在开发箱上为开发人员授予SA特权

尽管有强烈的抗议，我们的管理层还是决定必须在开发服务器上授予开发团队“ sa”权利。问题是我们DB支持小组仍然负责维护此框。

现在，我们已经被委托为具有这些增强的特权的开发团队提供了一个“要注意事项”清单。

请添加到此列表：

做-将活动限制在正在开发的数据库中

不要 -

• 更改任何SQL实例设置
• sp_configure（包括cmdshell）
• 添加/更改/删除任何安全设置
• 添加/更改/删除数据库对象
• 添加/更改/删除服务器对象，例如备份设备和链接的服务器
• 添加/更改/删除复制
• 添加/更改/删除维护计划
• 触摸任何不属于您的团队的数据库

任何可用于跟踪这些用户活动的工具的指针将不胜感激。

如果还不算太晚，我见过的一个折衷方案就是行之有效，而不是升级权限或替换开发人员的现有帐户，而是创建一个单独的帐户，该帐户仅在他们需要提升的权限时才使用。

因此，通常它们在单独的“受限制”帐户下工作（我之所以宽松使用，是因为这些受限制帐户仍然需要一定的权限，即为表创建，删除，更改）。但是在他们认为需要的极少数情况下sa，他们可以使用此帐户登录。然后，您可以在日志中标记该帐户并对其进行其他监视。您已经为开发人员提供了他们所要求的访问权限，但是这种方式更具可控性。

最终，如果存在滥用，该帐户上的日志可以用作取走该帐户的证据。

它说（MSDN），您需要sysadmin（sa）才能在SQL Server 2005上进行调试。

但是，这个SO问题显示了没有 sa的另一种方式，这是我最初的想法。只需让他们运行sp_sidedebug

我还建议给他们本地SQL Express，它也可以解决其他问题。

（使用更多信息编辑）

在W. Craig Trader的回答之后进行编辑

在最坏的情况下，其他具有“ sa”权利的问题：

• 开发人员将创建不受信任的CLR程序集
• 他们将使用xp_cmdshell
• 所有操作都在sql server服务帐户的上下文中
• 他们将承担客户端连接的权利
• 等

例如 xp_cmdshell 'scm -Action 6 -Server PRODSERVER'

根据我的建议，我要设置基于策略的管理，并强制执行所有您的“做”和“不做”作为策略规则。这将大大保护实例。

我也将部署DDL变更审计，请参阅SQL Server 2008中审计，与其说起到威慑作用，但主要是作为更改跟踪系统，这样当事情被拧紧了，至少你会知道是什么改变了。

如果是开发服务器，那么开发者具有完全访问权限又有什么问题？告诉开发人员您不能添加/删除/更改数据库对象（例如：表，列，索引），就像告诉他们“您可以拥有一个编译器，但不允许其运行”。在我看来，开发人员希望/需要访问他们自己的数据库实例的目的是专门允许他们测试解决问题的不同方法，而不必使用PRODUCTION或TEST数据库。您应该鼓励这种行为，而不是阻止它。

有人可能建议开发人员使用SQL Express的本地实例，但是尽管每个开发人员的SQL Express都可以解决某些问题，但与单独服务器上的完整SQL Server相比，它具有不同的限制和性能特征。

您应该做的是制定一个定期的备份计划（至少每晚一次），并与开发人员合作，以确保他们知道如何启动计划外的备份以及如何从备份中还原，从而在出现问题时将停机时间降到最低。

它是开发服务器，而不是数据库支持组服务器或生产服务器。保留良好的备份/映像，并让开发人员破解。让DBA控制devbox就像让尾巴摇狗一样。开发人员可以在那里进行开发工作。这涉及到有时破坏事物并删除表，然后使用不同的设置将它们放回去。一段时间之后，开发箱总是处于失修状态，这就是我们要做的。如果我们不知道问题出在哪里，我们会尝试不同的方法。其中有些很容易撤消，有些则不那么容易。

我认为他们不需要在“开发”框中具有SA特权。在几乎所有情况下，他们都可以做到。

我认为一个不错的选择是安装本地开发版本。

题：

您不希望开发人员添加/更改/删除数据库对象吗？！他们将如何发展？

我们要求所有数据库结构更改都必须使用脚本（即使在开发环境中）进行，并保存在Subversion中。然后，按照既定的时间表，我们从产品中刷新开发人员，他们必须重新运行脚本才能返回到开发周期中的位置。这有助于确保通过脚本完成所有操作，并确保在部署时已准备好脚本。

我知道您可以在2008年设置DDL触发器来跟踪数据库结构更改，您可以在2005年做到这一点吗？这样，至少您可以找出某人何时更改设置，并找出原因。

SQL Server审核是您想要的，但是，如果您将为其创建所有数据库对象，为什么开发人员需要sa？

http://msdn.microsoft.com/en-us/library/cc280526.aspx