Autorización de administración del sistema (SYSADM)
El nivel de autorización SYSADM es el nivel más alto de autorización administrativa en el nivel de instancia. Los usuarios con autorización SYSADM pueden ejecutar algunos programas de utilidad y emitir algunos mandatos de base de datos y gestor de bases de datos dentro de la instancia.
La autorización SYSADM se asigna al grupo especificado por el parámetro de configuración sysadm_group . La pertenencia a ese grupo se controla fuera del gestor de bases de datos a través del recurso de seguridad utilizado en la plataforma.
- Actualizar una base de datos
- Restauración de una base de datos
- Cambiar el archivo de configuración del gestor de bases de datos (incluyendo la especificación de los grupos que tienen autorización SYSADM, SYSCTRL, SYSMAINT o SYSMON)
- Otorgue y revoque privilegios de espacio de tablas y también puede utilizar cualquier espacio de tablas.
- Otorgue y revoque los privilegios CREATE_EXTERNAL_ROUTINE y CREATE_NOT_FENCED_ROUTINE en la base de datos.
- Otorgue y revoque el privilegio EXECUTE en el módulo UTL_DIR.
- Ejecute dinámicamente el módulo UTL_DIR.
En releases anteriores a la Versión 9.7, la autorización SYSADM incluía la autorización DBADM implícita y también proporcionaba la posibilidad de otorgar y revocar todas las autorizaciones y privilegios. En la Versión 9.7, el modelo de autorización de Db2® se ha actualizado para separar claramente las tareas del administrador del sistema, del administrador de base de datos y del administrador de seguridad. Como parte de esta mejora, las capacidades otorgadas por la autorización SYSADM se han reducido.
En la Versión 9.7, solo la autorización SECADM proporciona la capacidad de otorgar y revocar todas las autorizaciones y privilegios.
En el caso de un usuario que tenga autorización SYSADM para tener las mismas capacidades que en la Versión 9.5 (aparte de la capacidad para otorgar autorización SECADM), el administrador de seguridad debe otorgar al usuario de manera explícita la autorización DBADM y las nuevas autorizaciones DATAACCESS y ACCESSCTRL. Estas nuevas autorizaciones se pueden otorgar utilizando la sentencia GRANT DBADM ON DATABASE con las opciones WITH DATAACCESS y WITH ACCESSCTRL de dicha sentencia, que son opciones predeterminadas. La autorización DATAACCESS es la autorización que permite el acceso a datos dentro de una base de datos específica, y la autorización ACCESSCTRL es la autorización que permite a un usuario otorgar y revocar privilegios y autorizaciones no administrativas dentro de una base de datos específica.
Consideraciones para la cuenta LocalSystem de Windows
En sistemas Windows, cuando no se especifica el parámetro de configuración del gestor de bases de datos sysadm_group , la cuenta LocalSystem se considera un administrador del sistema (con autorización SYSADM). Todas las aplicaciones DB2 ejecutadas por LocalSystem se verán afectadas por el cambio en el ámbito de la autorización SYSADM en la Versión 9.7. Estas aplicaciones normalmente se escriben en forma de servicios de Windows y se ejecutan bajo la cuenta LocalSystem como cuenta de inicio de sesión de servicio. Si se necesita que estas aplicaciones realicen acciones de base de datos que ya no están en el ámbito de SYSADM, debe otorgar a la cuenta LocalSystem las autorizaciones o los privilegios de base de datos que se requieran. Por ejemplo, si una aplicación requiere capacidades de administrador de bases de datos, otorgue autorización DBADM a la cuenta LocalSystem mediante la sentencia GRANT (Autorizaciones de bases de datos). Tenga en cuenta que el ID de autorización correspondiente a la cuenta LocalSystem es SYSTEM.