Integration Services-Rollen (SSIS-Dienst)
SQL Server Integration Services umfasst die drei festen Rollen auf Datenbankebene , db_ssisadmindb_ssisltduser und db_ssisoperator zum Steuern des Zugriffs auf Pakete. Rollen können nur für Pakete implementiert werden, die in der msdb Datenbank in SQL Server gespeichert werden. Rollen weisen Sie mithilfe von SQL Server Management Studiozu. Die Rollenzuweisungen werden in der msdb Datenbank gespeichert.
Lese- und Schreibaktionen
In der folgenden Tabelle werden die Lese- und Schreibaktionen von Windows und der festen Rollen auf Datenbankebene in Integration Servicesbeschrieben.
| Role | Leseaktion | Schreibaktion |
|---|---|---|
db_ssisadminoder sysadmin |
Eigene Pakete aufzählen. Alle Pakete aufzählen. Eigene Pakete anzeigen. Alle Pakete anzeigen. Eigene Pakete ausführen. Alle Pakete ausführen. Eigene Pakete exportieren. Alle Pakete exportieren. Alle Pakete in SQL Server -Agent ausführen. |
Pakete importieren. Eigene Pakete löschen. Alle Pakete löschen. Eigene Paketrollen ändern. Alle Paketrollen ändern. **Wichtig** Mitglieder der rolle db_ssisadmin und der rolle dc_admin können ihre Berechtigungen möglicherweise auf sysadmin erhöhen. Diese Ausweitung von Berechtigungen ist möglich, da diese Rollen Integration Services -Pakete ändern können und Integration Services -Pakete von SQL Server mithilfe des sysadmin-Sicherheitskontexts des SQL Server -Agents ausgeführt werden können. Konfigurieren Sie als Schutz vor dieser Ausweitung von Berechtigungen beim Ausführen von Wartungsplänen, Datensammlungssätzen und anderen Integration Services -Paketen Aufträge des SQL Server -Agents, die Pakete ausführen, für die Verwendung eines Proxykontos mit einschränkten Berechtigungen, oder fügen Sie der db_ssisadmin-Rolle und der dc_admin-Rolle nur sysadmin-Mitglieder hinzu. |
| db_ssisltduser | Eigene Pakete aufzählen. Alle Pakete aufzählen. Eigene Pakete anzeigen. Eigene Pakete ausführen. Eigene Pakete exportieren. |
Pakete importieren. Eigene Pakete löschen. Eigene Paketrollen ändern. |
| db_ssisoperator | Alle Pakete aufzählen. Alle Pakete anzeigen. Alle Pakete ausführen. Alle Pakete exportieren. Alle Pakete in SQL Server -Agent ausführen. |
Keine |
| Windows-Administratoren | Ausführungsdetails zu allen ausgeführten Paketen anzeigen. | Alle derzeit ausgeführten Pakete anhalten. |
Sysssispackages-Tabelle
Die sysssispackages-Tabelle in msdb enthält die Pakete, die in SQL Server gespeichert werden. Weitere Informationen finden Sie unter sysssispackages (Transact-SQL).
Die sysssispackages -Tabelle enthält Spalten, die Informationen über die Rollen enthalten, die Paketen zugewiesen sind.
In der Spalte readerrole wird die Rolle angegeben, die über Lesezugriff auf das Paket verfügt.
In der Spalte writerrole wird die Rolle angegeben, die über Schreibzugriff auf das Paket verfügt.
Die ownersid -Spalte enthält den eindeutigen Sicherheitsbezeichner des Benutzers, der das Paket erstellte. In dieser Spalte wird der Besitzer des Pakets definiert.
Berechtigungen
Standardmäßig gelten die Berechtigungen der db_ssisadmin und db_ssisoperator festen Rollen auf Datenbankebene und die eindeutige Sicherheits-ID des Benutzers, der das Paket erstellt hat, für die Leserrolle für Pakete, und die Berechtigungen der db_ssisadmin Rolle und der eindeutigen Sicherheits-ID des Benutzers, der das Paket erstellt hat, gelten für die Rolle Writer. Ein Benutzer muss Mitglied der db_ssisadminRolle , db_ssisltduser oder db_ssisoperator sein, um Lesezugriff auf das Paket zu haben. Ein Benutzer muss Mitglied der db_ssisadmin Rolle sein, um Schreibzugriff zu haben.
Zugriff auf Pakete
Die festen Rollen auf Datenbankebene arbeiten mit benutzerdefinierten Rollen zusammen. Die benutzerdefinierten Rollen sind die Rollen, die Sie in SQL Server Management Studio erstellen und dann zum Zuweisen von Berechtigungen zu Paketen verwenden. Um auf ein Paket zuzugreifen, muss ein Benutzer Mitglied der benutzerdefinierten Rolle und der entsprechenden festen Integration Services -Datenbankrolle sein. Wenn Benutzer beispielsweise Mitglieder der benutzerdefinierten Rolle AuditUsers sind, die einem Paket zugewiesen ist, müssen sie auch Mitglieder der db_ssisadminRolle , db_ssisltduser oder db_ssisoperator sein, um Lesezugriff auf das Paket zu haben.
Wenn Sie Paketen keine benutzerdefinierten Rollen zuweisen, wird der Paketzugriff durch die festen Rollen auf Datenbankebene bestimmt.
Wenn Sie benutzerdefinierte Rollen verwenden möchten, müssen Sie sie der msdb Datenbank hinzufügen, bevor Sie sie Paketen zuweisen können. Neue Datenbankrollen können Sie in SQL Server Management Studioerstellen.
Die Integration Services -Rollen auf Datenbankebene gewähren den Integration Services -Systemtabellen in der msdb-Datenbank Rechte.
SQL Server (der MSSQLSERVER-Dienst) muss gestartet werden, bevor Sie eine Verbindung mit der Datenbank-Engine herstellen und auf die msdb Datenbank zugreifen können.
Um Rollen Paketen zuzuweisen, müssen Sie die folgenden Tasks ausführen.
Öffnen Sie den Objekt-Explorer und stellen Sie eine Verbindung mit Integration Services her.
Bevor Sie Paketen Rollen mithilfe von SQL Server Management Studiozuweisen können, müssen Sie den Objekt-Explorer in SQL Server Management Studio öffnen und eine Verbindung mit Integration Servicesherstellen.
Der Integration Services -Dienst muss gestartet werden, bevor Sie eine Verbindung mit Integration Servicesherstellen können.
Paketen Lese- und Schreibrollen zuweisen
Sie können jedem Paket eine Lese- und eine Schreibrolle zuweisen.