Поделиться через


Безопасность при администрировании агента SQL Server

В агенте SQL Server, в базе данных msdb, появились предопределенные роли базы данных SQLAgentUserRole, SQLAgentReaderRole и SQLAgentOperatorRole, которые предназначены для управления доступом к агенту SQL Server для пользователей, не являющихся членами предопределенной роли сервера sysadmin. Помимо этих предопределенных ролей базы данных, подсистемы и учетные записи-посредники позволяют администраторам базы данных гарантировать, что каждый шаг задания выполняется с минимальными разрешениями, необходимыми для выполнения задачи.

Роли

Доступ к агенту SQL Server имеют члены предопределенных ролей базы данных SQLAgentUserRole, SQLAgentReaderRole и SQLAgentOperatorRole в базе данных msdb, а также члены предопределенной роли сервера sysadmin. Пользователь, не принадлежащий ни к одной из этих ролей, не может использовать агент SQL Server. Дополнительные сведения о ролях, используемых агентом SQL Server, см. в разделе Обеспечение безопасности агента SQL Server.

Подсистемы

Подсистема — это предопределенный объект, который содержит функции, доступные шагу задания. Дополнительные сведения см. в разделе Подсистемы агента SQL Server.

Учетные записи-посредники

Агент SQL Server для управления контекстами безопасности использует учетные записи-посредники. Учетная запись-посредник может быть использована на нескольких шагах задания. Создавать учетные записи-посредники могут члены предопределенной роли сервера sysadmin.

Каждая учетная запись-посредник соответствует учетной записи безопасности и может быть связана с множеством подсистем и множеством имен входа. Учетная запись-посредник может применяться только для шагов задания, которые используют связанную с этой учетной записью-посредником подсистему. Чтобы создать шаг задания, использующий определенную учетную запись-посредник, владелец задания должен либо использовать связанное с ней имя входа, либо быть членом роли, имеющей неограниченный доступ к учетным записям-посредникам. Члены предопределенной роли сервера sysadmin имеют неограниченный доступ к учетным записям-посредникам. Члены ролей SQLAgentUserRole, SQLAgentReaderRole и SQLAgentOperatorRole могут использовать только учетные записи-посредники, на которые им был предоставлен особый доступ. Каждому пользователю, входящему в одну из предопределенных ролей базы данных агента SQL Server, необходимо предоставить доступ к конкретным учетным записям-посредникам, чтобы он мог создавать шаги задания, которые будут использовать эти учетные записи-посредники.