Funciones de nivel de servidor

Para administrar con facilidad los permisos en el servidor, SQL Server proporciona varias funciones, que
son las entidades de seguridad que agrupan a otras entidades de seguridad. Las funciones son como los
grupos del sistema operativo Microsoft Windows.
Las funciones de nivel de servidor tambin se denominan funciones fijas de servidor porque no se
pueden crear nuevas funciones de nivel de servidor. Las funciones de nivel de servidor se aplican a todo
el servidor en lo que respecta a su mbito de permisos.
Puede agregar inicios de sesin de SQL Server, cuentas de Windows y grupos de Windows a las
funciones de nivel de servidor. Cada miembro de una funcin fija de servidor puede agregar otros inicios
de sesin a esa misma funcin.
En la tabla siguiente se muestran las funciones de nivel de servidor y sus capacidades.

Nombre de la
funcin de nivel
de servidor

Descripcin

sysadmin

Los miembros de la funcin fija de servidor sysadmin pueden realizar

cualquier actividad en el servidor.(MAYOR PRIVILIEGIO)

serveradmin

Los miembros de la funcin fija de servidor serveradmin pueden cambiar las

opciones de configuracin en el servidor y cerrar el servidor.

securityadmin

Los miembros de la funcin fija de servidor securityadmin administran los

inicios de sesin y sus propiedades. Administran los permisos de servidor
GRANT, DENY y REVOKE. Tambin administran los permisos de base de
datos GRANT, DENY y REVOKE. Asimismo, pueden restablecer las
contraseas para los inicios de sesin de SQL Server.

processadmin

Los miembros de la funcin fija de servidor processadmin pueden finalizar

los procesos que se ejecutan en una instancia de SQL Server.

setupadmin

Los miembros de la funcin fija de servidor setupadmin pueden agregar y

quitar los servidores vinculados.

bulkadmin

Los miembros de la funcin fija de servidor bulkadmin pueden ejecutar la

instruccin BULK INSERT.

diskadmin

La funcin fija de servidor diskadmin se utiliza para administrar archivos de

disco.

dbcreator

Los miembros de la funcin fija de servidor dbcreator pueden crear,

modificar, quitar y restaurar cualquier base de datos.

public

Cada inicio de sesin de SQL Server pertenece a la funcin pblica de

servidor. Cuando a una entidad de seguridad de servidor no se le han
concedido ni denegado permisos especficos para un objeto protegible, el
usuario hereda los permisos concedidos a la funcin pblica para ese
elemento. Solo asigne los permisos pblicos en cualquier objeto cuando
desee que el objeto est disponible para todos los usuarios.

Trabajar con funciones de nivel de servidor

En la tabla siguiente se explican los comandos, las vistas y las funciones que se utilizan para trabajar
con funciones de nivel de servidor.

Caracterstica

Tipo

Descripcin

sp_helpsrvrole (Transact-SQL)

Metadatos

Devuelve una lista de funciones de nivel de

servidor.

sp_helpsrvrolemember
(Transact-SQL)

Metadatos

Devuelve informacin acerca de los miembros de

una funcin de nivel de servidor.

sp_srvrolepermission (TransactSQL)

Metadatos

Muestra los permisos de una funcin de nivel de

servidor.

IS_SRVROLEMEMBER
(Transact-SQL)

Metadatos

Indica si un inicio de sesin de SQL Server es

miembro de la funcin de nivel de servidor
especificada.

sys.server_role_members
(Transact-SQL)

Metadatos

Devuelve una fila por cada miembro de cada

funcin de nivel de servidor.

sp_addsrvrolemember
(Transact-SQL)

Comando

Agrega un inicio de sesin como miembro de una

funcin de nivel de servidor.

sp_dropsrvrolemember
(Transact-SQL)

Comando

Quita un inicio de sesin de SQL Server o un

usuario o grupo de Windows de una funcin de
nivel de servidor.

Funciones en el nivel de base de datos

Para administrar con facilidad los permisos en las bases de datos, SQL Server proporciona varias
funciones, que son las entidades de seguridad que agrupan a otras entidades de seguridad. Son como
los grupos del sistema operativo Microsoft Windows. Las funciones del nivel de base de datos se aplican
a toda la base de datos en lo que respecta a su mbito de permisos.
Existen dos tipos de funciones de nivel de base de datos en SQL Server: las funciones fijas de base de
datos, que estn predefinidas en la base de datos, y las funciones flexibles de base de datos, que
pueden crearse.
Las funciones de base de datos fijas se definen en el nivel de base de datos y existen en cada una de
ellas. Los miembros de las funciones de base de datos db_owner y db_securityadmin pueden
administrar los miembros de las funciones de base de datos fijas. Sin embargo, slo los miembros de la
funcin de base de datos db_owner pueden agregar miembros a la funcin de base de datos fija
db_owner. Hay tambin algunas funciones fijas de base de datos con fines especiales en la base de
datos msdb.
Puede agregar cualquier cuenta de la base de datos y otras funciones de SQL Server a las funciones del
nivel de base de datos. Cada miembro de una funcin de base de datos fija puede agregar otros inicios
de sesin a esa misma funcin.
Importante:
No agregue funciones flexibles de la base de datos como miembros de funciones fijas. Esto podra
habilitar un aumento de privilegios no deseado.
En la tabla siguiente se muestran las funciones fijas del nivel de base de datos y sus capacidades. Estas
funciones existen en todas las bases de datos.

Nombre de funcin de
nivel de base de datos
db_owner

Descripcin
Los miembros de la funcin de base de datos fija db_owner pueden
realizar todas las actividades de configuracin y mantenimiento en la

base de datos y tambin pueden quitar la base de datos.(MAYOR

JERARQUIA)
db_securityadmin

Los miembros de la funcin de base de datos fija db_securityadmin

pueden modificar la pertenencia a funciones y administrar permisos.
Si se agregan entidades de seguridad a esta funcin, podra
habilitarse un aumento de privilegios no deseado.

db_accessadmin

Los miembros de la funcin de base de datos fija db_accessadmin

pueden agregar o quitar el acceso a la base de datos para inicios de
sesin de Windows, grupos de Windows e inicios de sesin de SQL
Server.

db_backupoperator

Los miembros de la funcin de base de datos fija

db_backupoperator pueden crear copias de seguridad de la base
de datos.

db_ddladmin

Los miembros de la funcin de base de datos fija db_ddladmin

pueden ejecutar cualquier comando del lenguaje de definicin de
datos (DDL) en una base de datos.

db_datawriter

Los miembros de la funcin de base de datos fija db_datawriter

pueden agregar, eliminar o cambiar datos en todas las tablas de
usuario.

db_datareader

Los miembros de la funcin de base de datos fija db_datareader

pueden leer todos los datos de todas las tablas de usuario.(CUIDADO
NO TODAS DEBEN DE VER).

db_denydatawriter

Los miembros de la funcin de base de datos fija

db_denydatawriter no pueden agregar, modificar ni eliminar datos
de tablas de usuario de una base de datos.

db_denydatareader

Los miembros de la funcin de base de datos fija

db_denydatareader no pueden leer datos de las tablas de usuario
dentro de una base de datos.

Funciones de msdb

La base de datos msdb contiene las funciones con fines especiales que se muestran en la tabla siguiente.
Nombre de funcin de msdb

Descripcin

db_ssisadmin
db_ssisoperator
db_ssisltduser

Los miembros de estas funciones de base de datos pueden

administrar y utilizar SSIS. Las instancias de SQL Server que
se actualizan desde una versin anterior podran contener una
versin anterior de la funcin cuya denominacin se realizaba
utilizando Servicios de transformacin de datos (DTS) en lugar
de SSIS. Para obtener ms informacin, vea Usar funciones de
Integration Services.

dc_admin
dc_operator
dc_proxy

Los miembros de estas funciones de base de datos pueden

administrar y utilizar el recopilador de datos. Para obtener ms
informacin, vea Seguridad del recoleccin de datos.

PolicyAdministratorRole

Los miembros de la funcin de base de datos

db_PolicyAdministratorRole pueden realizar todas las
actividades de mantenimiento y configuracin en las
condiciones y directivas de Administracin basada en directiva.
Para obtener ms informacin, vea Administrar servidores
mediante administracin basada en directivas.

ServerGroupAdministratorRol
e
ServerGroupReaderRole

Los miembros de estas funciones de la base de datos pueden

administrar y utilizar grupos de servidores registrados. Para
obtener ms informacin, vea Crear grupos de servidores.

Importante:
Los miembros de la funcin db_ssisadmin y de la funcin dc_admin quiz puedan elevar sus

privilegios a sysadmin. Esta elevacin de privilegio se puede producir porque estas funciones
pueden modificar los paquetes de Integration Services y SQL Server puede ejecutar estos paquetes
utilizando el contexto de seguridad de sysadmin del Agente SQL Server. Para protegerse contra
esta elevacin de privilegio al ejecutar planes de mantenimiento, conjuntos de recopilacin de
datos y otros paquetes de Integration Services, configure los trabajos del Agente SQL Server que
ejecutan paquetes para utilizar una cuenta de proxy con privilegios limitados o agregar slo los
miembros de sysadmin a las funciones dc_admin y db_ssisadmin.
Trabajar con funciones del nivel de base de datos
En la tabla siguiente se explican los comandos, las vistas y las funciones que se utilizan para trabajar
con funciones del nivel de base de datos.
Caracterstica

Tipo

Descripcin

sp_helpdbfixedrole (TransactSQL)

Metadatos

Devuelve la lista de las funciones de base de datos

fijas.

sp_dbfixedrolepermission
(Transact-SQL)

Metadatos

Muestra los permisos de una funcin de base de

datos fija.

sp_helprole (Transact-SQL)

Metadatos

Devuelve informacin acerca de las funciones de la

base de datos actual.

sp_helprolemember (TransactSQL)

Metadatos

Devuelve informacin acerca de los miembros de

una funcin de base de datos actual.

sys.database_role_members
(Transact-SQL)

Metadatos

Devuelve una fila por cada miembro de cada

funcin de base de datos.

IS_MEMBER (Transact-SQL)

Metadatos

Indica si el usuario actual es miembro del grupo de

Microsoft Windows o de la funcin de base de datos
de SQL Server especificados.

CREATE ROLE (Transact-SQL)

Comando

Crea una nueva funcin de base de datos en la base

de datos actual.

ALTER ROLE (Transact-SQL)

Comando

Cambia el nombre de una funcin de base de datos.

DROP ROLE (Transact-SQL)

Comando

Quita una funcin de base de datos.

sp_addrole (Transact-SQL)

Comando

Crea una nueva funcin de base de datos en la base

de datos actual.

sp_droprole (Transact-SQL)

Comando

Quita una funcin de base de datos de la base de

datos actual.

sp_addrolemember (TransactSQL)

Comando

Agrega un usuario de base de datos, una funcin de

base de datos, un inicio de sesin de Windows o un
grupo de Windows a una funcin de base de datos
en la base de datos actual.

sp_droprolemember (TransactSQL)

Comando

Quita una cuenta de seguridad de una funcin de

SQL Server de la base de datos actual.

Funcin pblica de la base de datos

Todos los usuarios de una base de datos pertenecen a la funcin pblica de la base de datos. Cuando a
un usuario no se le han concedido ni denegado permisos especficos para un objeto que puede
protegerse, el usuario hereda los permisos concedidos a la funcin pblica para ese objeto.