Está en la página 1de 8

INSTITUTO TECNOLOGICO SUPERIOR DE COATZACOALCOS

ITESCO

Privilegios de SQL
Distribucin de Base de Datos
Angel Meza Jimenez
Ing. Sistemas Computacionales
Ing. Jose Eduardo Ros Mendoza
7B

Roles de nivel de base de datos

Roles fijo de base de datos


En la tabla siguiente se muestran los roles fijos de base de datos y sus funcionalidades.
Estos roles existen en todas las bases de datos. No se pueden cambiar los permisos
asignados a los roles fijos de base de datos.

Nombre del rol fijo


de base de datos

Description

db_owner

Los miembros del rol fijo de base de datos db_owner pueden


realizar todas las actividades de configuracin y mantenimiento
en la base de datos y tambin pueden quitar la base de datos en
SQL Server. (En Base de datos SQL y Almacenamiento de datos
SQL, algunas actividades de mantenimiento requieren permisos
a nivel de servidor y los roles db_owners no las pueden
realizar).

db_securityadmin

Los miembros del rol fijo de base de


datos db_securityadmin pueden modificar la pertenencia a
roles y administrar permisos. Si se agregan entidades de
seguridad a este rol, podra habilitarse un aumento de
privilegios no deseado.

db_accessadmin

Los miembros del rol fijo de base de


datos db_accessadmin pueden agregar o quitar el acceso a la
base de datos para inicios de sesin de Windows, grupos de
Windows e inicios de sesin de SQL Server.

db_backupoperator

Los miembros del rol fijo de base de


datos db_backupoperator pueden crear copias de seguridad de
la base de datos.

Nombre del rol fijo


de base de datos

Description

db_ddladmin

Los miembros del rol fijo de base de


datos db_ddladmin pueden ejecutar cualquier comando del
lenguaje de definicin de datos (DDL) en una base de datos.

db_datawriter

Los miembros del rol fijo de base de


datos db_datawriter pueden agregar, eliminar o cambiar datos
en todas las tablas de usuario.

db_datareader

Los miembros del rol fijo de base de


datos db_datareader pueden leer todos los datos de todas las
tablas de usuario.

db_denydatawriter

Los miembros del rol fijo de base de


datos db_denydatawriter no pueden agregar, modificar ni
eliminar datos de tablas de usuario de una base de datos.

db_denydatareader

Los miembros del rol fijo de base de


datos db_denydatareader no pueden leer datos de las tablas de
usuario dentro de una base de datos.

No se pueden cambiar los permisos asignados a los roles fijos de base de datos. La
ilustracin siguiente muestra los permisos asignados a los roles fijos de base de datos:

Roles especiales para Base de datos SQL y Almacenamiento de datos SQL


Estos roles de base de datos solo existen en la base de datos maestra virtual. Sus
permisos estn restringidos a las acciones realizadas en la base de datos maestra. Solo

los usuarios de base de datos en la base de datos maestra se pueden agregar a estos
roles. Los inicios de sesin no se pueden agregar a estos roles, pero los usuarios se
pueden crear basados en inicios de sesin y, luego, esos usuarios se pueden agregar a
los roles. Los usuarios de bases de datos independientes en la base de datos maestra
tambin se pueden agregar a estos roles.

Nombre de
rol

Description

dbmanager

Puede crear y eliminar bases de datos. Un miembro del rol dbmanager


que crea una base de datos se convierte en el propietario de dicha base
de datos, lo que permite que el usuario se conecte a ella como el usuario
dbo. El usuario dbo tiene todos los permisos de base de datos en la base
de datos. Los miembros del rol dbmanager no necesariamente tienen
permiso para obtener acceso a las bases de datos que no son de su
propiedad.

loginmanage
r

Puede crear y eliminar inicios de sesin en la base de datos maestra


virtual.

Roles de msdb
La base de datos msdb contiene los roles con fines especiales que se muestran en la
tabla siguiente.

Nombre de rol de msdb

Descripcin

db_ssisadmin

Los miembros de estos roles de base de datos pueden


administrar y utilizar SSIS. Las instancias de SQL
Server que se actualizan desde una versin anterior
podran contener una versin anterior del rol cuya
denominacin se realizaba al usar Servicios de
transformacin de datos (DTS) en lugar de SSIS.
Para obtener ms informacin, vea Roles de
Integration Services (servicio SSIS).

db_ssisoperator
db_ssisltduser

Nombre de rol de msdb

Descripcin

dc_admin

Los miembros de estos roles de base de datos pueden


administrar y utilizar el recopilador de datos. Para
obtener ms informacin, consulte Data Collection.

dc_operator
dc_proxy

PolicyAdministratorRole

Los miembros del rol de base de datos db_


PolicyAdministratorRole pueden realizar todas las
actividades de mantenimiento y configuracin en las
condiciones y directivas de Administracin basada en
directivas. Para obtener ms informacin,
veaAdministrar servidores mediante administracin
basada en directivas.

ServerGroupAdministratorRol
e

Los miembros de estos roles de base de datos pueden


administrar y utilizar grupos de servidores
registrados.

ServerGroupReaderRole

dbm_monitor

Se crea en la base de datos msdb cuando se registra


la primera base de datos en el Monitor de creacin de
reflejo de la base de datos. El rol dbm_monitor no
tiene miembros hasta que un administrador del
sistema asigna usuarios al rol.

Trabajar con roles de nivel de base de datos


En la tabla siguiente se explican los comandos, las vistas y las funciones que se usan
para trabajar con los roles de nivel de base de datos.

Caracterstica

Tipo

Descripcin

sp_helpdbfixedrole
(Transact-SQL)

Metadatos

Devuelve la lista de los roles fijos de base


de datos.

sp_dbfixedrolepermission
(Transact-SQL)

Metadatos

Muestra los permisos de un rol fijo de base


de datos.

sp_helprole (Transact-SQL)

Metadatos

Devuelve informacin acerca de los roles


de la base de datos actual.

sp_helprolemember
(Transact-SQL)

Metadatos

Devuelve informacin acerca de los


miembros de un rol de la base de datos
actual.

sys.database_role_members
(Transact-SQL)

Metadatos

Devuelve una fila por cada miembro de


cada rol de base de datos.

IS_MEMBER (TransactSQL)

Metadatos

Indica si el usuario actual es miembro del


grupo de Microsoft Windows o del rol de
base de datos de SQL Server especificados.

CREATE ROLE (TransactSQL)

Command

Crea un rol de base de datos nuevo en la


base de datos actual.

ALTER ROLE (Transact-

Command

Cambia el nombre o la pertenencia de un

Caracterstica

Tipo

SQL)

Descripcin

rol de base de datos.

DROP ROLE (TransactSQL)

Command

Quita un rol de la base de datos.

sp_addrole (Transact-SQL)

Command

Crea un rol de base de datos nuevo en la


base de datos actual.

sp_droprole (Transact-SQL)

Command

Quita un rol de base de datos de la base de


datos actual.

sp_addrolemember
(Transact-SQL)

Command

Agrega un usuario de base de datos, un rol


de base de datos, un inicio de sesin de
Windows o un grupo de Windows a un rol
de base de datos en la base de datos actual.
Todas las plataformas, salvo
Almacenamiento de datos paralelos, deben
usar ALTER ROLE en su lugar.

sp_droprolemember
(Transact-SQL)

Command

Quita una cuenta de seguridad de un rol de


SQL Server de la base de datos actual.
Todas las plataformas, salvo
Almacenamiento de datos paralelos, deben
usar ALTER ROLE en su lugar.

GRANT

Permission

Agrega el permiso a un rol.

Caracterstica

Tipo

Descripcin

DENY

Permission
s

Deniega un permiso a un rol.

REVOKE

Permission
s

Quita un permiso concedido o denegado


anteriormente.