Som*_*Guy 2 security sql-server permissions logins system-tables
我们的开发团队创建了一些 SSRS 报告,这些报告仅从每个数据库中检索元数据(非“真实”数据)。我试图将运行这些报告的服务帐户锁定到所需的最低权限。
查询仅从每个数据库中的系统表中进行选择,例如:
sys.tables
sys.extended_properties
SYS.objects
SYS.schemas
sys.dm_db_partition_stats
sys.indexes
我认为以下会做到这一点,但没有这样的运气。
GRANT VIEW ANY DATABASE TO [DOMAIN\LOGIN]
GRANT VIEW SERVER STATE TO [DOMAIN\LOGIN]
GRANT VIEW DATABASE STATE TO [DOMAIN\LOGIN]
查询系统表给出错误:
The server principal "DOMAIN\LOGIN" is not able to access the database "DATABASENAME" under the current security context.
除了为每个数据库的登录创建一个用户然后显式授予系统表的权限之外,我似乎找不到其他方法来解决这个问题。这对所有未来的数据库提出了一系列新的挑战。我是否遗漏了什么,或者没有简单的方法可以在不授予“系统管理员”服务器级角色的情况下向所有数据库授予此访问权限?
除了为每个数据库的登录创建用户之外,我似乎找不到其他方法
从 SQL Server 2014 开始,新CONNECT ANY DATABASE权限可用于完成此操作
...然后明确授予对系统表的权限。
您无需授予对系统表的权限,它们对任何用户都是可见的。但是它们包含的对象的可见性取决于用户拥有的权限:他只能看到它有权限的那些对象:元数据可见性配置
这可以通过授予您的登录VIEW ANY DEFINITION权限来解决
此外,无需授予VIEW ANY DATABASE TO权限,因为它已授予公众,并且 VIEW SERVER STATE TO不需要您描述的元数据检索。
因此,您只需要这些权限:
CONNECT ANY DATABASE 访问所有数据库VIEW DATABASE STATE 用于查询 sys.dm_db_partition_statsVIEW ANY DEFINITION 拥有对任何元数据的权利