Berechtigungen der Standardrollen
Folgende Standardserverberechtigungen stehen in jedem SQL Server zur Verfügung:
|
Feste Rolle auf Serverebene
|
Berechtigung auf Datenbankebene
|
Berechtigung auf Serverebene
|
|
db_accessadmin
|
ALTER ANY USER, CREATE SCHEMA
Berechtigung mit der Option GRANT: CONNECT
|
VIEW ANY DATABASE
|
|
db_backupoperator
|
BACKUP DATABASE, BACKUP LOG, CHECKPOINT
|
VIEW ANY DATABASE
|
|
db_datareader
|
SELECT
|
VIEW ANY DATABASE
|
|
db_datawriter
|
DELETE, INSERT, UPDATE
|
VIEW ANY DATABASE
|
|
db_ddladmin
|
ALTER ANY ASSEMBLY, ALTER ANY ASYMMETRIC KEY, ALTER ANY CERTIFICATE, ALTER ANY CONTRACT, ALTER ANY DATABASE DDL TRIGGER, ALTER ANY DATABASE EVENT, NOTIFICATION, ALTER ANY DATASPACE, ALTER ANY FULLTEXT CATALOG, ALTER ANY MESSAGE TYPE, ALTER ANY REMOTE SERVICE BINDING, ALTER ANY ROUTE, ALTER ANY SCHEMA, ALTER ANY SERVICE, ALTER ANY SYMMETRIC KEY, CHECKPOINT, CREATE AGGREGATE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE QUEUE, CREATE RULE, CREATE SYNONYM, CREATE TABLE, CREATE TYPE, CREATE VIEW, CREATE XML SCHEMA COLLECTION, REFERENCES
|
VIEW ANY DATABASE
|
|
db_denydatareader
|
Keine Berechtigung: SELECT
|
VIEW ANY DATABASE
|
|
db_denydatawriter
|
Keine Berechtigung: DELETE, INSERT, UPDATE
|
VIEW ANY DATABASE
|
|
db_owner
|
Berechtigung mit der Option GRANT: CONTROL
|
VIEW ANY DATABASE
|
|
db_securityadmin
|
ALTER ANY APPLICATION ROLE, ALTER ANY ROLE, CREATE SCHEMA, VIEW DEFINITION
|
VIEW ANY DATABASE
|
|
dbm_monitor
|
VIEW des neuesten Status im Datenbankspiegelungs-Monitor
Wichtig:
Die feste Datenbankrolle dbm_monitor wird in der msdb-Datenbank erstellt, wenn die erste Datenbank im Datenbankspiegelungs-Monitor registriert wird. Die neue dbm_monitor-Rolle hat keine Mitglieder, bis ein Systemadministrator der Rolle Benutzer zuweist.
|
VIEW ANY DATABASE
|
Feste Datenbankrollen sind kein Äquivalent ihrer Berechtigung auf Datenbankebene.
Die feste Datenbankrolle db_owner besitzt z. B. die CONTROL DATABASE-Berechtigung.
Durch Erteilen der CONTROL DATABASE-Berechtigung wird ein Benutzer jedoch nicht Mitglied der festen Datenbankrolle db_owner.
Mitglieder der festen Datenbankrolle db_owner werden in den Datenbanken als Benutzer dbo identifiziert,
Benutzer mit der CONTROL DATABASE-Berechtigung jedoch nicht.
Sofern für Q-Matrix™ nicht der integrierte Standardbenutzer sa des Microsoft SQL Server verwendet werden soll,
muss der spezielle Benutzer für Q-Matrix™ die Berechtigung db_owner zugeordnet werden.
Dies gilt jedoch nur für den Fall, das via dem Microsoft SQL Management Studio die Einstellungen vorgenommen werden,
da die speziellen Rechte, die notwendig sind, nicht über die grafische Oberfläche eingestellt werden können.
Mit dieser Einstellung kann Q-Matrix™ im normalen operativen Modus genutzt werden,
d.h. erfolgreiche Anmeldungen an die Q-Matrix™ erlauben das Verwalten der Daten in der Datenbank auf dem SQL-Server.
Spezialfälle:
-
Erstellen der initialen Q-MATRIX DatenbankDamit die initiale Datenbank erstellt werden kann, muss für diesen Fall der Benutzer die Berechtigung db_owner haben.
-
Einspielen von Updates in der Q-MATRIX DatenbankDamit Updates in der Datenbank eingestellt werden können, müssen für diesen Fall dem Benutzer die Berechtigung db_owner zugeordnet werden.
Neben diesen Einstellungen der Standardberechtigungen können auch dem Benutzer spezielle CONTROL Rechte eingeräumt werden.
Dafür sind via einem Transact SQL (T-SQL) Befehl dem Benutzer die benötigten Rechte zuzuordnen.
Die zu verwendende Syntax ist folgende:
GRANT <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission>::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Siehe dafür auch: https://technet.microsoft.com/de-de/library/ms178569(v=sql.105).aspx