Безопасность при администрировании агента SQL Server
В агенте SQL Server, в базе данных msdb, появились фиксированные роли базы данных SQLAgentUserRole, SQLAgentReaderRole и SQLAgentOperatorRole, которые предназначены для управления доступом к агенту SQL Server для пользователей, не являющихся членами фиксированной серверной роли sysadmin. Помимо этих фиксированных ролей базы данных, подсистемы и учетные записи-посредники позволяют администраторам базы данных гарантировать, что каждый шаг задания выполняется с минимальными разрешениями, необходимыми для выполнения задачи.
Роли
Доступ к агенту SQL Server имеют члены фиксированных ролей базы данных SQLAgentUserRole, SQLAgentReaderRole и SQLAgentOperatorRole в базе данных msdb, а также члены фиксированной серверной роли sysadmin. Пользователь, не принадлежащий ни к одной из этих ролей, не может использовать агент SQL Server. Дополнительные сведения о ролях, используемых агентом SQL Server, см. в разделе Обеспечение безопасности агента SQL Server.
Подсистемы
Подсистема — это предопределенный объект, который содержит функции, доступные шагу задания. Дополнительные сведения см. в разделе Подсистемы агента SQL Server.
Учетные записи-посредники
Агент SQL Server для управления контекстами безопасности использует учетные записи-посредники. Учетная запись-посредник может быть использована на нескольких шагах задания. Создавать учетные записи-посредники могут члены фиксированной серверной роли sysadmin.
Каждая учетная запись-посредник соответствует учетной записи безопасности и может быть связана с множеством подсистем и множеством имен входа. Учетная запись-посредник может применяться только для шагов задания, которые используют связанную с этой учетной записью-посредником подсистему. Чтобы создать шаг задания, использующий определенную учетную запись-посредник, владелец задания должен либо использовать связанное с ней имя входа, либо быть членом роли, имеющей неограниченный доступ к учетным записям-посредникам. Члены фиксированной серверной роли sysadmin имеют неограниченный доступ к учетным записям-посредникам. Члены ролей SQLAgentUserRole, SQLAgentReaderRole и SQLAgentOperatorRole могут использовать только учетные записи-посредники, на которые им был предоставлен особый доступ. Каждому пользователю, входящему в одну из фиксированных ролей базы данных агента SQL Server, необходимо предоставить доступ к конкретным учетным записям-посредникам, чтобы он мог создавать шаги задания, которые будут использовать эти учетные записи-посредники.
См. также
Основные понятия
Создание учетных записей-посредников агента SQL Server
Выбор учетной записи для службы агента SQL Server
Обеспечение безопасности агента SQL Server
Фиксированные роли базы данных агента SQL Server
Другие ресурсы
CREATE CREDENTIAL (Transact-SQL)
sp_grant_login_to_proxy (Transact-SQL)
sp_revoke_login_from_proxy (Transact-SQL)