20/9/2016

Rolesdeniveldebasededatos

Roles de nivel de base de datos

SQL Server 2016

Se aplica a: SQL Server 2016

ESTE TEMA SE APLICA A:
SQL de Azure

SQL Server a partir de 2008

Base de datos SQL de Azure

Almacenamiento de datos

Almacenamiento de datos paralelos

Para administrar con facilidad los permisos en las bases de datos, SQL Server proporciona varios roles , que son las entidades de
seguridad que agrupan a otras entidades de seguridad. Son como los grupos del sistema operativo Microsoft Windows. Los
roles de nivel de base de datos se aplican a toda la base de datos en lo que respecta a su mbito de permisos.
Existen dos tipos de roles de nivel de base de datos en SQL Server: los roles fijos de base de datos, que estn predefinidos en la
base de datos, y los roles flexibles de base de datos, que pueden crearse.
Los roles fijos de base de datos se definen en el nivel de base de datos y existen en cada una de ellas. Los miembros de los roles
de base de datos db_owner pueden administrar la pertenencia a roles fijos de base de datos. Hay tambin algunos roles fijos de
base de datos con fines especiales en la base de datos msdb.
Puede agregar cualquier cuenta de la base de datos y otros roles de SQL Server a los roles de nivel de base de datos. Cada
miembro de un rol fijo de base de datos puede agregar otros inicios de sesin a ese mismo rol.

Importante

No agregue roles flexibles de la base de datos como miembros de roles fijos. Esto podra habilitar un aumento de privilegios
no deseado.
En la tabla siguiente se muestran los roles fijos de nivel de base de datos y sus capacidades. Estos roles existen en todas las
bases de datos.

Nombre de rol
de nivel de base
de datos

Descripcin

db_owner

Los miembros del rol fijo de base de datos db_owner pueden realizar todas las actividades de
configuracin y mantenimiento en la base de datos y tambin pueden quitar la base de datos.

db_securityadmi
n

Los miembros del rol fijo de base de datos db_securityadmin pueden modificar la pertenencia a roles y
administrar permisos. Si se agregan entidades de seguridad a este rol, podra habilitarse un aumento de
privilegios no deseado.

db_accessadmin

Los miembros del rol fijo de base de datos db_accessadmin pueden agregar o quitar el acceso a la base
de datos para inicios de sesin de Windows, grupos de Windows e inicios de sesin de SQL Server.

https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx

1/5

20/9/2016

Rolesdeniveldebasededatos

Nombre de rol
Descripcin
de
de base
Descripcin
rol nivel
de msdb
de datos
db_backupopera
tor

Los miembros del rol fijo de base de datos db_backupoperator pueden crear copias de seguridad de la
base de datos.

db_ddladmin

Los miembros del rol fijo de base de datos db_ddladmin pueden ejecutar cualquier comando del
lenguaje de definicin de datos DDL en una base de datos.

db_datawriter

Los miembros del rol fijo de base de datos db_datawriter pueden agregar, eliminar o cambiar datos en
todas las tablas de usuario.

db_datareader

Los miembros del rol fijo de base de datos db_datareader pueden leer todos los datos de todas las
tablas de usuario.

db_denydatawrit
er

Los miembros del rol fijo de base de datos db_denydatawriter no pueden agregar, modificar ni eliminar
datos de tablas de usuario de una base de datos.

db_denydatarea
der

Los miembros del rol fijo de base de datos db_denydatareader no pueden leer datos de las tablas de
usuario dentro de una base de datos.

Roles de msdb
La base de datos msdb contiene los roles con fines especiales que se muestran en la tabla siguiente.

Nombre de
rol de msdb
db_ssisadmi
n
db_ssisoper
ator

Descripcin
Los miembros de estos roles de base de datos pueden administrar y utilizar SSIS. Las instancias de SQL
Server que se actualizan desde una versin anterior podran contener una versin anterior del rol cuya
denominacin se realizaba al usar Servicios de transformacin de datos DTS en lugar de SSIS. Para obtener
ms informacin, vea Roles de Integration Services servicio SSIS.

db_ssisltdus
er
dc_admin
dc_operator

Los miembros de estos roles de base de datos pueden administrar y utilizar el recopilador de datos. Para
obtener ms informacin, consulte Data Collection.

dc_proxy
PolicyAdmin
istratorRole

Los miembros del rol de base de datos db_ PolicyAdministratorRole pueden realizar todas las actividades
de mantenimiento y configuracin en las condiciones y directivas de Administracin basada en directivas.
Para obtener ms informacin, vea Administrar servidores mediante administracin basada en directivas.

https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx

2/5

20/9/2016

Rolesdeniveldebasededatos

Caracterstica
Nombre
de
rol de msdb

Tipo
Descripcin

Descripcin

ServerGroup
Administrat
orRole

Los miembros de estos roles de base de datos pueden administrar y utilizar grupos de servidores
registrados.

ServerGrou
pReaderRole
dbm_monito
r

Se crea en la base de datos msdb cuando se registra la primera base de datos en el Monitor de creacin de
reflejo de la base de datos. El rol dbm_monitor no tiene miembros hasta que un administrador del sistema
asigna usuarios al rol.

Importante

Los miembros del rol db_ssisadmin y del rol dc_admin quiz puedan elevar sus privilegios a sysadmin. Esta elevacin de
privilegio se puede producir porque estos roles pueden modificar los paquetes de Integration Services y los paquetes de
Integration Services los puede ejecutar SQL Server utilizando el contexto de seguridad de sysadmin del Agente SQL Server.
Para protegerse contra esta elevacin de privilegio al ejecutar planes de mantenimiento, conjuntos de recopilacin de datos y
otros paquetes de Integration Services, configure los trabajos del Agente SQL Server que ejecutan paquetes para utilizar una
cuenta de proxy con privilegios limitados o agregar solo los miembros de sysadmin a los roles dc_admin y db_ssisadmin.

Trabajar con roles de nivel de base de datos

En la tabla siguiente se explican los comandos, las vistas y las funciones que se usan para trabajar con los roles de nivel de base
de datos.

Caracterstica

Tipo

Descripcin

sp_helpdbfixedrole
TransactSQL

Metadatos

Devuelve la lista de los roles fijos de base de datos.

sp_dbfixedrolepermis
sion TransactSQL

Metadatos

Muestra los permisos de un rol fijo de base de datos.

sp_helprole Transact
SQL

Metadatos

Devuelve informacin acerca de los roles de la base de datos actual.

sp_helprolemember
TransactSQL

Metadatos

Devuelve informacin acerca de los miembros de un rol de la base de datos actual.

sys.database_role_me
mbers TransactSQL

Metadatos

Devuelve una fila por cada miembro de cada rol de base de datos.

https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx

3/5

20/9/2016

Rolesdeniveldebasededatos

Caracterstica

Tipo

Descripcin

IS_MEMBER
TransactSQL

Metadatos

Indica si el usuario actual es miembro del grupo de Microsoft Windows o del rol de
base de datos de SQL Server especificados.

CREATE ROLE
TransactSQL

Command

Crea un rol de base de datos nuevo en la base de datos actual.

ALTER ROLE
TransactSQL

Command

Cambia el nombre de un rol de base de datos.

DROP ROLE
TransactSQL

Command

Quita un rol de la base de datos.

sp_addrole Transact
SQL

Command

Crea un rol de base de datos nuevo en la base de datos actual.

sp_droprole
TransactSQL

Command

Quita un rol de base de datos de la base de datos actual.

sp_addrolemember
TransactSQL

Command

Agrega un usuario de base de datos, un rol de base de datos, un inicio de sesin de

Windows o un grupo de Windows a un rol de base de datos en la base de datos
actual.

sp_droprolemember
TransactSQL

Command

Quita una cuenta de seguridad de un rol de SQL Server de la base de datos actual.

Rol de base de datos public

Todos los usuarios de una base de datos pertenecen al rol de base de datos public s. Cuando a un usuario no se le han
concedido ni denegado permisos especficos para un objeto protegible, el usuario hereda los permisos concedidos a la funcin
pblica para ese objeto.

Contenido relacionado
Vistas de catlogo de seguridad TransactSQL
Procedimientos almacenados de seguridad TransactSQL
Funciones de seguridad TransactSQL
Proteger SQL Server
sp_helprotect TransactSQL

Adiciones de comunidad
https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx

4/5

20/9/2016

Rolesdeniveldebasededatos

2016 Microsoft

https://msdn.microsoft.com/esmx/library/ms189121(d=printer).aspx

5/5