Derechos limitados: Acceso denegado a otras bases de datos

De manera opcional, una vez que las bases de datos hayan sido adecuadamente provistas, se puede establecer el permiso DENY VIEW ANY DATABASE para el inicio de sesión de SQL. Se evitará de este modo que el inicio de sesión tenga acceso a bases de datos en las que no se ha concedido específicamente el permiso de acceso. Es importante tener en cuenta que aún si el permiso VIEW ANY DATABASE no se ha revocado, un inicio de sesión no podrá tener acceso a una base de datos cuando no está asignado a un usuario en la base de datos, a menos que tenga derechos de administrador en la instancia. Por lo tanto, al quitar el permiso VIEW ANY DATABASE solamente se ocultan las bases de datos en las que el inicio de sesión de todas formas no tenía el permiso.

El inicio de sesión aún tendrá acceso a las bases de datos master y tempdb en cualquier rol de base de datos público visible en el que pueda intervenir la seguridad. El acceso a tempdb no se debe eliminar, ya que muchos de nuestros procedimientos SQL lo utilizan. Con frecuencia, muchos administradores de base de datos que tienen conciencia de la seguridad eliminan el acceso desde ciertas vistas, funciones y procedimientos almacenados para el rol de base de datos público desde la base de datos master no obstante se recomienda mantener el acceso al procedimiento almacenado extendido xp_instance_regread ya que habilita características útiles en los procesos de copia de seguridad y actualización de la base de datos. Si se quita el acceso, simplemente se deshabilitarán estas características y no se provocarán errores de aplicación.

Consulte también

Uso de una cuenta con derechos limitados con WhatsUp Gold

Derechos limitados: Información general

Derechos limitados: SQL Server local

Derechos limitados: SQL Server remoto