SQL Server 2016：授予安全性以執行除讀取/寫入數據之外的所有操作

我們有一個離岸支持團隊上線，以支持我們的伺服器作為 DBA 提供 24x7 支持。但是，由於契約限制了對我們數據的離岸訪問，有幾個實例受到限制。

需要添加什麼安全措施才能讓他們作為 DBA 有效控制伺服器，但限制他們無法讀取/寫入數據？

這些實例處於混合模式，但很可能通過 AD 使用者組應用。SQL Server 2016 和 Windows Server 2016。

這不可能。一切都包括授予訪問權限，這意味著他們可以更改您授予他們的任何訪問權限。

有一些加密方法可以使用，因此 DBA 可以擁有完全訪問權限，但不能讀取數據。我相信透明數據加密 (TDE)是一種選擇，但我不是這方面的專家。

列出您希望 DBA 執行的“所有事情”，然後查看執行此操作所需的權限。恕我直言，沒有系統管理員的 DBA 不是 DBA。

需要添加什麼安全措施才能讓他們作為 DBA 有效控制伺服器

似乎登錄需要sysadmin作為一些基本系統儲存過程的一部分，並且大多數DBCC命令只能由sysadmin角色成員訪問，並且不可能阻止作為sysadmin角色一部分的登錄的訪問。您可能會在沒有將登錄添加到固定角色CONTROL SERVER的情況下考慮在其之上添加一些額外的授予/拒絕。這就是在這種情況下可能發生的事情sysadmin

我相信，對某些事件實施警報（可以通過電子郵件通知）和審計是個好主意，而不是在數據庫伺服器 上阻止終極使用者

引用自：https://dba.stackexchange.com/questions/247216