Поделиться через

Обеспечение безопасности агента SQL Server

  • Статья

Агент SQL Server позволяет администратору базы данных выполнять каждый шаг задания в контексте безопасности, имеющем только те разрешения, которые необходимы для выполнения шага задания, что обеспечивается учетными записями-посредниками агента SQL Server. Для установки разрешений для конкретного шага задания необходимо создать учетную запись-посредник, обладающую необходимыми разрешениями, а затем назначить ее шагу задания. Учетная запись-посредник может быть назначена нескольким этапам задания. Этапам задания, которым требуются одинаковые разрешения, назначают одну и ту же учетную запись-посредник.

ms190926.note(ru-ru,SQL.90).gifПримечание.
После перехода с SQL Server 2000 на SQL Server 2005 все существовавшие учетные записи-посредники меняются одной глобальной учетной записью-посредником UpgradedProxyAccount. Учетной записи-посреднику UpgradedProxyAccount после обновления версии предоставлены права доступа не ко всем подсистемам, а только к тем, которые были указаны явно.

Следующий раздел описывает, какие роли базы данных необходимо предоставить пользователям, чтобы они могли создавать и выполнять задания с помощью агента SQL Server.

Предоставление доступа к агенту SQL Server

Для доступа к агенту SQL Server пользователь должен быть членом одной или нескольких следующих фиксированных ролей базы данных.

  • SQLAgentUserRole
  • SQLAgentReaderRole
  • SQLAgentOperatorRole

Эти роли хранятся в базе данных msdb. По умолчанию ни один из пользователей ни в одну из этих ролей не входит. Членство в них должно быть предоставлено явным образом. Пользователи, являющиеся членами фиксированной серверной роли sysadmin, имеют полный доступ к агенту SQL Server, и не должны быть членами перечисленных фиксированных ролей базы данных, чтобы его использовать. Если пользователь не является ни членом указанных ролей базы данных, ни членом роли sysadmin, узел агента SQL Server при подключении к SQL Server с помощью среды SQL Server Management Studio для него недоступен.

Члены указанных ролей базы данных могут просматривать и выполнять задания, владельцами которых они являются, а также создавать шаги задания, которые выполняются от имени существующих учетных записей-посредников. Дополнительные сведения о конкретных разрешениях, связанных с каждой из этих ролей, см. в разделе Фиксированные роли базы данных агента SQL Server.

Члены фиксированной серверной роли sysadmin имеют разрешение на создание, изменение и удаление учетных записей-посредников. Члены роли sysadmin имеют разрешение на создание шагов задания без указания учетной записи-посредника, которые работают под учетной записью службы агента SQL Server, то есть той учетной записи, под которой был запущен агент SQL Server.

Правила

Чтобы повысить защищенность системы безопасности агента SQL Server следуйте следующим правилам:

  • создавайте специально выделенные учетные записи-посредники, и для выполнения шагов заданий пользуйтесь только ими;
  • предоставляйте разрешения только необходимым учетным записям-посредникам. Предоставляйте только те разрешения, которые действительно необходимы для выполнения шагов задания, которому назначена данная учетная запись-посредник;
  • не запускайте службу агента SQL Server под учетной записью Microsoft Windows, являющуюся членом группы Windows Администраторы.

См. также

Основные понятия

Выбор учетной записи для службы агента SQL Server
Безопасность при администрировании агента SQL Server

Другие ресурсы

Обзор предопределенных ролей
Хранимая процедура sp_addrolemember (Transact-SQL)
sp_droprolemember (Transact-SQL)
Вопросы безопасности SQL Server

Справка и поддержка

Получение помощи по SQL Server 2005