Roles de nivel de base de datos
Para administrar fácilmente los permisos de las bases de datos, SQL Server proporciona varios roles que son entidades de seguridad que agrupan otras entidades de seguridad. Son como grupos en el sistema operativo Microsoft Windows. Los roles de nivel de base de datos se aplican a toda la base de datos en lo que respecta a su ámbito de permisos.
Hay dos tipos de roles de nivel de base de datos en SQL Server: roles fijos de base de datos predefinidos en la base de datos y roles de base de datos flexibles que puede crear.
Los roles fijos de base de datos se definen en el nivel de base de datos y existen en cada una de ellas. Los miembros de los roles de base de datos db_owner pueden administrar la pertenencia a roles fijos de base de datos. Hay también algunos roles fijos de base de datos con fines especiales en la base de datos msdb.
Puede agregar cualquier cuenta de la base de datos y otros roles de SQL Server a los roles de nivel de base de datos. Cada miembro de un rol fijo de base de datos puede agregar otros inicios de sesión a ese mismo rol.
Importante
No agregue roles flexibles de la base de datos como miembros de roles fijos. Esto podría habilitar un aumento de privilegios no deseado.
En la tabla siguiente se muestran los roles fijos de nivel de base de datos y sus capacidades. Estos roles existen en todas las bases de datos.
| Nombre de rol de nivel de base de datos | Descripción |
|---|---|
| db_owner | Los miembros del rol fijo de base de datos db_owner pueden realizar todas las actividades de configuración y mantenimiento en la base de datos y también pueden quitar la base de datos. |
| db_securityadmin | Los miembros del rol fijo de base de datos db_securityadmin pueden modificar la pertenencia a roles y administrar permisos. Si se agregan entidades de seguridad a este rol, podría habilitarse un aumento de privilegios no deseado. |
| db_accessadmin | Los miembros del rol fijo de base de datos db_accessadmin pueden agregar o quitar el acceso a la base de datos para inicios de sesión de Windows, grupos de Windows e inicios de sesión de SQL Server . |
| db_backupoperator | Los miembros del rol fijo de base de datos db_backupoperator pueden crear copias de seguridad de la base de datos. |
| db_ddladmin | Los miembros del rol fijo de base de datos db_ddladmin pueden ejecutar cualquier comando del lenguaje de definición de datos (DDL) en una base de datos. |
| db_datawriter | Los miembros del rol fijo de base de datos db_datawriter pueden agregar, eliminar o cambiar datos en todas las tablas de usuario. |
| db_datareader | Los miembros del rol fijo de base de datos db_datareader pueden leer todos los datos de todas las tablas de usuario. |
| db_denydatawriter | Los miembros del rol fijo de base de datos db_denydatawriter no pueden agregar, modificar ni eliminar datos de tablas de usuario de una base de datos. |
| db_denydatareader | Los miembros del rol fijo de base de datos db_denydatareader no pueden leer datos de las tablas de usuario dentro de una base de datos. |
Roles de msdb
La base de datos msdb contiene los roles con fines especiales que se muestran en la tabla siguiente.
| Nombre de rol de msdb | Descripción |
|---|---|
db_ssisadmindb_ssisoperator db_ssisltduser |
Los miembros de estos roles de base de datos pueden administrar y utilizar SSIS. Las instancias de SQL Server que se actualizan desde una versión anterior podrían contener una versión anterior del rol cuya denominación se realizaba al usar Servicios de transformación de datos (DTS) en lugar de SSIS. Para obtener más información, consulte Roles de Integration Services (servicio SSIS). |
dc_admindc_operator dc_proxy |
Los miembros de estos roles de base de datos pueden administrar y utilizar el recopilador de datos. Para obtener más información, consulte Data Collection. |
| PolicyAdministratorRole | Los miembros del rol de base de datos db_ PolicyAdministratorRole pueden realizar todas las actividades de mantenimiento y configuración en las condiciones y directivas de Administración basada en directivas. Para obtener más información, vea Administrar servidores mediante administración basada en directivas. |
| ServerGroupAdministratorRole ServerGroupReaderRole |
Los miembros de estos roles de base de datos pueden administrar y utilizar grupos de servidores registrados. |
| dbm_monitor | Se crea en la msdb base de datos cuando la primera base de datos está registrada en el Monitor de creación de reflejo de la base de datos. El rol dbm_monitor no tiene miembros hasta que un administrador del sistema asigna usuarios al rol. |
Importante
Los miembros del rol db_ssisadmin y del rol dc_admin quizá puedan elevar sus privilegios a sysadmin. Esta elevación de privilegio se puede producir porque estos roles pueden modificar los paquetes de Integration Services y los paquetes de Integration Services los puede ejecutar SQL Server utilizando el contexto de seguridad de sysadmin del Agente SQL Server . Para protegerse contra esta elevación de privilegio al ejecutar planes de mantenimiento, conjuntos de recopilación de datos y otros paquetes de Integration Services , configure los trabajos del Agente SQL Server que ejecutan paquetes para utilizar una cuenta de proxy con privilegios limitados o agregar solo los miembros de sysadmin a los roles dc_admin y db_ssisadmin.
Trabajar con roles de nivel de base de datos
En la tabla siguiente se explican los comandos, las vistas y las funciones que se usan para trabajar con los roles de nivel de base de datos.
| Característica | Tipo | Descripción |
|---|---|---|
| sp_helpdbfixedrole (Transact-SQL) | Metadatos | Devuelve la lista de los roles fijos de base de datos. |
| sp_dbfixedrolepermission (Transact-SQL) | Metadatos | Muestra los permisos de un rol fijo de base de datos. |
| sp_helprole (Transact-SQL) | Metadatos | Devuelve información acerca de los roles de la base de datos actual. |
| sp_helprolemember (Transact-SQL) | Metadatos | Devuelve información acerca de los miembros de un rol de la base de datos actual. |
| sys.database_role_members (Transact-SQL) | Metadatos | Devuelve una fila por cada miembro de cada rol de base de datos. |
| IS_MEMBER (Transact-SQL) | Metadatos | Indica si el usuario actual es miembro del grupo de Microsoft Windows o del rol de base de datos de SQL Server especificados. |
| CREATE ROLE (Transact-SQL) | Get-Help | Crea un rol de base de datos nuevo en la base de datos actual. |
| ALTER ROLE (Transact-SQL) | Comando | Cambia el nombre de un rol de base de datos. |
| DROP ROLE (Transact-SQL) | Get-Help | Quita un rol de la base de datos. |
| sp_addrole (Transact-SQL) | Get-Help | Crea un rol de base de datos nuevo en la base de datos actual. |
| sp_droprole (Transact-SQL) | Get-Help | Quita un rol de base de datos de la base de datos actual. |
| sp_addrolemember (Transact-SQL) | Get-Help | Agrega un usuario de base de datos, un rol de base de datos, un inicio de sesión de Windows o un grupo de Windows a un rol de base de datos en la base de datos actual. |
| sp_droprolemember (Transact-SQL) | Get-Help | Quita una cuenta de seguridad de un rol de SQL Server de la base de datos actual. |
Rol de base de datos public
Todos los usuarios de una base de datos pertenecen al rol de base de datos public s. Cuando a un usuario no se le han concedido ni denegado permisos específicos para un objeto protegible, el usuario hereda los permisos concedidos a la función pública para ese objeto.
Contenido relacionado
Vistas de catálogo de seguridad (Transact-SQL)
Procedimientos almacenados de seguridad (Transact-SQL)