Freigeben über


Datenauflistersicherheit

Der Datenauflister verwendet das von dem SQL Server-Agent implementierte rollenbasierte Sicherheitsmodell. Mit diesem Modell kann der Datenbankadministrator die verschiedenen Datenauflistertasks in einem Sicherheitskontext ausführen, der nur über die zum Ausführen dieses Tasks erforderlichen Berechtigungen verfügt. Dieser Ansatz wird auch für Vorgänge mit internen Tabellen verwendet, auf die nur unter Verwendung einer gespeicherten Prozedur oder Sicht zugegriffen werden kann. Für interne Tabellen werden keine Berechtigungen gewährt. Stattdessen werden Berechtigungen für den Benutzer der gespeicherten Prozedur oder der Sicht überprüft, die für den Zugriff auf eine Tabelle verwendet werden.

Wichtiger HinweisWichtig

Ein anderer Hauptaspekt dieses Sicherheitsmodells sind konzentrische Berechtigungen. Mit konzentrischen Berechtigungen erben Rollen mit höheren Berechtigungen die Berechtigungen von Rollen mit niedrigeren Berechtigungen für Objekte (einschließlich Warnungen, Operatoren, Aufträgen, Zeitplänen und Proxys). Weitere Informationen finden Sie unter Feste Datenbankrollen des SQL Server-Agents.

In den folgenden Abschnitten werden die Datenauflistungssicherheit im Allgemeinen sowie die Rollen beschrieben, die Sie Benutzern erteilen müssen, damit diese den Datenauflister konfigurieren und verwenden und mit dem Verwaltungs-Data Warehouse verbundene Tasks ausführen können.

Allgemeine Sicherheit

Der Datenauflister wird gemäß der für SQL Server 2008 festgelegten dokumentierten Standards installiert. Weitere Informationen finden Sie unter Sichere Bereitstellung (Datenbankmodul).

Netzwerksicherheit

Vertrauliche Informationen können zwischen Zielinstanzen, der mit dem Konfigurationsserver verbundenen relationalen Instanz, den ausgeführten Auflistsätzen und dem Server, der das Verwaltungs-Data Warehouse hostet, übergeben werden.

Zum Schützen von Daten, die über ein Netzwerk übertragen werden, werden die Standardsicherheitsmechanismen implementiert, beispielsweise Protokollverschlüsselung für Transact-SQL.

Berechtigungen zum Konfigurieren und Verwenden des Datenauflisters

Je nach Task müssen Benutzer Mitglieder von mindestens einer festen Datenbankrolle sein, die für den Datenauflister bereitgestellt wurde. Beginnend mit der höchsten Zugriffsberechtigung bis zur niedrigsten Zugriffsberechtigung stehen folgende Rollen zur Verfügung:

  • dc_admin

  • dc_operator

  • dc_proxy

Diese Rollen werden in der msdb-Datenbank gespeichert. Standardmäßig ist kein Benutzer Mitglied dieser Datenbankrollen. Die Benutzermitgliedschaft in diesen Rollen muss explizit erteilt werden.

Benutzer, die Mitglieder der festen Serverrolle sysadmin sind, haben Vollzugriff auf SQL Server-Agent-Objekte und -Datenauflistersichten. Datenauflisterrollen müssen jedoch explizit hinzugefügt werden.

Wichtiger HinweisWichtig

Mitglieder der db_ssisadmin-Rolle und der dc_admin-Rolle können Ihre Berechtigungen möglicherweise auf sysadmin erhöhen. Diese Ausweitung von Berechtigungen ist möglich, da diese Rollen Integration Services-Pakete ändern können und Integration Services-Pakete von SQL Server mithilfe des sysadmin-Sicherheitskontexts des SQL Server-Agents ausgeführt werden können. Konfigurieren Sie als Schutz vor dieser Ausweitung von Berechtigungen beim Ausführen von Wartungsplänen, Datenauflistsätzen und anderen Integration Services-Paketen Aufträge des SQL Server-Agents, die Pakete ausführen, für die Verwendung eines Proxykontos mit eingeschränkten Berechtigungen, oder fügen Sie der db_ssisadmin-Rolle und der dc_admin-Rolle nur sysadmin-Mitglieder hinzu.

dc_admin-Rolle

Der dc_admin-Rolle zugewiesene Benutzer haben vollen Administratorzugriff (Erstellen, Lesen, Aktualisieren und Löschen) auf die Datenauflisterkonfiguration auf einer Serverinstanz. Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:

  • Festlegen von Eigenschaften auf Auflisterebene.

  • Hinzufügen neuer Auflistsätze.

  • Installieren neuer Auflistungstypen.

  • Ausführen aller Vorgänge, die der dc_operator-Rolle erteilt wurden.

Die dc_admin-Rolle ist ein Mitglied der folgenden Rollen:

  • SQLAgentUserRole. Diese Rolle ist zum Erstellen von Zeitplänen und zum Ausführen von Aufträgen erforderlich.

    HinweisHinweis

    Für den Datenauflister erstellte Proxys müssen den Zugriff auf dc_admin gewähren, damit sie erstellt und für alle Schritte eines Auftrags verwendet werden können, für die ein Proxy erforderlich ist.

  • dc_operator. Mitglieder von dc_admin erben die Berechtigungen, die dc_operator gewährt wurden.

dc_operator-Rolle

Mitglieder der dc_operator-Rolle verfügen über Lese- und Aktualisierungszugriff. Diese Rolle unterstützt Vorgangstasks in Bezug auf das Ausführen und Konfigurieren von Auflistsätzen. Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:

  • Starten oder Beenden eines Auflistsatzes.

  • Auflisten vorhandener Auflistsätze.

  • Anzeigen der mit einem Auflistsatz verbundenen ausführlichen Informationen (beispielsweise Auflistelemente und Auflistungshäufigkeit).

  • Ändern der Hochladehäufigkeit für vorhandene Auflistsätze.

  • Ändern der Auflistungshäufigkeit für Auflistelemente, die Teil eines vorhandenen Auflistsatzes sind.

Die dc_operator-Rolle ist ein Mitglied der folgenden Rolle:

  • db_ssisltduser. Die Mitgliedschaft in dieser Rolle ist erforderlich, damit Mitglieder Datenauflisterpakete aufzählen und anzeigen können. Weitere Informationen finden Sie unter Verwenden von Integration Services-Rollen.

dc_proxy-Rolle

Mitglieder der dc_proxy-Rolle verfügen über Lesezugriff auf Auflistsätze des Datenauflisters und Eigenschaften auf Auflisterebene. Die Mitglieder dieser Rolle können auch Aufträge anzeigen und ausführen, deren Besitzer sie sind, und Auftragsschritte erstellen, die als bereits vorhandenes Proxykonto ausgeführt werden.

Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:

  • Anzeigen der mit einem Auflistsatz verbundenen Konfigurationsinformationen (beispielsweise Eingabeparameter für Auflistelemente und die Auflistungshäufigkeit für diese Elemente).

  • Abrufen interner verschlüsselter Informationen, auf die nur von einer signierten gespeicherten Prozedur zugegriffen werden kann (beispielsweise Informationen über eine Data Warehouse-Verbindung, die zum Hochladen von Daten verwendet wird).

  • Protokollieren von Laufzeitereignissen für einen Auflistsatz.

Die dc_proxy-Rolle ist ein Mitglied der folgenden Rolle:

  • db_ssisltduser. Die Mitgliedschaft in dieser Rolle ist erforderlich, damit Mitglieder Datenauflisterpakete aufzählen und anzeigen können. Weitere Informationen finden Sie unter Verwenden von Integration Services-Rollen.

Berechtigungen zum Konfigurieren und Verwenden des Verwaltungs-Data Warehouse

Je nach Task müssen Benutzer Mitglieder von mindestens einer festen Datenbankrolle sein, die für den Zugriff auf das Verwaltungs-Data Warehouse bereitgestellt wurde. Beginnend mit der höchsten Zugriffsberechtigung bis zur niedrigsten Zugriffsberechtigung stehen folgende Rollen zur Verfügung:

  • mdw_admin

  • mdw_writer

  • mdw_reader

Diese Rollen werden in der msdb-Datenbank gespeichert. Standardmäßig ist kein Benutzer Mitglied dieser Datenbankrollen. Die Benutzermitgliedschaft in diesen Rollen muss explizit erteilt werden.

Benutzer, die Mitglieder der festen Serverrolle sysadmin sind, haben Vollzugriff auf Datenauflistersichten. Sie müssen jedoch explizit Datenbankrollen hinzugefügt werden, um andere Vorgänge ausführen zu können.

mdw_admin-Rolle

Mitglieder der mdw_admin-Rolle verfügen über Lese-, Schreib-, Aktualisierungs- und Löschzugriff auf das Verwaltungs-Data Warehouse.

Mitglieder dieser Rolle können die folgenden Vorgänge ausführen:

  • Ändern des Verwaltungs-Data Warehouse-Schemas, falls erforderlich (beispielsweise Hinzufügen einer neuen Tabelle, wenn ein neuer Auflistertyp installiert wird).

    HinweisHinweis

    Bei einer Schemaänderung muss ein Benutzer auch Mitglied der dc_admin-Rolle sein, um einen neuen Auflistertyp installieren zu können, da für diese Aktion eine Berechtigung zum Aktualisieren der Datenauflisterkonfiguration in msdb erforderlich ist.

  • Ausführen von Wartungsaufträgen für das Verwaltungs-Data Warehouse, beispielsweise Archivierung oder Cleanup.

mdw_writer-Rolle

Mitglieder der mdw_writer-Rolle können Daten in das Verwaltungs-Data Warehouse hochladen und schreiben. Jeder Datenauflister, der Daten in dem Verwaltungs-Data Warehouse speichert, muss ein Mitglied dieser Rolle sein.

mdw_reader-Rolle

Mitglieder der mdw_reader-Rolle verfügen über Lesezugriff auf das Verwaltungs-Data Warehouse. Da diese Rolle zur Unterstützung bei der Problembehandlung dient, indem sie Zugriff auf Verlaufsdaten bietet, können Mitglieder dieser Rolle andere Elemente des Verwaltungs-Data Warehouse-Schemas nicht anzeigen.