Professional Documents
Culture Documents
Importante
No agregue roles flexibles de la base de datos como miembros de roles fijos. Esto podra habilitar un aumento de privilegios no deseado.
En la tabla siguiente se muestran los roles fijos de nivel de base de datos y sus capacidades. Estos roles existen en todas las bases de datos.
Descripcin
db_owner
Los miembros del rol fijo de base de datos db_owner pueden realizar todas las actividades de configuracin y
mantenimiento en la base de datos y tambin pueden quitar la base de datos.
db_securityadmin
Los miembros del rol fijo de base de datos db_securityadmin pueden modificar la pertenencia a roles y administrar
permisos. Si se agregan entidades de seguridad a este rol, podra habilitarse un aumento de privilegios no deseado.
db_accessadmin
Los miembros del rol fijo de base de datos db_accessadmin pueden agregar o quitar el acceso a la base de datos para
inicios de sesin de Windows, grupos de Windows e inicios de sesin de SQL Server.
db_backupoperator
Los miembros del rol fijo de base de datos db_backupoperator pueden crear copias de seguridad de la base de datos.
db_ddladmin
Los miembros del rol fijo de base de datos db_ddladmin pueden ejecutar cualquier comando del lenguaje de definicin de
datos (DDL) en una base de datos.
db_datawriter
Los miembros del rol fijo de base de datos db_datawriter pueden agregar, eliminar o cambiar datos en todas las tablas de
usuario.
db_datareader
Los miembros del rol fijo de base de datos db_datareader pueden leer todos los datos de todas las tablas de usuario.
db_denydatawriter
Los miembros del rol fijo de base de datos db_denydatawriter no pueden agregar, modificar ni eliminar datos de tablas de
usuario de una base de datos.
db_denydatareader
Los miembros del rol fijo de base de datos db_denydatareader no pueden leer datos de las tablas de usuario dentro de una
base de datos.
Para obtener informacin especfica sobre los permisos de los roles fijos de nivel de base de datos, vea Permisos de los roles fijos de base de datos (motor de base de
datos).
Roles de msdb
La base de datos msdb contiene los roles con fines especiales que se muestran en la tabla siguiente.
Descripcin
db_ssisadmin
db_ssisoperator
db_ssisltduser
Los miembros de estos roles de base de datos pueden administrar y usar SSIS. Las instancias de SQL Server que
se actualizan desde una versin anterior podran contener una versin anterior del rol cuya denominacin se
realizaba utilizando Servicios de transformacin de datos (DTS) en lugar de SSIS. Para obtener ms informacin,
vea Usar roles de Integration Services.
dc_admin
dc_operator
dc_proxy
Los miembros de estos roles de base de datos pueden administrar y usar el recopilador de datos. Para obtener ms
informacin, veaSeguridad del recoleccin de datos.
PolicyAdministratorRole
Los miembros del rol de base de datos db_PolicyAdministratorRole pueden realizar todas las actividades de
mantenimiento y configuracin en las condiciones y directivas de Administracin basada en directiva. Para
obtener ms informacin, vea Administrar servidores mediante administracin basada en directivas.
ServerGroupAdministratorRole
ServerGroupReaderRole
Los miembros de estos roles de base de datos pueden administrar y usar grupos de servidores registrados. Para
obtener ms informacin, vea Crear grupos de servidores.
dbm_monitor
Se crea en la base de datos msdb cuando se registra la primera base de datos en el Monitor de creacin de reflejo
de la base de datos. El rol dbm_monitor no tiene miembros hasta que un administrador del sistema asigna
usuarios al rol.
Importante
Los miembros del rol db_ssisadmin y del rol dc_admin pueden elevar sus privilegios a sysadmin. Esta elevacin de privilegios se puede producir porque
estos roles pueden modificar los paquetes de Integration Services y los paquetes de Integration Services los puede ejecutar SQL Server utilizando el
contexto de seguridad de sysadmin del Agente SQL Server. Para protegerse contra esta elevacin de privilegio al ejecutar planes de mantenimiento,
conjuntos de coleccin de datos y otros paquetes de Integration Services, configure los trabajos del Agente SQL Server que ejecutan paquetes para usar
una cuenta de proxy con privilegios limitados o agregar solo los miembros de sysadmin a los roles db_ssisadmin y dc_admin.
Caracterstica
Tipo
Descripcin
sp_helpdbfixedrole (Transact-SQL)
Metadatos
sp_dbfixedrolepermission (TransactSQL)
Metadatos
sp_helprole (Transact-SQL)
Metadatos
sp_helprolemember (Transact-SQL)
Metadatos
sys.database_role_members
(Transact-SQL)
Metadatos
Devuelve una fila por cada miembro de cada rol de base de datos.
IS_MEMBER (Transact-SQL)
Metadatos
Indica si el usuario actual es miembro del grupo de Microsoft Windows o del rol de base de datos de
SQL Server especificados.
Comando
Comando
Comando
sp_addrole (Transact-SQL)
Comando
sp_droprole (Transact-SQL)
Comando
sp_addrolemember (Transact-SQL)
Comando
Agrega un usuario de base de datos, un rol de base de datos, un inicio de sesin de Windows o un
grupo de Windows a un rol de base de datos en la base de datos actual.
sp_droprolemember (Transact-SQL)
Comando
Quita una cuenta de seguridad de un rol de SQL Server de la base de datos actual.