Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
SQL Server fournit des rôles au niveau du serveur pour vous aider à gérer les autorisations sur les serveurs. Ces rôles sont des principaux de sécurité qui regroupent d'autres principaux. Les autorisations des rôles serveur ont une portée à l'échelle du serveur. (Lesrôles sont semblables aux groupes du système d’exploitation Microsoft Windows.)
Les rôles serveur fixes sont fournis à des fins de commodité et de compatibilité descendante. Attribuez des autorisations plus spécifiques chaque fois que possible.
SQL Server fournit neuf rôles serveur fixes. Les autorisations accordées aux rôles serveur fixes ne peuvent pas être modifiées. À compter de SQL Server 2012, vous pouvez créer des rôles serveur définis par l’utilisateur et ajouter des autorisations au niveau du serveur aux rôles serveur définis par l’utilisateur.
Vous pouvez ajouter des principaux au niveau du serveur (connexions SQL Server, comptes et groupes Windows) à des rôles au niveau du serveur. Chaque membre d'un rôle serveur fixe peut ajouter des connexions à ce rôle. Les membres des rôles serveur définis par l’utilisateur ne peuvent pas ajouter d’autres principaux de serveur au rôle.
Rectification des rôles Server-Level
Le tableau ci-dessous répertorie les rôles serveur fixes et leurs fonctionnalités.
| Rôles serveur fixes | Descriptif |
|---|---|
| administrateur système | Les membres du rôle serveur fixe sysadmin peuvent effectuer n’importe quelle activité sur le serveur. |
| administrateur de serveur | Les membres du rôle serveur fixe serveradmin peuvent modifier les options de configuration à l’échelle du serveur et arrêter le serveur. |
| administrateur de sécurité | Les membres du rôle serveur fixe securityadmin gèrent les connexions et leurs propriétés. Ils peuvent assigner des autorisations GRANT, DENY et REVOKE au niveau du serveur. Ils peuvent également ACCORDER, REFUSER et RÉVOQUER des autorisations au niveau de la base de données s’ils ont accès à une base de données. En outre, ils peuvent réinitialiser les mots de passe pour les comptes de connexion SQL Server. ** Note de sécurité ** La possibilité d’accorder l’accès au moteur de base de données et de configurer les autorisations utilisateur permet à l’administrateur de sécurité d’attribuer la plupart des autorisations de serveur. Le securityadmin rôle doit être traité comme équivalent au sysadmin rôle. |
| administrateur de processus | Les membres du rôle serveur fixe processadmin peuvent mettre fin aux processus qui s’exécutent dans une instance de SQL Server. |
| administrateur de configuration | Les membres du rôle serveur fixe setupadmin peuvent ajouter et supprimer des serveurs liés à l’aide d’instructions Transact-SQL. (l’appartenance sysadmin est nécessaire lors de l’utilisation de Management Studio.) |
| bulkadmin | Les membres du rôle serveur fixe bulkadmin peuvent exécuter l’instruction BULK INSERT. |
| administrateur de disque | Le rôle serveur fixe diskadmin est utilisé pour gérer les fichiers de disque. |
| dbcreator | Les membres du rôle serveur fixe dbcreator peuvent créer, modifier, supprimer et restaurer n’importe quelle base de données. |
| public | Chaque connexion SQL Server appartient au rôle serveur public. Lorsqu’un principal de serveur n’a pas été accordé ou refusé des autorisations spécifiques sur un objet sécurisable, l’utilisateur hérite des autorisations accordées à public sur cet objet. Attribuez uniquement des autorisations publiques sur n’importe quel objet lorsque vous souhaitez que l’objet soit disponible pour tous les utilisateurs. Vous ne pouvez pas modifier l’appartenance au public. Remarque : le public est implémenté différemment des autres rôles. Toutefois, les autorisations peuvent être accordées, refusées ou révoquées du public. |
Autorisations des rôles serveur fixes
Certaines autorisations sont assignées à chaque rôle serveur fixe. Pour obtenir un graphique des autorisations affectées aux rôles serveur, consultez Serveur fixe du moteur de base de données et Rôles de base de données fixes.
Important
L’autorisation CONTROL SERVER est similaire, mais pas identique au sysadmin rôle serveur fixe. Les autorisations n’impliquent pas les appartenances aux rôles et les appartenances aux rôles n’accordent pas d’autorisations. (Par exemple, CONTROL SERVER n’implique pas l’appartenance au sysadmin rôle serveur fixe.) Toutefois, il est parfois possible d'usurper l'identité entre différents rôles et leurs permissions équivalentes. La plupart des DBCC commandes et de nombreuses procédures système nécessitent l’appartenance au sysadmin rôle serveur fixe. Pour obtenir la liste des 171 procédures stockées système qui nécessitent une appartenance sysadmin, consultez le billet de blog suivant d'Andreas Wolter CONTROL SERVER vs. sysadmin/sa : permissions, procédures système, DBCC, création automatique de schémas et escalade de privilèges - mises en garde.
Autorisations de Server-Level
Seules des autorisations au niveau du serveur peuvent être ajoutées aux rôles serveur définis par l'utilisateur. Pour répertorier les autorisations au niveau du serveur, exécutez l'instruction suivante. Les autorisations au niveau du serveur sont :
SELECT * FROM sys.fn_builtin_permissions('SERVER') ORDER BY permission_name;
Pour plus d’informations sur les autorisations, consultez Autorisations (moteur de base de données) et sys.fn_builtin_permissions (Transact-SQL).
Utilisation des rôles Server-Level
Le tableau ci-dessous explique les commandes, vues et fonctions permettant d'utiliser les rôles serveur.
| Caractéristique | Catégorie | Descriptif |
|---|---|---|
| sp_helpsrvrole (Transact-SQL) | Métadonnées | Retourne la liste des rôles au niveau du serveur. |
| sp_helpsrvrolemember (Transact-SQL) | Métadonnées | Retourne des informations sur les membres d'un rôle au niveau du serveur. |
| sp_srvrolepermission (Transact-SQL) | Métadonnées | Affiche les autorisations d'un rôle au niveau du serveur. |
| IS_SRVROLEMEMBER (Transact-SQL) | Métadonnées | Indique si une connexion SQL Server est membre du rôle au niveau du serveur spécifié. |
| sys.server_role_members (Transact-SQL) | Métadonnées | Retourne une ligne pour chaque membre de chaque rôle serveur. |
| sp_addsrvrolemember (Transact-SQL) | Commande | Ajoute une connexion en tant que membre d'un rôle serveur. Obsolète. Utilisez plutôt ALTER SERVER ROLE . |
| sp_dropsrvrolemember (Transact-SQL) | Commande | Supprime un login SQL Server ou un utilisateur ou groupe Windows d'un rôle au niveau du serveur. Obsolète. Utilisez plutôt ALTER SERVER ROLE . |
| CRÉER UN RÔLE DE SERVEUR (Transact-SQL) | Commande | Crée un rôle serveur défini par l'utilisateur. |
| ALTER SERVER ROLE (Transact-SQL) | Commande | Modifie l'appartenance d'un rôle serveur ou modifie le nom d'un rôle serveur défini par l'utilisateur. |
| DROP SERVER ROLE (Transact-SQL) | Commande | Supprime un rôle de serveur défini par l'utilisateur. |
| IS_SRVROLEMEMBER (Transact-SQL) | Fonction | Détermine l’appartenance au rôle serveur. |
Voir aussi
Rôles au niveau de la base de données
Affichages catalogue liées à la sécurité (Transact-SQL)
Fonctions de sécurité (Transact-SQL)
Sécurisation de SQL Server
GRANT – octroi d'autorisations de principal de serveur (Transact-SQL)
REVOKE – révocation d'autorisations de principal de serveur (Transact-SQL)
DENY – refus d'autorisations du principal de serveur (Transact-SQL)
Créer un rôle serveur