SQL Server Agent Fixed Database Roles
SQL Server 2005 wprowadzone poniżej msdb bazy danych, stałe role bazy danych, które pozwala administratorom lepiej kontrolować dostęp do SQL Server Agent. Role, wyświetlane w kolejności od najmniejszych do najbardziej uprzywilejowanego dostępu są:
SQLAgentUserRole
SQLAgentReaderRole
SQLAgentOperatorRole
Gdy użytkownicy, którzy nie są członkami tych ról są podłączone do SQL Server w SQL Server Management Studio, Agenta programu SQL Server węzła w Eksploratorze obiektów nie jest widoczny.Użytkownik musi należeć do jednej z tych ról stałej bazy danych lub element członkowski członkowski sysadmin stała rola serwera używaniaSQL Server Agent.
Uprawnienia ról Agent ustaloną bazy danych programu SQL Server
The SQL Server Agent rola bazy danych permissions are concentric in relation to one another -- more privileged roles inherit the permissions of less privileged roles on SQL Server Agent objects (including alerts, operators, jobs, schedules, and proxies). Na przykład jeżeli członkowie najmniejszych uprawnieniach SQLAgentUserRole przyznano dostęp do proxy_A członków zarówno SQLAgentReaderRole and SQLAgentOperatorRole automatycznie ma dostęp do tego serwera proxy, mimo że dostęp do proxy_A nie jawnie udzielono im.Może to mieć wpływ na bezpieczeństwo, które zostały omówione w następnych sekcjach informacje o każdej z ról.
Uprawnienia SQLAgentUserRole
SQLAgentUserRole jest najmniej uprzywilejowanym SQL Server Agent stałe role bazy danych. Ma uprawnień do podmiotów gospodarczych, lokalnych zadanie i harmonogramy zadań.Członkowie SQLAgentUserRole uprawnień tylko lokalne zadanie i harmonogramów zadań, których jest właścicielem.Nie mogą używać wieloserwerowych zadanie (zadanie serwera głównego i miejsce docelowe), a nie mają prawa zmieniać właściciela zadanie do uzyskania dostępu do zadań, które ich nie jest już właścicielem.SQLAgentUserRole członków można wyświetlić listę dostępnych serwerów proxy tylko w Właściwości krok zadanie w polu okna dialogowegoSQL Server Management Studio. Tylko Zadania node in SQL Server Management Studio Eksplorator obiektów są widoczne dla członków SQLAgentUserRole.
.gif "Security note") Security Note: |
|---|
Consider the security implications before granting proxy access to members of theSQL ServerAgentdatabaseroles.The SQLAgentReaderRole and the SQLAgentOperatorRole are automatically members of the SQLAgentUserRole.Oznacza to, że członkowie SQLAgentReaderRole and SQLAgentOperatorRole mają dostęp do wszystkich SQL Server Serwery proxy agenta, które zostały przyznane SQLAgentUserRole i mogą korzystać z tych serwerów proxy. |
W poniższej tabela przedstawiono podsumowanie SQLAgentUserRole uprawnieniaSQL Server Obiekty agenta.
Action |
Operatory |
Lokalne zadania (tylko dla zadań będących własnością) |
Planuje zadanie (tylko w przypadku harmonogramów będących własnością) |
Serwery proxy |
|---|---|---|---|---|
Tworzenie/modyfikowanie/usuwanie |
Nie |
Tak1 |
Tak |
Nie |
Wyświetlanie listy (wyliczenia) |
Tak2 |
Tak |
Tak |
Tak3 |
Włączanie i wyłączanie |
Nie |
Tak |
Tak |
Nie dotyczy |
Wyświetlanie właściwości |
Nie |
Tak |
Tak |
Nie |
wykonać/stop/start |
Nie dotyczy |
Tak |
Nie dotyczy |
Nie dotyczy |
Widok zadanie historia |
Nie dotyczy |
Tak |
Nie dotyczy |
Nie dotyczy |
Usuwanie zadanie historia |
Nie dotyczy |
Nr4 |
Nie dotyczy |
Nie dotyczy |
Dołączanie/Odłącz |
Nie dotyczy |
Nie dotyczy |
Tak |
Nie dotyczy |
1 Nie można zmienić właściciela zadanie.
2 Można wyświetlić listę dostępnych operatorów do użycia w sp_notify_operator and the Właściwości zadanie okno dialogowe Management Studio.
3 Lista serwerów proxy jest dostępne tylko w Właściwości krok zadanie okno dialogowe Management Studio.
4 CzłonkówSQLAgentUserRole musi jawnie zagwarantowane uprawnienie wykonać sp_purge_jobhistory , aby usunąć historię zadanie w przypadku zadań, których jest właścicielem.Nie można ich usunąć Historia zatrudnienia dla innych zadań.
Uprawnienia SQLAgentReaderRole
SQLAgentReaderRole zawiera wszystkie SQLAgentUserRole uprawnienia, jak również uprawnień do wyświetlania listy dostępnych zadań wieloserwerowych, ich właściwości oraz ich historia.Członkowie tej roli mogą również przeglądać listę wszystkich dostępnych zadań i harmonogramy pracy i ich właściwości, nie tylko te zadanie i harmonogramów zadań, których jest właścicielem.SQLAgentReaderRole członków nie można zmienić właściciela zadanie do uzyskania dostępu do zadań, które ich nie jest już właścicielem.Tylko Zadania node in SQL Server Management Studio Eksplorator obiektów są widoczne dla członków SQLAgentReaderRole.
| Security Note: |
|---|
Consider the security implications before granting proxy access to members of theSQL ServerAgentdatabaseroles.Członkowie SQLAgentReaderRole automatycznie są członkami SQLAgentUserRole.Oznacza to, że członkowie SQLAgentReaderRole mają dostęp do wszystkich SQL Server Serwery proxy agenta, które zostały przyznane SQLAgentUserRole i mogą korzystać z tych serwerów proxy. |
W poniższej tabela przedstawiono podsumowanie SQLAgentReaderRole uprawnieniaSQL Server Obiekty agenta.
Action |
Operatory |
Lokalne zadania |
Wieloserwerowych zadania |
Planuje zadanie |
Serwery proxy |
|---|---|---|---|---|---|
Tworzenie/modyfikowanie/usuwanie |
Nie |
Tak 1 (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów będących własnością) |
Nie |
Wyświetlanie listy (wyliczenia) |
Tak2 |
Tak |
Tak |
Tak |
Tak3 |
Włączanie i wyłączanie |
Nie |
Tak (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów będących własnością) |
Nie dotyczy |
Wyświetlanie właściwości |
Nie |
Tak |
Tak |
Tak |
Nie |
Edytowanie właściwości |
Nie |
Tak (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów będących własnością) |
Nie |
wykonać/stop/start |
Nie dotyczy |
Tak (tylko dla zadań będących własnością) |
Nie |
Nie dotyczy |
Nie dotyczy |
Widok zadanie historia |
Nie dotyczy |
Tak |
Tak |
Nie dotyczy |
Nie dotyczy |
Usuwanie zadanie historia |
Nie dotyczy |
Nr4 |
Nie |
Nie dotyczy |
Nie dotyczy |
Dołączanie/Odłącz |
Nie dotyczy |
Nie dotyczy |
Nie dotyczy |
Tak (tylko w przypadku harmonogramów będących własnością) |
Nie dotyczy |
1 Nie można zmienić właściciela zadanie.
2 Można wyświetlić listę dostępnych operatorów do użycia w sp_notify_operator and the Właściwości zadanie okno dialogowe Management Studio.
3 Lista serwerów proxy jest dostępne tylko w Właściwości krok zadanie okno dialogowe Management Studio.
4 CzłonkówSQLAgentReaderRole musi jawnie zagwarantowane uprawnienie wykonać sp_purge_jobhistory , aby usunąć historię zadanie w przypadku zadań, których jest właścicielem.Nie można ich usunąć Historia zatrudnienia dla innych zadań.
Uprawnienia SQLAgentOperatorRole
SQLAgentOperatorRole jest najbardziej uprzywilejowanym SQL Server Agent stałe role bazy danych. Zawiera on wszystkie uprawnienia SQLAgentUserRole and SQLAgentReaderRole.Członkowie tej roli mogą również przeglądać właściwości dla podmiotów gospodarczych i serwery proxy i wyliczyć dostępne serwery proxy i alertów na serwerze.
SQLAgentOperatorRole członkowie mają dodatkowe uprawnienia do lokalnego zadania i harmonogramy.Ich można wykonać, zatrzymać lub uruchomić wszystkie zadanie lokalne i usunąć Historia zatrudnienia dla dowolnego lokalnego zadanie na serwerze.Te można także włączyć lub wyłączyć wszystkie lokalne zadania i harmonogramy na serwerze.Aby włączyć lub wyłączyć lokalnych zadania lub harmonogramy, Członkowie tej roli muszą używać procedur przechowywanych sp_update_job and sp_update_schedule.Parametry określające zadanie lub harmonogram nazwa lub identyfikator i @ włączone parametr może być określony przez członków SQLAgentOperatorRole.Jeśli są określone inne parametry, wykonanie tych przechowywane procedury nie powiedzie się.SQLAgentOperatorRole członków nie można zmienić właściciela zadanie do uzyskania dostępu do zadań, które ich nie jest już właścicielem.
The Jobs, Alerts, Operators, and Proxies nodes in SQL Server Management Studio Object Explorer are visible to members of SQLAgentOperatorRole.Tylko Dzienniki błędów węzeł nie jest widoczne dla członków tej roli.
| Security Note: |
|---|
Consider the security implications before granting proxy access to members of theSQL ServerAgentdatabaseroles.Członkowie SQLAgentOperatorRole automatycznie są członkami SQLAgentUserRole and SQLAgentReaderRole.Oznacza to, że członkowie SQLAgentOperatorRole mają dostęp do wszystkich SQL Server Serwery proxy agenta, którym przyznano do jednego SQLAgentUserRole or SQLAgentReaderRole i mogą korzystać z tych serwerów proxy. |
W poniższej tabela przedstawiono podsumowanie SQLAgentOperatorRole uprawnieniaSQL Server Obiekty agenta.
Action |
Alerty |
Operatory |
Lokalne zadania |
Wieloserwerowych zadania |
Planuje zadanie |
Serwery proxy |
|---|---|---|---|---|---|---|
Tworzenie/modyfikowanie/usuwanie |
Nie |
Nie |
Tak 2 (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów będących własnością) |
Nie |
Wyświetlanie listy (wyliczenia) |
Tak |
Tak1 |
Tak |
Tak |
Tak |
Tak |
Włączanie i wyłączanie |
Nie |
Nie |
Tak3 |
Nie |
Tak4 |
Nie dotyczy |
Wyświetlanie właściwości |
Tak |
Tak |
Tak |
Tak |
Tak |
Tak |
Edytowanie właściwości |
Nie |
Nie |
Tak (tylko dla zadań będących własnością) |
Nie |
Tak (tylko w przypadku harmonogramów będących własnością) |
Nie |
wykonać/stop/start |
Nie dotyczy |
Nie dotyczy |
Tak |
Nie |
Nie dotyczy |
Nie dotyczy |
Widok zadanie historia |
Nie dotyczy |
Nie dotyczy |
Tak |
Tak |
Nie dotyczy |
Nie dotyczy |
Usuwanie zadanie historia |
Nie dotyczy |
Nie dotyczy |
Tak |
Nie |
Nie dotyczy |
Nie dotyczy |
Dołączanie/Odłącz |
Nie dotyczy |
Nie dotyczy |
Nie dotyczy |
Nie dotyczy |
Tak (tylko w przypadku harmonogramów będących własnością) |
Nie dotyczy |
1 Można wyświetlić listę dostępnych operatorów do użycia w sp_notify_operator and the Właściwości zadanie okno dialogowe Management Studio.
2 Nie można zmienić właściciela zadanie.
3SQLAgentOperatorRole members can enable or disable local jobs they do not own by using the stored procedure sp_update_job and specifying values for the @enabled and the @job_id (or @job_name) parameters.Jeśli element członkowski tej roli określa istniałyby inne parametry dla tej procedura przechowywana procedury nie powiedzie się.
4SQLAgentOperatorRole members can enable or disable schedules they do not own by using the stored procedure sp_update_schedule and specifying values for the @enabled and the @schedule_id (or @name) parameters.Jeśli element członkowski tej roli określa istniałyby inne parametry dla tej procedura przechowywana procedury nie powiedzie się.
Przypisywanie użytkowników wiele ról
Członkowie sysadmin ustala rolę serwera mają dostęp do wszystkich SQL Server Funkcje agenta. Jeśli użytkownik nie jest członkiem sysadmin roli, ale jest członkiem więcej niż jeden SQL Server Agent stała rola bazy danych, jest model koncentrycznych uprawnień tych ról, należy pamiętać. Ponieważ role bardziej uprzywilejowanym zawsze zawierają wszystkie uprawnienia z mniej uprzywilejowanych ról, użytkownik, który jest członkiem więcej niż jednej roli automatycznie ma uprawnienia związane z najbardziej uprzywilejowanym roli użytkownik jest członkiem.