Tecnológico Nacional de México

Instituto Tecnológico de Ciudad Madero

Ingeniería en Sistemas Computacionales

Administración de Bases de Datos

Roles y Permisos

Soto Aguilar Francisco Javier

17070060
 Bulkadmin .- Los miembros del rol fijo de servidor bulkadmin pueden ejecutar la
instrucción BULK INSERT.

 Diskadmin.- La función fija de servidor diskadmin se utiliza para administrar archivos de

disco.

 Setupadmin .- Los miembros de la función fija de servidor setupadmin pueden agregar y

eliminar servidores vinculados mediante el uso de instrucciones Transact-SQL. (la
membresía sysadmin es necesaria cuando se usa Management Studio).

 Securityadmin.- Los miembros del rol fijo de servidor securityadmin administran los inicios
de sesión y sus propiedades. Pueden CONCEDER, DENEGAR y REVOCAR permisos a nivel
de servidor. También pueden CONCEDER, DENEGAR y REVOCAR permisos de nivel de base
de datos si tienen acceso a una base de datos. Además, pueden restablecer contraseñas
para inicios de sesión de SQL Server.
La capacidad de otorgar acceso al Motor de base de datos y configurar los permisos del
usuario le permite al administrador de seguridad asignar la mayoría de los permisos del
servidor. La función securityadmin debe tratarse como equivalente a la función sysadmin.

 Sysadmin .- Los miembros de la función fija de servidor sysadmin pueden realizar cualquier
actividad en el servidor

 Public.- Cada inicio de sesión de SQL Server pertenece a la función de servidor público.
Cuando a un servidor principal no se le han otorgado o denegado permisos específicos en
un objeto asegurable, el usuario hereda los permisos otorgados al público en ese objeto.
Solo asigne permisos públicos a cualquier objeto cuando desee que el objeto esté
disponible para todos los usuarios. No puede cambiar la membresía en público.
Public se implementa de manera diferente a otras funciones, y se pueden otorgar,
denegar o revocar permisos de las funciones fijas de servidor público.

 Dbcreator.- Los miembros de la función fija de servidor dbcreator pueden crear, alterar,
descartar y restaurar cualquier base de datos.
Recuperado de : https://docs.microsoft.com/en-us/sql/relational-
databases/security/authentication-access/server-level-roles?view=sql-server-ver15
Sysadmin
Comienzo con sysadmin fuera de servicio porque es el más importante de todos los roles de
servidor. En pocas palabras, si un inicio de sesión es miembro de este rol, puede hacer cualquier
cosa dentro del SQL Server. Además, evita todos los controles de seguridad. Por lo tanto, incluso si
puede configurar un escenario que debería impedir que un inicio de sesión haga algo, por la
naturaleza del inicio de sesión como miembro de este rol, ignorará esa restricción. Como
resultado, la membresía en este rol debe ser cuidadosamente controlada. En entornos de
producción típicos, solo vería que los DBA son miembros de este rol. En entornos muy estrictos,
incluso lo verá restringido para que solo los DBA particulares dentro de una organización tengan
este nivel de acceso.

Debido a la naturaleza especial de este rol, permítame advertirle también que hay alguna
inconsistencia en cómo se informa con respecto a otros roles. Debido a que el rol sysadmin puede
hacer cualquier cosa dentro del SQL Server, tiene todos los derechos de los otros roles y más. Y
eso puede hacer que la forma de informar sobre esto sea un poco difícil de manejar. Desea indicar
qué derechos tiene, pero también desea ser muy específico sobre quién está en qué rol de
servidor. Por lo tanto, solo tiene que saber cómo las diferentes estructuras informan la
información. Por ejemplo, si usa la función del sistema, IS_SRVROLEMEMBER (), y especifica una
función que no sea sysadmin para un inicio de sesión que sea miembro de la función sysadmin,
obtendrá un "1", lo que indica que el inicio de sesión es un miembro . Por ejemplo:

Sin embargo, si verifica la membresía utilizando el procedimiento almacenado del sistema

sp_helpsrvrolemember, no obtendrá los mismos resultados. El inicio de sesión no se mostrará
como miembro de la función bulkadmin. Además, si consulta la vista de catálogo
sys.server_role_members, tampoco verá que se informe como miembro del rol bulkadmin (o
cualquier otro rol, a menos que lo haya otorgado explícitamente).

Algunas cosas para eliminar con respecto a este rol (y lo haremos después de cada rol):

Este rol puede hacer cualquier cosa dentro de SQL Server.

Este rol omite completamente todas las verificaciones de seguridad.

Este rol puede hacer todo lo que cualquier otro rol puede hacer y más.

Este es el rol más poderoso en SQL Server. Limite su acceso solo a aquellos que lo necesitan
absolutamente.
bulkadmin
Las operaciones de inserción masiva significan extraer datos de los archivos y colocarlos en tablas
de la base de datos y eso significa interactuar con elementos fuera del propio SQL Server. Como
resultado, SQL Server ha eliminado la capacidad de llevar a cabo operaciones de inserción masiva
para garantizar que solo lo permita cuando lo desee. Y eso es lo que hace este papel. Por lo
general, los usuarios normales no necesitan ser miembros de este rol. Solo si tienen que ejecutar
una INSERCIÓN A GRANEL en su contexto de usuario necesitarían dicho permiso. Si los usuarios
realizan operaciones de inserción masiva, deben ser más que un miembro de la función
bulkadmin. También necesitan derechos INSERT en la (s) tabla (s) en cuestión. Por lo tanto, otorgar
acceso a este rol no significa la capacidad de carta blanca para INSERTAR A GRANEL en cualquier
tabla a la que tenga acceso un usuario. Pero, por lo general, solo he otorgado este rol a las cuentas
de servicio que realizan operaciones de extracción, transformación y carga (ETL), como mover
datos de un sistema de origen a un almacén de datos.

 Este rol permite la importación de datos de archivos externos.

 Por lo general, los usuarios normales no necesitan esta función.
 Incluso ser miembro de este rol no es suficiente. También debe tener los derechos
INSERTAR sobre la mesa.
 Los miembros del rol sysadmin no necesitan ser miembros de este rol. Úselo solo cuando
tenga usuarios o inicios de sesión que necesiten realizar operaciones BULK INSERT que aún
no sean miembros de sysadmin.
dbcreator
Como su nombre lo indica, este rol permite iniciar sesión la capacidad de crear bases de datos. De
nuevo, esto no suele ser algo de lo que un usuario normal sea miembro. En entornos en los que
puede tener DBA junior a los que no se les otorgan derechos completos de administrador de
sistemas, este suele ser uno de los roles que se utilizan. El DBA junior tiene la capacidad de crear
bases de datos en preparación para equipos de desarrollo y similares. También he visto casos en
los que una aplicación determinada transfiere datos a nuevas bases de datos periódicamente. Para
hacerlo sin intervención, el inicio de sesión que utiliza la aplicación necesita la capacidad de crear
la nueva base de datos. Y ese es un ejemplo donde dbcreator es útil. Otro punto que haré es que
cuando se crea una base de datos, el propietario de la base de datos es quien la creó. Eso es algo
importante para recordar si no tiene una forma automática de cambiar el propietario
automáticamente después del hecho. El propietario de una base de datos dada puede hacer
cualquier cosa dentro de esa base de datos en particular. Por lo tanto, eso debe tenerse en cuenta
al otorgar la membresía a este rol.

 Este rol permite la creación de bases de datos dentro de SQL Server.

 Este es otro papel que rara vez se debe usar.
 Es un rol ideal para que un DBA junior le dé cierto control sobre SQL Server, pero no el
nivel de permiso que otorga sysadmin.
 Algunas aplicaciones deberán ser miembros de este rol si "pasan" por las bases de datos
como parte de sus operaciones.
diskadmin
Este es un rol que generalmente ve muy poco uso en la mayoría de los entornos. Tiene la
capacidad de administrar dispositivos de respaldo específicos, pero no mucho más. Como
resultado, no tiene mucho sentido dar esto. Así que casi nunca deberías ver esto usado.

 Este rol permite la administración de dispositivos de respaldo, que ya no se usan mucho

en SQL Server.
 Nunca he visto esta función utilizada en la práctica porque los trabajos de respaldo
generalmente están automatizados (o deberían estarlo).

processadmin
El rol del servidor processadmin tiene la capacidad de alterar cualquier conexión. Eso básicamente
significa que puede desconectar a la gente de SQL Server. Debido a que no tiene mucho más que
esta capacidad, también es una función de servidor que generalmente no se usa. Sin embargo,
debido a que puede terminar una conexión a SQL Server, es un poderoso rol de servidor. Por lo
tanto, si lo usa, asegúrese de que los inicios de sesión que son miembros de este rol sean
confiables. Alguien con este rol podría crear efectivamente un ataque de denegación de servicio
en su SQL Server al finalizar las conexiones a medida que ingresan.

 Este es un rol poderoso porque puede eliminar conexiones a SQL Server.

 Este es otro papel que rara vez se debe usar.
 Nunca he visto esta función utilizada en la práctica porque, por lo general, si se van a
eliminar las conexiones, desea un DBA totalmente capacitado para manejar esto, que
generalmente son miembros de la función sysadmin.

setupadmin

Setupadmin puede controlar servidores vinculados. Una vez más, este es un papel que no le sirve
de mucho. Si tiene la necesidad de crear servidores vinculados, esto generalmente recae en los
DBA que ya tienen dichos permisos a través de la función sysadmin. Por lo tanto, esta es otra
función que verifica principalmente para asegurarse de que nadie tenga este nivel de acceso.

El administrador de la instalación básicamente da control sobre los servidores vinculados.

Limitaría este tipo de cambio de configuración a los DBA que entienden el impacto, lo que significa
que ya son miembros de la función sysadmin (lo que significa que no necesita esta función).
securityadmin
Como su nombre lo indica, este rol de servidor controla la seguridad del servidor SQL ... hasta
cierto punto. Este rol permite que un inicio de sesión administre inicios de sesión en SQL Server en
cuanto a otorgar / revocar, habilitar / deshabilitar y determinar a qué bases de datos tienen
acceso los inicios de sesión. Pero una vez que cruza el límite de la base de datos, un inicio de
sesión sin derechos adicionales en la base de datos específica no puede administrar los permisos
dentro de la base de datos. Sin embargo, debido al hecho de que puede administrar inicios de
sesión, es un papel poderoso. También debo señalar que un miembro de securityadmin puede
administrar las otras funciones del servidor con la excepción de la función sysadmin. Por lo tanto,
la membresía en este rol debe ser cuidadosamente controlada. Esta es otra función que podría ver
que se le da a los DBA junior donde los derechos de administrador de sistemas no son apropiados.

 Este rol controla los inicios de sesión para SQL Server.

 Este rol puede otorgar acceso a bases de datos dentro de SQL Server.
 Este rol, por sí solo, no puede definir ninguna seguridad adicional dentro de una base de
datos.
 Este es otro buen papel para los DBA junior cuando sysadmin es demasiado.
 Debido a que es un rol relacionado con la seguridad, la membresía debe restringirse
cuidadosamente, especialmente en la producción.

serveradmin
Otro papel cuyo nombre debería gritar, "¡Peligro!" Y, de hecho, este rol sí lo dice porque también
tiene permisos muy privilegiados. Un miembro de serveradmin puede controlar la configuración
de SQL Server e incluso apagar SQL Server emitiendo el comando SHUTDOWN si está conectado.
Debido a esto, rara vez debería ver a alguien ser miembro de este rol. Por lo general, los DBA
controlan la configuración de SQL Server y generalmente están en el rol fijo de servidor sysadmin,
que ya tiene dichos permisos. Hay ocasiones en las que es posible que desee que los DBA junior
tengan este nivel de acceso, pero generalmente desea que sus configuraciones de SQL Server se
estandaricen y cambien raramente, e incluso entonces, solo intencionalmente. Por lo tanto,
normalmente vería DBA senior con dicho acceso.

 Este rol gestiona la configuración de SQL Server.

 Esta es otra función que no he visto mucho en la práctica porque, por lo general, desea
DBA que sean miembros de la configuración de administración de sysadmin.
 Este es posiblemente un papel que le asignarías a un DBA junior, pero yo no,
especialmente en un sistema de producción.

Recuperado de : https://www.mssqltips.com/sqlservertip/1887/understanding-sql-server-fixed-
server-roles/