Professional Documents
Culture Documents
Rolesdeniveldebasededatos
Almacenamiento de datos
Para administrar con facilidad los permisos en las bases de datos, SQL Server proporciona varios roles , que son las entidades de
seguridad que agrupan a otras entidades de seguridad. Son como los grupos del sistema operativo Microsoft Windows. Los
roles de nivel de base de datos se aplican a toda la base de datos en lo que respecta a su mbito de permisos.
Existen dos tipos de roles de nivel de base de datos en SQL Server: los roles fijos de base de datos, que estn predefinidos en la
base de datos, y los roles flexibles de base de datos, que pueden crearse.
Los roles fijos de base de datos se definen en el nivel de base de datos y existen en cada una de ellas. Los miembros de los roles
de base de datos db_owner pueden administrar la pertenencia a roles fijos de base de datos. Hay tambin algunos roles fijos de
base de datos con fines especiales en la base de datos msdb.
Puede agregar cualquier cuenta de la base de datos y otros roles de SQL Server a los roles de nivel de base de datos. Cada
miembro de un rol fijo de base de datos puede agregar otros inicios de sesin a ese mismo rol.
Importante
No agregue roles flexibles de la base de datos como miembros de roles fijos. Esto podra habilitar un aumento de privilegios
no deseado.
En la tabla siguiente se muestran los roles fijos de nivel de base de datos y sus capacidades. Estos roles existen en todas las
bases de datos.
Nombre de rol
de nivel de base
de datos
Descripcin
db_owner
Los miembros del rol fijo de base de datos db_owner pueden realizar todas las actividades de
configuracin y mantenimiento en la base de datos y tambin pueden quitar la base de datos.
db_securityadmi
n
Los miembros del rol fijo de base de datos db_securityadmin pueden modificar la pertenencia a roles y
administrar permisos. Si se agregan entidades de seguridad a este rol, podra habilitarse un aumento de
privilegios no deseado.
db_accessadmin
Los miembros del rol fijo de base de datos db_accessadmin pueden agregar o quitar el acceso a la base
de datos para inicios de sesin de Windows, grupos de Windows e inicios de sesin de SQL Server.
https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx
1/5
20/9/2016
Rolesdeniveldebasededatos
Nombre de rol
Descripcin
de
de base
Descripcin
rol nivel
de msdb
de datos
db_backupopera
tor
Los miembros del rol fijo de base de datos db_backupoperator pueden crear copias de seguridad de la
base de datos.
db_ddladmin
Los miembros del rol fijo de base de datos db_ddladmin pueden ejecutar cualquier comando del
lenguaje de definicin de datos DDL en una base de datos.
db_datawriter
Los miembros del rol fijo de base de datos db_datawriter pueden agregar, eliminar o cambiar datos en
todas las tablas de usuario.
db_datareader
Los miembros del rol fijo de base de datos db_datareader pueden leer todos los datos de todas las
tablas de usuario.
db_denydatawrit
er
Los miembros del rol fijo de base de datos db_denydatawriter no pueden agregar, modificar ni eliminar
datos de tablas de usuario de una base de datos.
db_denydatarea
der
Los miembros del rol fijo de base de datos db_denydatareader no pueden leer datos de las tablas de
usuario dentro de una base de datos.
Roles de msdb
La base de datos msdb contiene los roles con fines especiales que se muestran en la tabla siguiente.
Nombre de
rol de msdb
db_ssisadmi
n
db_ssisoper
ator
Descripcin
Los miembros de estos roles de base de datos pueden administrar y utilizar SSIS. Las instancias de SQL
Server que se actualizan desde una versin anterior podran contener una versin anterior del rol cuya
denominacin se realizaba al usar Servicios de transformacin de datos DTS en lugar de SSIS. Para obtener
ms informacin, vea Roles de Integration Services servicio SSIS.
db_ssisltdus
er
dc_admin
dc_operator
Los miembros de estos roles de base de datos pueden administrar y utilizar el recopilador de datos. Para
obtener ms informacin, consulte Data Collection.
dc_proxy
PolicyAdmin
istratorRole
Los miembros del rol de base de datos db_ PolicyAdministratorRole pueden realizar todas las actividades
de mantenimiento y configuracin en las condiciones y directivas de Administracin basada en directivas.
Para obtener ms informacin, vea Administrar servidores mediante administracin basada en directivas.
https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx
2/5
20/9/2016
Rolesdeniveldebasededatos
Caracterstica
Nombre
de
rol de msdb
Tipo
Descripcin
Descripcin
ServerGroup
Administrat
orRole
Los miembros de estos roles de base de datos pueden administrar y utilizar grupos de servidores
registrados.
ServerGrou
pReaderRole
dbm_monito
r
Se crea en la base de datos msdb cuando se registra la primera base de datos en el Monitor de creacin de
reflejo de la base de datos. El rol dbm_monitor no tiene miembros hasta que un administrador del sistema
asigna usuarios al rol.
Importante
Los miembros del rol db_ssisadmin y del rol dc_admin quiz puedan elevar sus privilegios a sysadmin. Esta elevacin de
privilegio se puede producir porque estos roles pueden modificar los paquetes de Integration Services y los paquetes de
Integration Services los puede ejecutar SQL Server utilizando el contexto de seguridad de sysadmin del Agente SQL Server.
Para protegerse contra esta elevacin de privilegio al ejecutar planes de mantenimiento, conjuntos de recopilacin de datos y
otros paquetes de Integration Services, configure los trabajos del Agente SQL Server que ejecutan paquetes para utilizar una
cuenta de proxy con privilegios limitados o agregar solo los miembros de sysadmin a los roles dc_admin y db_ssisadmin.
Caracterstica
Tipo
Descripcin
sp_helpdbfixedrole
TransactSQL
Metadatos
sp_dbfixedrolepermis
sion TransactSQL
Metadatos
sp_helprole Transact
SQL
Metadatos
sp_helprolemember
TransactSQL
Metadatos
sys.database_role_me
mbers TransactSQL
Metadatos
Devuelve una fila por cada miembro de cada rol de base de datos.
https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx
3/5
20/9/2016
Rolesdeniveldebasededatos
Caracterstica
Tipo
Descripcin
IS_MEMBER
TransactSQL
Metadatos
Indica si el usuario actual es miembro del grupo de Microsoft Windows o del rol de
base de datos de SQL Server especificados.
CREATE ROLE
TransactSQL
Command
ALTER ROLE
TransactSQL
Command
DROP ROLE
TransactSQL
Command
sp_addrole Transact
SQL
Command
sp_droprole
TransactSQL
Command
sp_addrolemember
TransactSQL
Command
sp_droprolemember
TransactSQL
Command
Quita una cuenta de seguridad de un rol de SQL Server de la base de datos actual.
Contenido relacionado
Vistas de catlogo de seguridad TransactSQL
Procedimientos almacenados de seguridad TransactSQL
Funciones de seguridad TransactSQL
Proteger SQL Server
sp_helprotect TransactSQL
Adiciones de comunidad
https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx
4/5
20/9/2016
Rolesdeniveldebasededatos
2016 Microsoft
https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx
5/5