Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
SQL Server Integration Services содержит три фиксированных роли уровня базы данных, db_ssisadmin, db_ssisltduser и db_ssisoperator, которые используются для управления доступом к пакетам. Роли можно реализовать только в пакетах, которые сохранены в базе данных msdb на SQL Server. Вы назначаете роли пакету с помощью средства SQL Server Management Studio. Назначения ролей сохраняются в msdb базе данных.
Действия чтения и записи
В следующей таблице описываются действия чтения и записи ролей Windows и фиксированных ролей уровня базы данных в службах Integration Services.
| Должность | Действие чтения | Действие записи |
|---|---|---|
db_ssisadminили sysadmin |
Перечислить собственные пакеты. Перечислите все пакеты. Просмотр собственных пакетов. Просмотр всех пакетов. Выполняйте собственные пакеты. Выполните все пакеты. Экспорт собственных пакетов. Экспортируйте все пакеты. Выполните все пакеты в агенте SQL Server. |
Импорт пакетов. Удалите собственные пакеты. Удалите все пакеты. Изменение собственных ролей пакета. Измените роли всех пакетов. **Важно** Члены роли db_ssisadmin и роли dc_admin могут иметь возможность повысить свои привилегии до уровня sysadmin. Это повышение привилегий может произойти, так как эти роли могут изменять пакеты служб Integration Services и пакеты служб Integration Services могут выполняться SQL Server с помощью контекста безопасности sysadmin агента SQL Server. Чтобы защититься от повышения привилегий при выполнении планов обслуживания, наборов данных для сбора информации и других пакетов служб Integration Services, настройте задания агента SQL Server, которые запускают пакеты, так, чтобы использовать учетную запись прокси с ограниченными привилегиями или добавлять в роли db_ssisadmin и dc_admin исключительно членов sysadmin. |
| db_ssisltduser | Перечислите собственные пакеты. Перечислите все пакеты. Просмотр собственных пакетов. Запустить собственные пакеты. Экспорт собственных пакетов. |
Импорт пакетов. Удаление собственных пакетов. Изменение собственных ролей пакета. |
| db_ssisoperator | Перечислите все пакеты. Просмотр всех пакетов. Выполните все пакеты. Экспортируйте все пакеты. Выполните все пакеты в агенте SQL Server. |
Отсутствует |
| Администраторы Windows | Просмотр сведений о выполнении всех запущенных пакетов. | Остановите все запущенные пакеты. |
Таблица Sysssispackages
Таблица sysssispackages содержит пакеты, сохраненные в msdb SQL Server. Дополнительные сведения см. в разделе sysssispackages (Transact-SQL).
Таблица sysssispackages содержит столбцы , содержащие сведения о ролях, назначенных пакетам.
Столбец readerrole указывает роль, которая имеет доступ на чтение к пакету.
Столбец writerole указывает роль, которая имеет доступ на запись к пакету.
Столбец ownersid содержит уникальный идентификатор безопасности пользователя, создавшего пакет. Этот столбец определяет владельца пакета.
Разрешения
По умолчанию разрешения фиксированных ролей уровня базы данных db_ssisadmin и db_ssisoperator, а также уникальный идентификатор безопасности пользователя, который создал пакет, применяются к роли чтения для пакетов. Разрешения роли db_ssisadmin и уникальный идентификатор безопасности пользователя, который создал пакет, применяются к роли записи. Пользователь должен быть членом роли db_ssisadmin, db_ssisltduser или db_ssisoperator, чтобы иметь доступ на чтение к пакету. Пользователь должен быть участником db_ssisadmin роли, чтобы иметь доступ на запись.
Доступ к пакетам
Фиксированные роли уровня базы данных работают вместе с определяемыми пользователем ролями. Определяемые пользователем роли — это роли, создаваемые в SQL Server Management Studio, а затем используются для назначения разрешений пакетам. Чтобы получить доступ к пакету, пользователь должен быть членом определяемой пользователем роли и соответствующей роли уровня базы данных служб интеграции. Например, если пользователи являются членами определяемой пользователем роли AuditUsers , назначенной пакету, они также должны быть членами db_ssisadminроли , db_ssisltduser или db_ssisoperator , чтобы иметь доступ на чтение к пакету.
Если определяемые пользователем роли не назначаются пакетам, доступ к пакетам определяется фиксированными ролями уровня базы данных.
Если вы хотите использовать определяемые пользователем роли, необходимо добавить их в msdb базу данных, прежде чем назначить их пакетам. Новые роли базы данных можно создать в СРЕДЕ SQL Server Management Studio.
Роли уровня базы данных в Службах Integration Services предоставляют доступ к системным таблицам этих служб в базе данных msdb.
SQL Server (служба MSSQLSERVER) должна быть запущена перед подключением к ядру СУБД и доступом к msdb базе данных.
Чтобы назначить роли пакетам, необходимо выполнить следующие задачи.
Открытие обозревателя объектов и подключение к службам Integration Services
Прежде чем назначать роли пакетам с помощью SQL Server Management Studio, необходимо открыть обозреватель объектов в SQL Server Management Studio и подключиться к службам Integration Services.
Перед подключением к службе Integration Services необходимо запустить службу Integration Services.
Назначение ролей чтения и записи пакетам
Вы можете назначить каждому пакету роль читателя и роль писателя.