Rollen auf ServerebeneServer-Level Roles

DIESES THEMA GILT FÜR: jaSQL ServerneinAzure SQL-DatenbankneinAzure SQL Data Warehouse jaParallel Data WarehouseTHIS TOPIC APPLIES TO: yesSQL ServernoAzure SQL DatabasenoAzure SQL Data Warehouse yesParallel Data Warehouse

SQL ServerSQL Server stellt Rollen auf Serverebene bereit, um Sie beim Verwalten der Berechtigungen auf einem Server zu unterstützen. provides server-level roles to help you manage the permissions on a server. Bei diesen Rollen handelt es sich um Sicherheitsprinzipale, in denen andere Prinzipale gruppiert sind.These roles are security principals that group other principals. Der Geltungsbereich der Berechtigungen von Rollen auf Serverebene erstreckt sich auf den gesamten Server.Server-level roles are server-wide in their permissions scope. (Rollen entsprechen den Gruppen im Betriebssystem Windows.)(Roles are like groups in the Windows operating system.)

Feste Serverrollen werden der Einfachheit halber und zur Gewährung der Abwärtskompatibilität bereitgestellt.Fixed server roles are provided for convenience and backward compatibility. Weisen Sie nach Möglichkeit spezifischere Berechtigungen zu.Assign more specific permissions whenever possible.

SQL ServerSQL Server sind neun feste Serverrollen verfügbar. provides nine fixed server roles. Die den festen Serverrollen (außer public) erteilten Berechtigungen können nicht geändert werden.The permissions that are granted to the fixed server roles (except public) cannot be changed. Ab SQL Server 2012 (11.x)SQL Server 2012 (11.x)können Sie benutzerdefinierte Serverrollen erstellen und diesen Berechtigungen auf Serverebene hinzufügen.Beginning with SQL Server 2012 (11.x)SQL Server 2012 (11.x), you can create user-defined server roles and add server-level permissions to the user-defined server roles.

Sie können Prinzipale auf Serverebene ( SQL ServerSQL Server -Anmeldungen, Windows-Konten und Windows-Gruppen) zu Rollen auf Serverebene zusammenfassen.You can add server-level principals ( SQL ServerSQL Server logins, Windows accounts, and Windows groups) into server-level roles. Jedes Mitglied einer festen Serverrolle kann der gleichen Rolle andere Anmeldenamen hinzufügen.Each member of a fixed server role can add other logins to that same role. Mitglieder benutzerdefinierter Serverrollen können der Rolle keine weiteren Serverprinzipale hinzufügen.Members of user-defined server roles cannot add other server principals to the role.

Hinweis

Berechtigungen auf Serverebene sind in der SQL-Datenbank oder SQL Data Warehouse nicht verfügbar.Server-level permissions are not available in SQL Database or SQL Data Warehouse. Weitere Informationen zur SQL-Datenbank finden Sie unter Steuern und Gewähren des Datenbankzugriffs.For more information about SQL Database, see Controlling and granting database access.

Feste Rollen auf ServerebeneFixed Server-Level Roles

In der folgenden Tabelle werden die festen Rollen auf Serverebene und deren Möglichkeiten angezeigt.The following table shows the fixed server-level roles and their capabilities.

Feste Rolle auf ServerebeneFixed server-level role DescriptionDescription
sysadminsysadmin Mitglieder der festen Serverrolle sysadmin können alle Aktivitäten auf dem Server ausführen.Members of the sysadmin fixed server role can perform any activity in the server.
serveradminserveradmin Mitglieder der festen Serverrolle serveradmin können serverweite Konfigurationsoptionen ändern und den Server herunterfahren.Members of the serveradmin fixed server role can change server-wide configuration options and shut down the server.
securityadminsecurityadmin Mitglieder der festen Serverrolle securityadmin können Anmeldungen und deren Eigenschaften verwalten.Members of the securityadmin fixed server role manage logins and their properties. Sie können Berechtigungen auf Serverebene erteilen (GRANT), verweigern (DENY) und widerrufen (REVOKE).They can GRANT, DENY, and REVOKE server-level permissions. Sie verfügen auf Datenbankebene auch über die Berechtigungen GRANT, DENY und REVOKE, sofern sie Zugriff eine Datenbank haben.They can also GRANT, DENY, and REVOKE database-level permissions if they have access to a database. Sie können außerdem Kennwörter für SQL ServerSQL Server -Anmeldungen zurücksetzen.Additionally, they can reset passwords for SQL ServerSQL Server logins.

WICHTIG: Durch die Möglichkeit, Zugriff auf DatenbankmodulDatabase Engine zu gewähren und Benutzerberechtigungen zu konfigurieren, kann der Sicherheitsadministrator die meisten Serverberechtigungen zuweisen.IMPORTANT: The ability to grant access to the DatenbankmodulDatabase Engine and to configure user permissions allows the security admin to assign most server permissions. Die Rolle securityadmin muss als Entsprechung der Rolle sysadmin behandelt werden.The securityadmin role should be treated as equivalent to the sysadmin role.
processadminprocessadmin Mitglieder der festen Serverrolle processadmin können Prozesse beenden, die in einer Instanz von SQL ServerSQL Server ausgeführt werden.Members of the processadmin fixed server role can end processes that are running in an instance of SQL ServerSQL Server.
setupadminsetupadmin Mitglieder der festen Serverrolle setupadmin können Verbindungsserver mithilfe von Transact-SQLTransact-SQL-Anweisungen hinzufügen und entfernen.Members of the setupadmin fixed server role can add and remove linked servers by using Transact-SQLTransact-SQL statements. (Die Verwendung von Management StudioManagement Studio erfordert die Mitgliedschaft in sysadmin.)(sysadmin membership is needed when using Management StudioManagement Studio.)
bulkadminbulkadmin Mitglieder der festen Serverrolle bulkadmin können die BULK INSERT-Anweisung ausführen.Members of the bulkadmin fixed server role can run the BULK INSERT statement.
diskadmindiskadmin Die feste Serverrolle diskadmin wird zum Verwalten von Datenträgerdateien verwendet.The diskadmin fixed server role is used for managing disk files.
dbcreatordbcreator Mitglieder der festen Serverrolle dbcreator können beliebige Datenbanken erstellen, ändern, löschen und wiederherstellen.Members of the dbcreator fixed server role can create, alter, drop, and restore any database.
öffentlichpublic Jede SQL ServerSQL Server-Anmeldung gehört zur Serverrolle public.Every SQL ServerSQL Server login belongs to the public server role. Wenn einem Serverprinzipal keine bestimmten Berechtigungen für ein sicherungsfähiges Objekt erteilt oder verweigert werden, erbt der Benutzer die Berechtigungen, die der Rolle public für dieses Objekt erteilt wurden.When a server principal has not been granted or denied specific permissions on a securable object, the user inherits the permissions granted to public on that object. Weisen Sie einem Objekt nur dann public-Berechtigungen zu, wenn das Objekt für alle Benutzer verfügbar sein soll.Only assign public permissions on any object when you want the object to be available to all users. Sie können keine Mitgliedschaft in „public“ ändern.You cannot change membership in public.

Hinweis: Public wird anders implementiert als andere Rollen, und Berechtigungen können der öffentlichen festen Serverrolle gewährt, ihr verweigert oder für sie widerrufen werden.Note: public is implemented differently than other roles, and permissions can be granted, denied, or revoked from the public fixed server roles.

Berechtigungen fester ServerrollenPermissions of Fixed Server Roles

Jede feste Serverrolle besitzt bestimmte Berechtigungen.Each fixed server role has certain permissions assigned to it. Die folgende Grafik zeigt die den Serverrollen zugewiesenen Berechtigungen:The following graphic shows the permissions assigned to the server roles.
fixed_server_role_permissions

Wichtig

Die Berechtigung CONTROL SERVER ist ähnlich, aber nicht identisch mit der festen Serverrolle sysadmin .The CONTROL SERVER permission is similar but not identical to the sysadmin fixed server role. Berechtigungen umfassen keine Rollenmitgliedschaften, und Rollenmitgliedschaften gewähren keine Berechtigungen.Permissions do not imply role memberships and role memberships do not grant permissions. (D. h.(E.g. CONTROL SERVER impliziert nicht die Mitgliedschaft in der festen Serverrolle sysadmin. Es ist jedoch manchmal möglich, die Identität zwischen Rollen und entsprechenden Berechtigungen zu wechseln.CONTROL SERVER does not imply membership in the sysadmin fixed server role.) However, it is sometimes possible to impersonate between roles and equivalent permissions. Die meisten DBCC -Befehle und viele Systemprozeduren erfordern die Mitgliedschaft in der festen Serverrolle sysadmin .Most DBCC commands and many system procedures require membership in the sysadmin fixed server role. Eine Liste mit 171 im gespeicherter Systemprozeduren, die eine sysadmin -Mitgliedschaft erfordern, finden Sie im folgenden Blogbeitrag von Andreas Wolter: CONTROL gegen sysadmin/sa: Berechtigungen, Systemprozeduren, DBCC, automatische Schema-Erstellung und Privilegienausweitung – Fallstricke.For a list of 171 system stored procedures that require sysadmin membership, see the following blog post by Andreas Wolter CONTROL SERVER vs. sysadmin/sa: permissions, system procedures, DBCC, automatic schema creation and privilege escalation - caveats.

Berechtigung auf ServerebeneServer-Level Permissions

Benutzerdefinierten Serverrollen können nur Berechtigungen auf Serverebene hinzugefügt werden.Only server-level permissions can be added to user-defined server roles. Führen Sie zum Auflisten der Berechtigungen auf Serverebene die folgende Anweisung aus.To list the server-level permissions, execute the following statement. Folgende Berechtigungen gelten auf Serverebene:The server-level permissions are:

SELECT * FROM sys.fn_builtin_permissions('SERVER') ORDER BY permission_name;  

Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen (Datenbank-Engine) und sys.fn_builtin_permissions (Transact-SQL).For more information about permissions, see Permissions (Database Engine) and sys.fn_builtin_permissions (Transact-SQL).

Arbeiten mit Rollen auf ServerebeneWorking with Server-Level Roles

In der folgenden Tabelle werden die Befehle, Sichten und Funktionen erklärt, die Sie beim Arbeiten mit Rollen auf Serverebene verwenden können.The following table explains the commands, views, and functions that you can use to work with server-level roles.

FunktionFeature TypType DescriptionDescription
sp_helpsrvrole (Transact-SQL)sp_helpsrvrole (Transact-SQL) MetadatenMetadata Gibt eine Liste von Rollen auf Serverebene zurück.Returns a list of server-level roles.
sp_helpsrvrolemember (Transact-SQL)sp_helpsrvrolemember (Transact-SQL) MetadatenMetadata Gibt Informationen zu Mitgliedern einer Rolle auf Serverebene zurück.Returns information about the members of a server-level role.
sp_srvrolepermission (Transact-SQL)sp_srvrolepermission (Transact-SQL) MetadatenMetadata Zeigt die Berechtigungen einer Rolle auf Serverebene an.Displays the permissions of a server-level role.
IS_SRVROLEMEMBER (Transact-SQL)IS_SRVROLEMEMBER (Transact-SQL) MetadatenMetadata Gibt an, ob eine SQL ServerSQL Server -Anmeldung Mitglied der angegebenen Rolle auf Serverebene ist.Indicates whether a SQL ServerSQL Server login is a member of the specified server-level role.
sys.server_role_members (Transact-SQL)sys.server_role_members (Transact-SQL) MetadatenMetadata Gibt eine Zeile für jedes Mitglied jeder Rolle auf Serverebene zurück.Returns one row for each member of each server-level role.
sp_addsrvrolemember (Transact-SQL)sp_addsrvrolemember (Transact-SQL) BefehlCommand Fügt einen Benutzernamen als Mitglied einer Rolle auf Serverebene hinzu.Adds a login as a member of a server-level role. Veraltet.Deprecated. Verwenden Sie stattdessen ALTER SERVER ROLE .Use ALTER SERVER ROLE instead.
sp_dropsrvrolemember (Transact-SQL)sp_dropsrvrolemember (Transact-SQL) BefehlCommand Entfernt einen SQL ServerSQL Server -Anmeldenamen oder einen Windows-Benutzer bzw. eine -Gruppe aus einer Rolle auf Serverebene.Removes a SQL ServerSQL Server login or a Windows user or group from a server-level role. Veraltet.Deprecated. Verwenden Sie stattdessen ALTER SERVER ROLE .Use ALTER SERVER ROLE instead.
CREATE SERVER ROLE (Transact-SQL)CREATE SERVER ROLE (Transact-SQL) BefehlCommand Erstellt eine benutzerdefinierte Serverrolle.Creates a user-defined server role.
ALTER SERVER ROLE (Transact-SQL)ALTER SERVER ROLE (Transact-SQL) BefehlCommand Ändert die Mitgliedschaft einer Serverrolle oder ändert Namen einer benutzerdefinierten Serverrolle.Changes the membership of a server role or changes name of a user-defined server role.
DROP SERVER ROLE (Transact-SQL)DROP SERVER ROLE (Transact-SQL) BefehlCommand Entfernt eine benutzerdefinierte Serverrolle.Removes a user-defined server role.
IS_SRVROLEMEMBER (Transact-SQL)IS_SRVROLEMEMBER (Transact-SQL) FunktionFunction Bestimmt die Mitgliedschaft einer Serverrolle.Determines membership of server role.

Weitere Informationen finden Sie unterSee Also

Rollen auf Datenbankebene Database-Level Roles
Sicherheitskatalogsichten (Transact-SQL) Security Catalog Views (Transact-SQL)
Sicherheitsfunktionen (Transact-SQL) Security Functions (Transact-SQL)
Sichern von SQL Server Securing SQL Server
GRANT (Berechtigungen für Serverprinzipal) (Transact-SQL) GRANT Server Principal Permissions (Transact-SQL)
REVOKE (Berechtigungen für Serverprinzipal) (Transact-SQL) REVOKE Server Principal Permissions (Transact-SQL)
DENY (Berechtigungen für Serverprinzipal) (Transact-SQL) DENY Server Principal Permissions (Transact-SQL)
Erstellen einer ServerrolleCreate a Server Role