Sql-Server

SQL Server 2016:授予安全性以執行除讀取/寫入數據之外的所有操作

  • September 6, 2019

我們有一個離岸支持團隊上線,以支持我們的伺服器作為 DBA 提供 24x7 支持。但是,由於契約限制了對我們數據的離岸訪問,有幾個實例受到限制。

需要添加什麼安全措施才能讓他們作為 DBA 有效控制伺服器,但限制他們無法讀取/寫入數據?

這些實例處於混合模式,但很可能通過 AD 使用者組應用。SQL Server 2016 和 Windows Server 2016。

這不可能。一切都包括授予訪問權限,這意味著他們可以更改您授予他們的任何訪問權限。

有一些加密方法可以使用,因此 DBA 可以擁有完全訪問權限,但不能讀取數據。我相信透明數據加密 (TDE)是一種選擇,但我不是這方面的專家。

列出您希望 DBA 執行的“所有事情”,然後查看執行此操作所需的權限。恕我直言,沒有系統管理員的 DBA 不是 DBA。

需要添加什麼安全措施才能讓他們作為 DBA 有效控制伺服器

似乎登錄需要sysadmin作為一些基本系統儲存過程的一部分,並且大多數DBCC命令只能由sysadmin角色成員訪問,並且不可能阻止作為sysadmin角色一部分的登錄的訪問。您可能會在沒有將登錄添加到固定角色CONTROL SERVER的情況下考慮在其之上添加一些額外的授予/拒絕。這就是在這種情況下可能發生的事情sysadmin

我相信,對某些事件實施警報(可以通過電子郵件通知)和審計是個好主意,而不是在數據庫伺服器 上阻止終極使用者

引用自:https://dba.stackexchange.com/questions/247216