TO loginName WITH GRANT OPTION;

脚本意为登陆名loginName,授予查看任意数据库的权限,同时loginName也可以授予其他登陆名查看任意数据库的权限。

SQL Server 服务器级角色

 

角色可以看做有一定权限的集合,SQL Server 有8个固定服务器角色,包括:

  • bulkadmin:OPENROWSET操作权限

  • dbcreator:可以创建、更改、删除和还原任何数据库

    • ALTER ANY DATABASE

      • CREATE ANY DATABASE

  • diskadmin:用于管理磁盘文件

  • processadmin:是kill 连接,更改服务器状态的组合

    • ALTER ANY CONNECTION

    • ALTER SERVER STATE

      • VIEW SERVER STATE

  • securityadmin:登录名创建、修改、删除,sp_addlinkedsrvlogin等权限

    • ALTER ANY LOGIN

  • serveradmin:可以更改服务器范围的配置选项(sp_configure、reconfigure)和关闭服务器(shutdown)

    • ALTER ANY ENDPOINT

    • ALTER RESOURCES

    • ALTER SERVER STATE

      • VIEW SERVER STATE

    • SHUTDOWN

  • setupadmin:sp_addlinkedser,创建链接服务器等权限

  • sysadmin:拥有实例上的所有权限

  • pubilc:所有登陆账户都是服务器角色public的成员,服务器角色public有许多授予系统对象的权限,这是管理内部操作所必需的。

    • VIEW ANY DATABASE

    • CONNECT ON ENDPOINT

    • ALTER ANY ENDPOINT

其中public较为特殊,所有登陆账户均为public角色成员,不能将登陆账户移除public角色成员。

 可以通过sp_addsrvrolemember 为服务器角色增加成员,如:

EXEC sp_addsrvrolemember loginName,sysadmin

脚本意为为固定角色sysadmin增加成员loginName。

为SQL Server登陆账户赋予SQL Server对象(主题)管理权限

在ssms中,右击登陆名,单击属性,从安全对象→搜索→对象类型中,我们可以看到,服务器级安全对象有五个:

  • 端点

  • 登陆名

  • 服务器

  • 可用性组

  • 服务器角色

下面我们通过sys.fn_builtin_permissions来查看可以为登陆名赋予的各服务器安全对象的权限。可以给以登陆名对服务器的操作权限,上文已经列出,下面我们看服务器对其他四个安全对象的权限。

可用性组

SELECT * FROM sys.fn_builtin_permissions('AVAILABILITY GROUP');

我们看到,可以为登陆名授予对可用性组的操作权限有四个:

  • VIEW DEFINITION

  • ALTER

  • TAKE OWNERSHIP

  • CONTROL

端点

SELECT * FROM sys.fn_builtin_permissions('ENDPOINT');

我们看到,可以为登陆名授予对端点的操作权限有五个:

  • CONNECT

  • VIEW DEFINITION

  • ALTER

  • TAKE OWNERSHIP

  • CONTROL

登录名

SELECT * FROM sys.fn_builtin_permissions('LOGIN');

  • IMPERSONATE:模仿

  • VIEW DEFINITION:查看定义

  • ALTER:修改

  • CONTROL:控制

服务器角色

SELECT * FROM sys.fn_builtin_permissions('SERVER ROLE');

  • VIEW DEFINITION

  • ALTER

  • TAKE OWNERSHIP

  • CONTROL

现在我们给出为登陆名赋予服务器级安全对象操作权限的样例:

--授予登陆账户loginName 拥有可用性组myAg,且loginName具有授予其他SQL Server 登陆名TAKE OWNERSHIP 权限授予
USE master; 
GRANT TAKE OWNERSHIP ON AVAILABILITY GROUP::myAg TO loginName  
    WITH GRANT OPTION; 
GO 
--赋予登陆名loginName查看端点endpoint_mirroring的权限
USE master; 
GRANT VIEW DEFINITION ON ENDPOINT::endpoint_mirroring TO loginName; 
GO 
--赋予登陆名loginName 查看登陆名testGrant定义的权限
use [master]
GO
GRANT VIEW DEFINITION ON LOGIN::[testGrant] TO [loginName]
GO
--赋予登陆名loginName2 模仿loginName1 的权限,即loginName1有的权限,loginName2现在也有了
GRANT IMPERSONATE ON LOGIN::[loginName1] TO [loginName2];
--赋予登陆名loginName查看服务角色serverRoleName定义权限
use [master]
GO
GRANT VIEW DEFINITION ON SERVER ROLE::[serverRoleName] TO [loginName]
GO

实验发现

grant alter on login::loginName1 to loginName2

为loginName2赋予修改loginName1的权限,但loginName2并不能对loginName1作任何alter操作。从alter login官方网上说明文档来看,alter login 需要alter any login权限,不知这是不是存在一个bug……

我们可以使用动态视图sys.server_permissions 结合 sys.server_principals,以及相关的对象视图查看登陆账户具有的权限,当然我们也可以直接使用《SQL Server 登陆账户权限克隆 ——sp_DBA_LoginClone V1.1》  中的过程查看登陆账户的权限。

三空道人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Debezium报错处理系列之第107篇:Cannot query the status of the SQL Server Agent VIEW SERVER STATE permission
zhengzaifeidelushang的博客
06-27 47
Debezium报错处理系列之第107篇:Cannot query the status of the SQL Server Agent VIEW SERVER STATE permission was denied on object 'server', database 'master'.
Debezium报错处理系列之七十五:jdbc.SQLServerException: 拒绝了对对象 ‘server‘ (数据库 ‘master‘)的 VIEW SERVER STATE 权限
zhengzaifeidelushang的博客
06-13 481
Debezium报错处理系列之七十五:WARN Cannot query the status of the SQL Server Agent : 拒绝了对对象 'server' 数据库 'master'的 VIEW SERVER STATE 权限
SQL Server 动态管理视图(DMVs)
weixin_30528371的博客
03-16 383
DMV在本地部署的SQL Server中需要VIEW SERVER STATE权限 和事务有关的DMV sys.dm_tran_active_transactions:返回与您的当前逻辑数据库的事务有关的信息。 sys.dm_tran_database_transactions:返回有关用户数据库事务的信息。 sys.dm_tran_locks:返回有关当前处于活动状...
如何为SQL Server2008添加登录账户并配置权限
热门推荐
ailo555的专栏
07-21 2万+
如何为SQL Server2008添加登录账户并配置权限软件开发中,对于数据库的要求,不同的数据库有这不同的数据库用户过来,为了保证数据库的安全性,我们需要给数据库设置用户: 1、先用windows身份验证模式登陆SQL Sevser2008 2、登陆成功之后,开“安全性”,右击“登录名”,在弹出的菜单中点击“新建登录名” 3、在“常规”选项中,进行设置,输入登录名,选择Sql Server 身份验
SQL Sever】3. 用户管理 / 权限管理
最新发布
哈茶的博客
04-08 6078
该篇文章包含对SQL Sever中用户/登录名/角色的理解,赋予用户权限等内容,快来看看吧!
SQL Server数据库权限
三空道人的博客
02-17 4166
前面博文《SQL Server服务器权限》介绍了服务器安全主题的权限,本文将继其之后,来介绍一下数据库安全主题具有的权限,以及如何赋予、拒绝数据库用户、角色权限,并介绍查看用户、角色具有哪些权限的方法。 本文同样使用sys.fn_builtin_permissions来查看安全主题数据库具有的权限 SELECT * FROM sys.fn_builtin_permissions('...
SQL SERVER普通用户需要什么权限才能执行sp_configure命令
weixin_34056162的博客
03-08 416
SQL SERVER普通用户需要什么权限才能执行sp_configure命令呢? 例如如下存储过程所示 CREATE PROCEDURE PRC_TESTASBEGIN  exec sp_configure 'show advanced option',1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures', 1;RECONFIGU...
信息安全等保护测评实施SQL Server作业指导书.doc
09-02
"信息安全等保护测评实施SQL Server作业指导书" 本资源摘要信息提供了SQL Server数据库等保二测评作业指导书的详细信息,旨在帮助数据库管理员和安全专家对SQL Server数据库进行安全等保护测评和实施。 ...
vc列出所有SQL Server服务器和数据库.visual c++
02-28
在IT领域,尤其是在数据库管理中,能够列举出所有SQL Server服务器和数据库是一项基本但至关重要的任务。这个项目,"vc列出所有SQL Server服务器和数据库",显然是一个使用Visual C++编写的工具,它能帮助用户方便地...
SQL Server 复制需要有实际的服务器名称才能连接到服务器
09-11
SQL Server环境中,服务器名称是用于标识数据库实例的关键标识符,它在各种操作中起着至关重要的作用,比如数据复制、远程连接、故障转移群集等。当涉及到SQL Server复制时,尤其需要确保服务器名称的准确性和一致...
SQL Server 2012链接服务器到PostgreSQL
07-24
SQL Server 2012中,连接到外部数据源如PostgreSQL数据库是通过设置链接服务器来实现的。链接服务器允许SQL Server查询和操作非本地的数据,提供了与异构数据库系统交互的能力。以下是一个详细步骤,说明如何在SQL...
开启view server的方法
04-06
开启view server的方法 包含文件setpropex 亲测有效 内含详细的步骤,但是可能只支持部分机型 楼主用的是4.2的华为HWY516是可以的
Sql Server2012 使用IP地址登录服务器的配置图文教程
09-09
2. 右键点击"SQLServer Data Tools",选择“打开文件位置”。 3. 或者直接导航到"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2012"文件夹。 4. 在“配置工具”文件夹里,启动“SQL...
SQLServer创建用户登录
weixin_33928137的博客
12-19 4085
创建用户登录注意事项 密码是区分大小写的。 只有创建SQL Server登录时,才支持对密码预先进行哈希运算。 如果指定MUST_CHANGE,则CHECK_EXPIRATION和 CHECK_POLICY必须设置为 ON。 否则,该语句将失败。 不支持CHECK_POLICY=OFF和 CHECK_EXPIRATION=ON的组合。 如...
创建链接服务器
zhiguo2010的专栏
08-06 1679
<br />创建链接服务器 <br /><br /> <br /><br /> <br />sp_addlinkedserver [ @server= ] 'server' [ , [ @srvproduct= ] 'product_name' ] <br />     [ , [ @provider= ] 'provider_name' ] <br />     [ , [ @datasrc= ] 'data_source' ] <br />     [ , [ @location= ] 'locatio
VIEW SERVER STATE permission was denied on object 'server', database 'master'
weixin_34204057的博客
08-30 1347
今天一同事反馈使用SQL Server 2012 Management Studio连接SQL Server 2014后,选择数据库中某个表,然后单击右键时,就会遇到下面错误:     这个错误初看以为是权限问题,后面验证、检查、查找资料过后,发现这个是一个bug来的,需要升或应用SQL Server Management Studio工具的补丁来解决这个问题。下面链接有描述这个问题的相关...
sqlserver修改连接服务器信息,SQLServer修改登陆账户信息
weixin_35683252的博客
08-03 565
数据库引用use testss;go--修改登陆账户属性alter login testuserwithpassword='1234',--default_database=database[,]--default_language=language[,]name=testuser,check_policy=on,check_expiration=on--credential=credential...
sql server权限,(这里使用了MySQL数据库为示例图,但是其原理及操作步骤是没有太大区别的)
qq_39947874的博客
09-27 519
啊实打实
sql server 中隐藏掉无关数据库
abdulla8884的博客
07-28 911
先贴上我实际测试的效果 方法一: Problem I have a SQL Server instance that has hundreds of databases. Navigating the database tree in SSMS is a pain and I was wondering if there was a way to limit the list...
SQL Server链接服务器技术详解与实践
SQL Server的链接服务器技术是一种强大的功能,它允许在SQL Server环境中连接和查询其他数据源,如MySQL和ORACLE,从而实现数据集成和跨数据库操作。以下是对这一技术的详细解析: 1. Microsoft OLE DB Provider ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值