限制用户只复制备份

你不需要让他们使用COPY_ONLY。只有一个中间人LOG BACKUPS会打破LSN. 您可以做的是明确DENY BACKUP LOG to [user|group]授予开发人员或开发人员组的权限。或者，只需创建一个角色并拒绝该角色的备份日志。因此，该角色中的所有用户都将继承权限。

例如

USE test_kin
GO
CREATE ROLE [deny_log_backups]
GO
USE [test_kin]
GO
CREATE USER [Kin] FOR LOGIN [Kin]
GO
ALTER USER [Kin] WITH DEFAULT_SCHEMA=[dbo]
GO
use test_kin
GO
DENY BACKUP LOG TO [deny_log_backups]
GO
USE test_kin
GO
EXEC sp_addrolemember N'deny_log_backups', N'kin'
GO

现在测试它：

backup database [test_kin]
to disk = 'C:\crap_test\kin_test_full.bak'
with compression, stats =10, init

---- ### success for FULL BACKUP 

backup log [test_kin]
to disk = 'C:\crap_test\kin_test_log.log'

 --- $$$ ERROR MESSAGE 

Msg 262, Level 14, State 1, Line 3
BACKUP LOG permission denied in database 'test_kin'.
Msg 3013, Level 16, State 1, Line 3
BACKUP LOG is terminating abnormally.

好问题，我找不到好的答案，但这里有一个。如果您将每个人都从备份角色中删除，然后为特定用户创建一个使用 execute as 命令将 copy_only 备份文件放到特定位置的任务，该怎么办？

您可能能够做的是 1）拒绝对此类用户进行备份（日志和/或完整），但仍然 2）允许他们启动执行特定数据库的仅复制备份的作业（在授予的帐户下运行备份权限）。我有这样一个解决方案，可以自动执行 PROD 到 PRE-PROD 数据库的自动恢复，以便进行调查；特定用户有权访问在 PROD 中执行仅复制备份的作业（在 PRE-PROD 中），将文件从 PROD 移动到 PRE-PROD，然后在 PRE-PROD 服务器上恢复移动的备份。从而确保此类用户无法破坏 PROD 上的备份逻辑。

（在调查问题时，开发人员可能会尝试通过将文件从源实际移动到测试服务器而不知道他们正在破坏备份逻辑来进行完整备份以在测试服务器上恢复它......所以我同意强制复制- 仅备份很重要。）