Ról stałej bazy danych programu SQL Server Agent
SQL Server 2005wprowadzone następujące msdb ról stałej bazy danych, które umożliwiają administratorom dokładniejszą kontrolę dostępu do bazy danych SQL Server agenta.Role, od najmniejszych do najbardziej uprzywilejowanego dostępu są:
SQLAgentUserRole
SQLAgentReaderRole
SQLAgentOperatorRole
Gdy użytkownicy, którzy nie są członkami jednego z tych ról są podłączone do SQL Server w SQL Server Management Studio, sql Server Agent węzła w Eksploratorze obiektów nie jest widoczny.Użytkownik musi należeć do jednej z tych ról stałej bazy danych lub element członkowski sysadmin stała rola serwera do używania SQL Server agenta.
Uprawnienia SQL Server Agent ról stałej bazy danych
SQL Server Agenta rola bazy danych uprawnienia są koncentrycznych w stosunku do siebie — role bardziej uprzywilejowanych dziedziczą uprawnienia ról w mniej uprzywilejowanych na SQL Server (w tym alerty, operatorów, zadania, harmonogramów i serwery proxy) obiekty agenta.Na przykład jeżeli członkowie najmniej uprzywilejowanych SQLAgentUserRole udzielono dostępu do proxy_A członkowie obu SQLAgentReaderRole i SQLAgentOperatorRole automatycznie mają dostęp do tego serwera proxy, mimo że dostęp do proxy_A nie został jawnie przyznane im.Może to mieć wpływ na bezpieczeństwo, które zostały omówione w następnych sekcjach dotyczących każdej roli.
Uprawnienia SQLAgentUserRole
SQLAgentUserRole jest najmniej uprzywilejowanych z SQL Server Agent stałe role bazy danych.Ma on uprawnienia do operatorów, lokalne zadanie i harmonogramy zadań.Członkowie SQLAgentUserRole uprawnień tylko lokalne zadanie i harmonogramów zadań, których jest właścicielem.Nie mogą używać propagując zadanie (wzorca i serwer miejsce docelowe zadanie), i nie mogą zmieniać właściciela zadanie dostęp do zadań, które już nie posiadasz.SQLAgentUserRole członków można wyświetlić listę dostępnych serwerów proxy tylko w Właściwości krok zadania okno dialogowe z SQL Server Management Studio.Tylko zadania węzeł w SQL Server Management Studio Object Explorer jest widoczny dla członków SQLAgentUserRole.
Uwaga dotycząca zabezpieczeń |
---|
Consider the security implications before granting proxy access to members of the SQL Server Agentdatabaseroles.SQLAgentReaderRole i SQLAgentOperatorRole są automatycznie członkami SQLAgentUserRole.Oznacza to, że członkowie SQLAgentReaderRole i SQLAgentOperatorRole mają dostęp do wszystkich SQL Server agenta proxy, które zostały przyznane SQLAgentUserRole i mogą korzystać z tych serwerów proxy. |
W następującej tabela podsumowano SQLAgentUserRole uprawnienia SQL Server obiekty agenta.
Action |
operatory |
Lokalne zadania (tylko dla zadań będących własnością) |
Planuje zadanie (tylko w przypadku harmonogramów własnością) |
Serwery proxy |
---|---|---|---|---|
Tworzenie/modyfikowanie/delete |
Nie |
Yes1 |
Tak |
Nie |
Wyświetlanie listy (wyliczyć) |
Yes2 |
Tak |
Tak |
Yes3 |
Włączanie i wyłączanie |
Nie |
Tak |
Tak |
Nie dotyczy |
Właściwości widoku |
Nie |
Tak |
Tak |
Nie |
Wykonanie/stop/start |
Nie dotyczy |
Tak |
Nie dotyczy |
Nie dotyczy |
Widok zadanie historii |
Nie dotyczy |
Tak |
Nie dotyczy |
Nie dotyczy |
Usuwanie historia zadanie |
Nie dotyczy |
No4 |
Nie dotyczy |
Nie dotyczy |
Dołączeniu/odłączeniu |
Nie dotyczy |
Nie dotyczy |
Tak |
Nie dotyczy |
1 Nie można zmienić właściciela zadanie.
2 Można uzyskać listy dostępnych operatorów do użytku w sp_notify_operator i Właściwości zadania dialogowe Management Studio.
3 Listy serwerów proxy jest dostępna tylko w Właściwości krok zadania dialogowe Management Studio.
4 Członków SQLAgentUserRole musi wyraźnie być przyznane uprawnienie Wykonywanie na sp_purge_jobhistoria usunąć zadanie historia na zadania, których jest właścicielem.Nie można ich usunąć zadanie historii dla innych zadanies.
Uprawnienia SQLAgentReaderRole
SQLAgentReaderRole zawiera wszystkie SQLAgentUserRole uprawnienia, jak również uprawnienia do wyświetlania listy dostępnych zadań wieloserwerowych, ich właściwości i ich historia.Członkowie tej roli również można wyświetlić listę wszystkich dostępnych zadań i harmonogramy zadań i ich właściwości, nie tylko te zadanie i harmonogramów zadań, których jest właścicielem.SQLAgentReaderRole członków nie można zmienić właściciela zadanie dostęp do zadań, które już nie posiadasz.Tylko zadania węzeł w SQL Server Management Studio Object Explorer jest widoczny dla członków SQLAgentReaderRole.
Uwaga dotycząca zabezpieczeń |
---|
Consider the security implications before granting proxy access to members of the SQL Server Agentdatabaseroles.Członkowie SQLAgentReaderRole są automatycznie członkami SQLAgentUserRole.Oznacza to, że członkowie SQLAgentReaderRole mają dostęp do wszystkich SQL Server agenta proxy, które zostały przyznane SQLAgentUserRole i mogą korzystać z tych serwerów proxy. |
W następującej tabela podsumowano SQLAgentReaderRole uprawnienia SQL Server obiekty agenta.
Action |
operatory |
Lokalne zadania |
Propagując zadania |
Planuje zadanie |
Serwery proxy |
---|---|---|---|---|---|
Tworzenie/modyfikowanie/delete |
Nie |
Tak 1 (własność tylko zadania) |
Nie |
Tak (tylko w przypadku harmonogramów własnością) |
Nie |
Wyświetlanie listy (wyliczyć) |
Yes2 |
Tak |
Tak |
Tak |
Yes3 |
Włączanie i wyłączanie |
Nie |
Tak (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów własnością) |
Nie dotyczy |
Właściwości widoku |
Nie |
Tak |
Tak |
Tak |
Nie |
Edytowanie właściwości |
Nie |
Tak (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów własnością) |
Nie |
Wykonanie/stop/start |
Nie dotyczy |
Tak (tylko dla zadań będących własnością) |
Nie |
Nie dotyczy |
Nie dotyczy |
Widok zadanie historii |
Nie dotyczy |
Tak |
Tak |
Nie dotyczy |
Nie dotyczy |
Usuwanie historia zadanie |
Nie dotyczy |
No4 |
Nie |
Nie dotyczy |
Nie dotyczy |
Dołączeniu/odłączeniu |
Nie dotyczy |
Nie dotyczy |
Nie dotyczy |
Tak (tylko w przypadku harmonogramów własnością) |
Nie dotyczy |
1 Nie można zmienić właściciela zadanie.
2 Można uzyskać listy dostępnych operatorów do użytku w sp_notify_operator i Właściwości zadania dialogowe Management Studio.
3 Listy serwerów proxy jest dostępna tylko w Właściwości krok zadania dialogowe Management Studio.
4 Członków SQLAgentReaderRole musi wyraźnie być przyznane uprawnienie Wykonywanie na sp_purge_jobhistoria usunąć zadanie historia na zadania, których jest właścicielem.Nie można ich usunąć zadanie historii dla innych zadanies.
Uprawnienia SQLAgentOperatorRole
SQLAgentOperatorRole jest najbardziej uprzywilejowany z SQL Server Agent stałe role bazy danych.Zawiera on wszystkie uprawnienia SQLAgentUserRole i SQLAgentReaderRole.Członkowie tej roli można również przeglądać właściwości dla podmiotów gospodarczych i serwery proxy i wyliczyć dostępne serwery proxy i alerty na serwerze.
SQLAgentOperatorRole członkowie mają dodatkowe uprawnienia lokalnego zadania i harmonogramy.Można wykonać, zatrzymać lub uruchomić wszystkie zadanie lokalne i ich usuwanie historia zadanie, pracy lokalnych, na serwerze.Również można włączyć lub wyłączyć wszystkie lokalne zadania i harmonogramy na serwerze.Aby włączyć lub wyłączyć lokalne zadania lub harmonogramy, Członkowie tej roli należy użyć procedury przechowywane sp_update_job i sp_update_schedule.Parametry określające zadanie lub harmonogram nazwa lub identyfikator i @ włączone parametr można określić przez członków SQLAgentOperatorRole.Wykonanie tych określają inne parametry przechowywane procedury kończy się niepowodzeniem.SQLAgentOperatorRole członków nie można zmienić właściciela zadanie dostęp do zadań, które już nie posiadasz.
Zadania, alerty, Operatorzy, i proxy węzłów w SQL Server Management Studio Object Explorer są widoczne dla członków SQLAgentOperatorRole.Tylko Dzienniki błędów węzeł nie jest widoczny dla członków tej roli.
Uwaga dotycząca zabezpieczeń |
---|
Consider the security implications before granting proxy access to members of the SQL Server Agentdatabaseroles.Członkowie SQLAgentOperatorRole są automatycznie członkami SQLAgentUserRole i SQLAgentReaderRole.Oznacza to, że członkowie SQLAgentOperatorRole mają dostęp do wszystkich SQL Server agenta proxy, które zostały przyznane albo SQLAgentUserRole lub SQLAgentReaderRole i mogą korzystać z tych serwerów proxy. |
W następującej tabela podsumowano SQLAgentOperatorRole uprawnienia SQL Server obiekty agenta.
Action |
Alerty |
operatory |
Lokalne zadania |
Propagując zadania |
Planuje zadanie |
Serwery proxy |
---|---|---|---|---|---|---|
Tworzenie/modyfikowanie/delete |
Nie |
Nie |
Tak 2 (własność tylko zadania) |
Nie |
Tak (tylko w przypadku harmonogramów własnością) |
Nie |
Wyświetlanie listy (wyliczyć) |
Tak |
Yes1 |
Tak |
Tak |
Tak |
Tak |
Włączanie i wyłączanie |
Nie |
Nie |
Yes3 |
Nie |
Yes4 |
Nie dotyczy |
Właściwości widoku |
Tak |
Tak |
Tak |
Tak |
Tak |
Tak |
Edytowanie właściwości |
Nie |
Nie |
Tak (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów własnością) |
Nie |
Wykonanie/stop/start |
Nie dotyczy |
Nie dotyczy |
Tak |
Nie |
Nie dotyczy |
Nie dotyczy |
Widok zadanie historii |
Nie dotyczy |
Nie dotyczy |
Tak |
Tak |
Nie dotyczy |
Nie dotyczy |
Usuwanie historia zadanie |
Nie dotyczy |
Nie dotyczy |
Tak |
Nie |
Nie dotyczy |
Nie dotyczy |
Dołączeniu/odłączeniu |
Nie dotyczy |
Nie dotyczy |
Nie dotyczy |
Nie dotyczy |
Tak (tylko w przypadku harmonogramów własnością) |
Nie dotyczy |
1 Można uzyskać listy dostępnych operatorów do użytku w sp_notify_operator i Właściwości zadania dialogowe Management Studio.
2 Nie można zmienić właściciela zadanie.
3SQLAgentOperatorRole members can enable or disable local jobs they do not own by using the stored procedure sp_update_job and specifying values for the @enabled and the @job_id (or @job_name) parameters.Jeśli element członkowski tej roli określa inne parametry dla tej procedura składowana, wykonanie tej procedury nie powiedzie się.
4SQLAgentOperatorRole members can enable or disable schedules they do not own by using the stored procedure sp_update_schedule and specifying values for the @enabled and the @schedule_id (or @name) parameters.Jeśli element członkowski tej roli określa inne parametry dla tej procedura składowana, wykonanie tej procedury nie powiedzie się.
Przypisywanie wielu ról użytkowników
Członkowie sysadmin stała rola serwera mają dostęp do wszystkich SQL Server funkcji agenta.Jeśli użytkownik nie jest element członkowski z sysadmin rolę, ale jest element członkowski więcej niż jeden SQL Server Agent ustaloną rola bazy danych, ważne jest, aby reelement członkowski model koncentrycznych uprawnień tych ról.Ponieważ bardziej uprzywilejowanych role zawsze zawierają wszystkie uprawnienia ról w mniej uprzywilejowanych, użytkownik, który jest element członkowski więcej niż jednej roli automatycznie ma uprawnienia skojarzone z rolą najbardziej uprzywilejowany użytkownik jest element członkowski z.