Sysadmin Rolle nur mit Leserechten - ist das möglich?

Question

Hallo zusammen,

wir setzen bei uns einen SQL Express 2014 ein. Diesen würden wir gerne mit einem Tool inventarisieren. Damit alle notwendigen Infos erfasst werden können, braucht das Programm natürlich Zugriff auf alle wichtigen Informationen. 

Wenn ich dem User, der die Inventarisierung durchführt, sysadmin Rechte gebe funktioniert auch alles. Allerdings ist mir das etwas zu viel des Guten, eigentlich müsste er ja nur lesen können. Kann man einen User irgendwie so berechtigen, dass er alle "Bereiche" des SQL Servers einsehen kann (so wie die sysadmin role), nur das ganze eben mit Lese Rechten?

Für Tipps wäre ich sehr dankbar.

Gruß

Answer 1

Moin,

schau Dir mal dieses an: https://guozspace.com/2013/02/15/sql-server-2012-how-to-create-read-only-admin-role/

Freilich ohne Gewähr, aber intuitiv würde ich sagen, das sollte es tun.

---

Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

Answer 2

Hallo Evgenij,

vielen Dank für den Link. Ich bin nicht der große SQL Experte, daher noch eine kurze Frage.

In dem Link wird als erster Befehl "USE [master] GO" verwendet. Muss das auf die master DB laufen oder muss ich hier die DB anpassen bzw. das für alle DBs in meiner SQL Instanz durchführen?

Danke und Gruß,

Steffen

Answer 3

Moin,

in der Master sind die Rechte, die Du setzen willst, effektiv gespeichert. Ich kann Dir nicht 100% sagen, ob es tatsächlich nötig ist, den Fokus vorher auf die Master zu setzen, aber wenn eine DB für diese Aktion fokussiert werden muss, dann diese.

Und "alle Datenbanken" ist ja in der Anweisung "GRANT VIEW ANY DATABASE ..." enthalten.

---

Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

Answer 4

Super, vielen Dank für die schnelle Hilfe! 

Ich teste es einmal.

Answer 5

Das hat schon mal ganz gut funktioniert. Das meiste kann ich jetzt auslesen.

Um Jobs und die Wartung auslesen zu können, musste ich aber dem User db_datareader Berechtigung für die master, model und msdb vergeben.

Allerdings fehlt mir noch eine Berechtigungen um folgenden Punkt auszulesen:

- Prinzipale

Wie kann ich dafür eine Berechtigung vergeben?