Integration Services-Rollen (SSIS-Dienst)Integration Services Roles (SSIS Service)

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Ja SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data Factoryyes SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data FactoryAnwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Ja SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data Factoryyes SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data Factory

SQL ServerSQL Server Integration ServicesIntegration Services stellt bestimmte feste Rollen auf Datenbankebene für den sicheren Zugriff auf Pakete bereit, die in SQL ServerSQL Server gespeichert sind.Integration ServicesIntegration Services provides certain fixed database-level roles to help secure access to packages that are stored in SQL ServerSQL Server. Die verfügbaren Rollen unterscheiden sich abhängig davon, ob Sie Pakete in der SSIS-Katalogdatenbank (SSISDB) oder in der msdb-Datenbank speichern.The available roles are different depending on whether you're saving packages in the SSIS Catalog database (SSISDB) or in the msdb database.

Rollen in der SSIS-Katalogdatenbank (SSISDB)Roles in the SSIS Catalog database (SSISDB)

Die SSIS-Katalogdatenbank (SSISDB) bietet die folgenden festen Rollen auf Datenbankebene für den sicheren Zugriff auf Pakete und Informationen zu Paketen.The SSIS Catalog database (SSISDB) provides the following fixed database-level roles to help secure access to packages and information about packages.

  • ssis_admin.ssis_admin. Diese Rolle bietet vollen administrativen Zugriff auf die SSIS-Katalogdatenbank.This role provides full administrative access to the SSIS Catalog database.

  • ssis_logreader : Diese Rolle bietet Berechtigungen für den Zugriff auf alle Ansichten, die mit operativen SSISDB-Protokollen verbunden sind.ssis_logreader This role provides permissions to access all the views related SSISDB operational logs.

    Die Liste der Ansichten enthält: [catalog].[projects], [catalog].[packages], [catalog].[operations], [catalog].[extended_operation_info], [catalog].[operation_messages], [catalog].[event_messages], [catalog].[execution_data_statistics], [catalog].[execution_component_phases], [catalog].[execution_data_taps], [catalog].[event_message_context], [catalog].[executions], [catalog].[executables], [catalog].[executable_statistics], [catalog].[validations], [catalog].[execution_parameter_values] und [catalog].[execution_property_override_values].The list of views includes: [catalog].[projects], [catalog].[packages], [catalog].[operations], [catalog].[extended_operation_info], [catalog].[operation_messages], [catalog].[event_messages], [catalog].[execution_data_statistics], [catalog].[execution_component_phases], [catalog].[execution_data_taps], [catalog].[event_message_context], [catalog].[executions], [catalog].[executables], [catalog].[executable_statistics], [catalog].[validations], [catalog].[execution_parameter_values], and [catalog].[execution_property_override_values].

Rollen in der msdb-DatenbankRoles in the msdb database

SQL ServerSQL Server Integration ServicesIntegration Services bietet auf Datenbankebene die drei festen Rollen db_ssisadmin, db_ssisltduser und db_ssisoperator zum Steuern des Paketzugriffs. Diese werden in der msdb-Datenbank gespeichert.Integration ServicesIntegration Services includes the three fixed database-level roles, db_ssisadmin, db_ssisltduser, and db_ssisoperator, for controlling access to packages that are saved to the msdb database. Rollen weisen Sie mithilfe von SQL Server Management StudioSQL Server Management Studiozu.You assign roles to a package using SQL Server Management StudioSQL Server Management Studio. Die Rollenzuweisungen werden in der msdb -Datenbank gespeichert.The role assignments are saved to the msdb database.

Lese- und SchreibaktionenRead and Write Actions

In der folgenden Tabelle werden die Lese- und Schreibaktionen von Windows und der festen Rollen auf Datenbankebene in Integration ServicesIntegration Servicesbeschrieben.The following table describes the read and write actions of Windows and fixed database-level roles in Integration ServicesIntegration Services.

RoleRole LeseaktionRead action SchreibaktionWrite action
db_ssisadmindb_ssisadmin

oderor

sysadminsysadmin
Eigene Pakete aufzählen.Enumerate own packages.

Alle Pakete aufzählen.Enumerate all packages.

Eigene Pakete anzeigen.View own packages.

Alle Pakete anzeigen.View all packages.

Eigene Pakete ausführen.Execute own packages.

Alle Pakete ausführen.Execute all packages.

Eigene Pakete exportieren.Export own packages.

Alle Pakete exportieren.Export all packages.

Alle Pakete in SQL ServerSQL Server -Agent ausführen.Execute all packages in SQL ServerSQL Server Agent.
Pakete importieren.Import packages.

Eigene Pakete löschen.Delete own packages.

Alle Pakete löschen.Delete all packages.

Eigene Paketrollen ändern.Change own package roles.

Alle Paketrollen ändern.Change all package roles.



** Warnung ** Mitglieder der db_ssisadmin-Rolle und der dc_admin-Rolle können Ihre Berechtigungen möglicherweise auf sysadmin erhöhen.** Warning ** Members of the db_ssisadmin role and the dc_admin role may be able to elevate their privileges to sysadmin. Diese Ausweitung von Berechtigungen ist möglich, da diese Rollen Integration ServicesIntegration Services -Pakete ändern können und Integration ServicesIntegration Services -Pakete von SQL ServerSQL Server mithilfe des sysadmin-Sicherheitskontexts des SQL ServerSQL Server -Agents ausgeführt werden können.This elevation of privilege can occur because these roles can modify Integration ServicesIntegration Services packages and Integration ServicesIntegration Services packages can be executed by SQL ServerSQL Server using the sysadmin security context of SQL ServerSQL Server Agent. Konfigurieren Sie als Schutz vor dieser Ausweitung von Berechtigungen beim Ausführen von Wartungsplänen, Datensammlungssätzen und anderen Integration ServicesIntegration Services -Paketen Aufträge des SQL ServerSQL Server -Agents, die Pakete ausführen, für die Verwendung eines Proxykontos mit einschränkten Berechtigungen, oder fügen Sie der db_ssisadmin-Rolle und der dc_admin-Rolle nur sysadmin-Mitglieder hinzu.To guard against this elevation of privilege when running maintenance plans, data collection sets, and other Integration ServicesIntegration Services packages, configure SQL ServerSQL Server Agent jobs that run packages to use a proxy account with limited privileges or only add sysadmin members to the db_ssisadmin and dc_admin roles.
db_ssisltduserdb_ssisltduser Eigene Pakete aufzählen.Enumerate own packages.

Alle Pakete aufzählen.Enumerate all packages.

Eigene Pakete anzeigen.View own packages.

Eigene Pakete ausführen.Execute own packages.

Eigene Pakete exportieren.Export own packages.
Pakete importieren.Import packages.

Eigene Pakete löschen.Delete own packages.

Eigene Paketrollen ändern.Change own package roles.
db_ssisoperatordb_ssisoperator Alle Pakete aufzählen.Enumerate all packages.

Alle Pakete anzeigen.View all packages.

Alle Pakete ausführen.Execute all packages.

Alle Pakete exportieren.Export all packages.

Alle Pakete in SQL ServerSQL Server -Agent ausführen.Execute all packages in SQL ServerSQL Server Agent.
KeineNone
Windows-AdministratorenWindows administrators Ausführungsdetails zu allen ausgeführten Paketen anzeigen.View execution details of all running packages. Alle derzeit ausgeführten Pakete anhalten.Stop all currently running packages.

Sysssispackages-TabelleSysssispackages Table

Die sysssispackages -Tabelle in msdb enthält die in SQL ServerSQL Servergespeicherten Pakete.The sysssispackages table in msdb contains the packages that are saved to SQL ServerSQL Server. Weitere Informationen finden Sie unter sysssispackages (Transact-SQL).For more information, see sysssispackages (Transact-SQL).

Die sysssispackages -Tabelle enthält Spalten, die Informationen über die Rollen enthalten, die Paketen zugewiesen sind.The sysssispackages table includes columns that contain information about the roles that are assigned to packages.

  • In der Spalte readerrole wird die Rolle angegeben, die über Lesezugriff auf das Paket verfügt.The readerrole column specifies the role that has read access to the package.

  • In der Spalte writerrole wird die Rolle angegeben, die über Schreibzugriff auf das Paket verfügt.The writerrole column specifies the role that has write access to the package.

  • Die ownersid -Spalte enthält den eindeutigen Sicherheitsbezeichner des Benutzers, der das Paket erstellte.The ownersid column contains the unique security identifier of the user who created the package. In dieser Spalte wird der Besitzer des Pakets definiert.This column defines the owner of the package.

BerechtigungenPermissions

Standardmäßig gelten die Berechtigungen der festen Rollen auf Datenbankebene db_ssisadmin und db_ssisoperator und die eindeutige Sicherheits-ID des Benutzers, der das Paket erstellt hat, für die Leserolle für Pakete, und die Berechtigungen der db_ssisadmin -Rolle und die eindeutige Sicherheits-ID des Benutzers, der das Paket erstellt hat, gelten für die Schreibrolle.By default, the permissions of the db_ssisadmin and db_ssisoperator fixed database-level roles and the unique security identifier of the user who created the package apply to the reader role for packages, and the permissions of the db_ssisadmin role and the unique security identifier of the user who created the package apply to the writer role. Ein Benutzer muss Mitglied der Rolle db_ssisadmin, db_ssisltduseroder db_ssisoperator sein, um über Lesezugriff auf das Paket zu verfügen.A user must be a member of the db_ssisadmin, db_ssisltduser, or db_ssisoperator role to have read access to the package. Ein Benutzer muss Mitglied der db_ssisadmin -Rolle sein, um über Schreibzugriff zu verfügen.A user must be a member of the db_ssisadmin role to have write access.

Zugriff auf PaketeAccess to Packages

Die festen Rollen auf Datenbankebene arbeiten mit benutzerdefinierten Rollen zusammen.The fixed database-level roles work in conjunction with user-defined roles. Die benutzerdefinierten Rollen sind die Rollen, die Sie in SQL Server Management StudioSQL Server Management Studio erstellen und dann zum Zuweisen von Berechtigungen zu Paketen verwenden.The user-defined roles are the roles that you create in SQL Server Management StudioSQL Server Management Studio and then use to assign permissions to packages. Um auf ein Paket zuzugreifen, muss ein Benutzer Mitglied der benutzerdefinierten Rolle und der entsprechenden festen Integration ServicesIntegration Services -Datenbankrolle sein.To access a package, a user must be a member of the user-defined role and the pertinent Integration ServicesIntegration Services fixed database-level role. Wenn die Benutzer z.B. Mitglieder der benutzerdefinierten AuditUsers -Rolle sind, die einem Paket zugewiesen ist, müssen sie auch Mitglieder der db_ssisadmin-, db_ssisltduser- oder db_ssisoperator -Rolle sein, um Lesezugriff auf das Paket zu erhalten.For example, if users are members of the AuditUsers user-defined role that is assigned to a package, they must also be members of db_ssisadmin, db_ssisltduser, or db_ssisoperator role to have read access to the package.

Wenn Sie Paketen keine benutzerdefinierten Rollen zuweisen, wird der Paketzugriff durch die festen Rollen auf Datenbankebene bestimmt.If you do not assign user-defined roles to packages, access to packages is determined by the fixed database-level roles.

Wenn Sie benutzerdefinierte Rollen verwenden möchten, müssen Sie diese der msdb -Datenbank hinzufügen, bevor Sie sie Paketen zuweisen.If you want to use user-defined roles, you must add them to the msdb database before you can assign them to packages. Neue Datenbankrollen können Sie in SQL Server Management StudioSQL Server Management Studioerstellen.You can create new database roles in SQL Server Management StudioSQL Server Management Studio.

Die Integration ServicesIntegration Services -Rollen auf Datenbankebene gewähren den Integration ServicesIntegration Services -Systemtabellen in der msdb-Datenbank Rechte.The Integration ServicesIntegration Services database-level roles grant rights on the Integration ServicesIntegration Services system tables in the msdb database.

SQL ServerSQL Server (der MSSQLSERVER-Dienst) muss gestartet werden, bevor Sie eine Verbindung zur Datenbank-Engine herstellen und auf die msdb -Datenbank zugreifen können.(the MSSQLSERVER service) must be started before you can connect to the Database Engine and access the msdb database.

Um Rollen Paketen zuzuweisen, müssen Sie die folgenden Tasks ausführen.To assign roles to packages, you need to complete the following tasks.

  • Öffnen Sie den Objekt-Explorer und stellen Sie eine Verbindung mit Integration Services her.Open Object Explorer and Connect to Integration Services

    Bevor Sie Paketen Rollen mithilfe von SQL Server Management StudioSQL Server Management Studiozuweisen können, müssen Sie den Objekt-Explorer in SQL Server Management StudioSQL Server Management Studio öffnen und eine Verbindung mit Integration ServicesIntegration Servicesherstellen.Before you can assign roles to packages by using SQL Server Management StudioSQL Server Management Studio, you must open Object Explorer in SQL Server Management StudioSQL Server Management Studio and connect to Integration ServicesIntegration Services.

    Der Integration ServicesIntegration Services -Dienst muss gestartet werden, bevor Sie eine Verbindung mit Integration ServicesIntegration Servicesherstellen können.The Integration ServicesIntegration Services service must be started before you can connect to Integration ServicesIntegration Services.

  • Paketen Lese- und Schreibrollen zuweisenAssign Reader and Writer Roles to Packages

    Sie können jedem Paket eine Lese- und eine Schreibrolle zuweisen.You can assign a reader and a writer role to each package.

Zuweisen einer Lese- und Schreibrolle zu einem PaketAssign a Reader and Writer Role to a Package

Sie können jedem Paket eine Lese- und eine Schreibrolle zuweisen.You can assign a reader and a writer role to each package.

Zuweisen einer Lese- und Schreibrolle zu einem PaketAssign a reader and writer role to a package

  1. Suchen Sie im Objekt-Explorer die Integration ServicesIntegration Services -Verbindung.In Object Explorer, locate the Integration ServicesIntegration Services connection.

  2. Erweitern Sie den Ordner "Gespeicherte Pakete", und erweitern Sie dann den Unterordner, der das Paket enthält, dem Sie Rollen zuweisen möchten.Expand the Stored Packages folder, and then expand the subfolder that contains the package to which you want to assign roles.

  3. Klicken Sie mit der rechten Maustaste auf das Paket, dem Sie Rollen zuweisen möchten.Right-click the package to which you want to assign roles.

  4. Wählen Sie im Dialogfeld Paketrollen eine Leserolle aus der Liste Leserolle und eine Schreibrolle aus der Liste Schreibrolle aus.In the Packages Roles dialog box, select a reader role in the Reader Role list and a writer role in the Writer Role list.

  5. Klicken Sie auf OK.Click OK.

Erstellen einer benutzerdefinierten RolleCreate a User-Defined Role

So erstellen Sie eine benutzerdefinierte RolleTo create a user-defined role

  1. Öffnen Sie SQL Server Management StudioSQL Server Management Studio.Open SQL Server Management StudioSQL Server Management Studio.

  2. Klicken Sie im Menü Ansicht auf Objekt-Explorer .Click Object Explorer on the View menu.

  3. Klicken Sie auf der Symbolleiste des Objekt-Explorers auf Verbinden, und klicken Sie dann auf Datenbank-Engine.On the Object Explorer toolbar, click Connect, and then click Database Engine.

  4. Geben Sie im Dialogfeld Verbindung mit Server herstellen einen Servernamen ein, und wählen Sie einen Authentifizierungsmodus aus.In the Connect to Server dialog box, provide a server name and select an authentication mode. Sie können einen Punkt (.), (local) oder localhost zum Angeben des lokalen Servers verwenden.You can use a period (.), (local), or localhost to indicate the local server.

  5. Klicken Sie auf Verbinden.Click Connect.

  6. Erweitern Sie die Datenbanken, Systemdatenbanken, msdb, Sicherheit und Rollen.Expand Databases, System Databases, msdb, Security, and Roles.

  7. Klicken Sie im Knoten „Rollen“ mit der rechten Maustaste auf „Datenbankrollen“. Klicken Sie dann auf Neue Datenbankrolle.In the Roles node, right-click Database Roles, and click New Database Role.

  8. Geben Sie auf der Seite "Allgemein" einen Namen ein, und legen Sie wahlweise einen Besitzer sowie Schemas im Besitz fest, und fügen Sie Rollenmitglieder hinzu.On the General page, provide a name and optionally, specify an owner and owned schemas and add role members.

  9. Klicken Sie wahlweise auf Berechtigungen , und konfigurieren Sie die Objektberechtigungen.Optionally, click Permissions and configure object permissions.

  10. Klicken Sie wahlweise auf Erweiterte Eigenschaften , und konfigurieren Sie die erweiterten Eigenschaften.Optionally, click Extended Properties and configure any extended properties.

  11. Klicken Sie auf OK.Click OK.

Benutzeroberflächenverweis zum Dialogfeld „Paketrollen“Package Roles Dialog Box UI Reference

Verwenden Sie das Dialogfeld Paketrollen , das in SQL Server Management StudioSQL Server Management Studioverfügbar ist, um die Rollen auf Datenbankebene anzugeben, die Lesezugriff auf das Paket besitzen, sowie die Rollen auf Datenbankebene, die Schreibzugriff auf das Paket besitzen.Use the Package Roles dialog box, available in SQL Server Management StudioSQL Server Management Studio, to specify the database-level roles that have read access to the package and the database-level roles that have write access to the package. Rollen auf Datenbankebene gelten nur für Pakete, die in der SQL ServerSQL Server-Datenbank msdb gespeichert sind.Database-level roles apply only to packages that are stored in the SQL ServerSQL Server msdb database.

Die im Dialogfeld aufgeführten Rollen sind die aktuellen Rollen der msdb -Systemdatenbank.The roles listed in the dialog box are the current database roles of the msdb system database. Wenn keine Rollen ausgewählt sind, gelten die Integration ServicesIntegration Services -Standardrollen.If no roles are selected, the default Integration ServicesIntegration Services roles apply. Standardmäßig enthält die Leserolle db_ssisadmin, db_ssisoperatorund den Benutzer, der das Paket erstellt hat.By default, the reader role includes db_ssisadmin, db_ssisoperator, and the user who created the package. Ein Benutzer, der Mitglied einer dieser Rollen ist oder die Pakete erstellt hat, kann Pakete aufzählen, anzeigen, exportieren und ausführen.A user who is a member of one of these roles or created the packages can enumerate, view, export, and run packages. Standardmäßig schließt die Schreibrolle db_ssisadmin und den Benutzer ein, der das Paket erstellt hat.By default, the writer role includes db_ssisadmin and the user who created the package. Ein Benutzer, der Mitglied dieser Rolle ist, und der Benutzer, der die Pakete erstellt hat, kann Pakete importieren, löschen und ändern.A user who is a member of this role and the user who created the packages can import, delete, and change packages.

Die ownersid -Spalte in der sysssispackages -Tabelle enthält die eindeutige Sicherheits-ID des Benutzers, der das Paket erstellt hat.The ownersid column in the sysssispackages table lists the unique security identifier of the user who created the package.

TastaturOptions

PaketnamePackage Name
Gibt den Namen des Pakets an.Specify the name of the package.

LeserolleReader Role
Auswählen einer Rolle in der Liste.Select a role in the list.

SchreibrolleWriter Role
Auswählen einer Rolle in der ListeSelect a role in the list