Feste Datenbankrollen des SQL Server-Agents
SQL Server verfügt über die folgenden festen msdb-Datenbankrollen, mit denen Administratoren den Zugriff auf den SQL Server-Agent besser steuern können. In der folgenden Auflistung sind die Rollen von den niedrigsten bis hin zu den höchsten Zugriffsberechtigungen enthalten:
SQLAgentUserRole
SQLAgentReaderRole
SQLAgentOperatorRole
Wenn Benutzer, die nicht Mitglied einer dieser Rollen sind, in SQL Server Management Studio mit SQL Server verbunden sind, wird der Knoten SQL Server-Agent im Objekt-Explorer nicht angezeigt. Ein Benutzer muss Mitglied einer dieser festen Datenbankrollen oder der festen Serverrolle sysadmin sein, um den SQL Server-Agent verwenden zu können.
Berechtigungen der festen Datenbankrollen des SQL Server-Agents
Die Datenbankrollen-Berechtigungen des SQL Server-Agents stehen konzentrisch zueinander in Beziehung: Rollen mit höheren Berechtigungen erben die Berechtigungen der Rollen mit niedrigeren Berechtigungen für SQL Server-Agent-Objekte (einschließlich Warnungen, Operatoren, Aufträge, Zeitpläne und Proxys). Wenn z. B. Mitglieder der Rolle SQLAgentUserRole mit den niedrigsten Berechtigungen Zugriff auf „proxy_A“ haben, haben die Mitglieder von SQLAgentReaderRole und SQLAgentOperatorRole automatisch Zugriff auf diesen Proxy, selbst wenn ihnen der Zugriff auf „proxy_A“ nicht ausdrücklich erteilt wurde. Dies kann zu Sicherheitsrisiken führen, die in den folgenden Abschnitten zu den einzelnen Rollen erläutert werden.
SQLAgentUserRole-Berechtigungen
SQLAgentUserRole ist die feste Datenbankrolle des SQL Server-Agents mit den niedrigsten Berechtigungen. Sie hat lediglich Berechtigungen für Operatoren, lokale Aufträge und Auftragszeitpläne. Die Mitglieder von SQLAgentUserRole haben lediglich Berechtigungen für lokale Aufträge und Auftragszeitpläne, deren Besitzer sie sind. Sie können keine Multiserveraufträge (Master- und Zielserveraufträge) verwenden, und sie können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind. Die Mitglieder von SQLAgentUserRole können lediglich im Dialogfeld Auftragsschritt-Eigenschaften von SQL Server Management Studio eine Liste mit vorhandenen Proxys anzeigen. Nur der Knoten Aufträge im Objekt-Explorer von SQL Server Management Studio ist für die Mitglieder von SQLAgentUserRole sichtbar.
Wichtig
Berücksichtigen Sie die Sicherheitsauswirkungen, bevor Sie Den Proxyzugriff auf Mitglieder der SQL Server-Agentdatenbanken gewähren. SQLAgentReaderRole und SQLAgentOperatorRole sind automatisch Mitglieder von SQLAgentUserRole. Dies bedeutet, dass die Mitglieder von SQLAgentReaderRole und SQLAgentOperatorRole Zugriff auf alle SQL Server-Agent-Proxys haben, denen SQLAgentUserRole erteilt wurde und die diese Proxys verwenden können.
Die folgende Tabelle enthält einen Überblick über die SQLAgentUserRole-Berechtigungen für SQL Server-Agent-Objekte.
| Aktion | Operatoren | Lokale Aufträge (nur Aufträge mit Besitzern) |
Auftragszeitpläne (nur Zeitpläne mit Besitzern) |
Proxys |
|---|---|---|---|---|
| Erstellen/Ändern/Löschen | No | Ja1 | Ja | Nein |
| Liste anzeigen (aufzählen) | Ja2 | Ja | Ja | Ja3 |
| Aktivieren/Deaktivieren | Nein | Ja | Ja | Nicht zutreffend |
| Eigenschaften anzeigen | Nein | Ja | Ja | Nein |
| Ausführen/Beenden/Starten | Nicht zutreffend | Ja | Nicht zutreffend | Nicht zutreffend |
| Auftragsverlauf anzeigen | Nicht zutreffend | Ja | Nicht zutreffend | Nicht zutreffend |
| Auftragsverlauf löschen | Nicht zutreffend | Nein 4 | Nicht zutreffend | Nicht zutreffend |
| Anfügen/Trennen | Nicht verfügbar | Nicht zutreffend | Ja | Nicht zutreffend |
1 Der Auftragsbesitz kann nicht geändert werden.
2 Kann eine Liste der verfügbaren Operatoren für die Verwendung in sp_notify_operator und im Dialogfeld "Auftragseigenschaften " von Management Studio abrufen.
3 Liste der Proxys, die nur im Dialogfeld "Auftragsschritteigenschaften " von Management Studio verfügbar sind.
4 Member von SQLAgentUserRole müssen explizit die EXECUTE-Berechtigung für sp_purge_jobhistory zum Löschen des Auftragsverlaufs für Aufträge erteilt werden, die sie besitzen. Sie können den Auftragsverlauf für keine anderen Aufträge löschen.
SQLAgentReaderRole-Berechtigungen
SQLAgentReaderRole enthält alle SQLAgentUserRole -Berechtigungen sowie die Berechtigungen zum Anzeigen der Liste verfügbarer Multiserveraufträge, ihrer Eigenschaften und ihres Verlaufs. Die Mitglieder dieser Rolle können auch die Liste aller verfügbaren Aufträge und Auftragszeitpläne sowie ihre Eigenschaften anzeigen, nicht nur die Aufträge und Auftragszeitpläne, deren Besitzer sie sind. Die Mitglieder vonSQLAgentReaderRole können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind. Nur der Knoten Aufträge im Objekt-Explorer von SQL Server Management Studio ist für die Mitglieder von SQLAgentReaderRole sichtbar.
Wichtig
Berücksichtigen Sie die Sicherheitsauswirkungen, bevor Sie Den Proxyzugriff auf Mitglieder der SQL Server-Agentdatenbanken gewähren. Die Mitglieder von SQLAgentReaderRole sind automatisch auch Mitglieder von SQLAgentUserRole. Dies bedeutet, dass die Mitglieder von SQLAgentReaderRole Zugriff auf alle SQL Server-Agent-Proxys haben, denen SQLAgentUserRole erteilt wurde und die diese Proxys verwenden können.
Die folgende Tabelle enthält einen Überblick über die SQLAgentReaderRole-Berechtigungen für SQL Server-Agent-Objekte.
| Aktion | Operatoren | Lokale Aufträge | Multiserveraufträge | Auftragszeitpläne | Proxys |
|---|---|---|---|---|---|
| Erstellen/Ändern/Löschen | No | Ja 1 (nur eigene Aufträge) | No | Ja (nur Zeitpläne mit Besitzer) | No |
| Liste anzeigen (aufzählen) | Ja2 | Ja | Ja | Ja | Ja3 |
| Aktivieren/Deaktivieren | Nein | Ja (nur Aufträge mit Besitzer) | No | Ja (nur Zeitpläne mit Besitzer) | Nicht zutreffend |
| Eigenschaften anzeigen | Nein | Ja | Ja | Ja | Nein |
| Eigenschaften bearbeiten | Nein | Ja (nur Aufträge mit Besitzer) | No | Ja (nur Zeitpläne mit Besitzer) | No |
| Ausführen/Beenden/Starten | Nicht zutreffend | Ja (nur Aufträge mit Besitzer) | Nein | Nicht zutreffend | Nicht zutreffend |
| Auftragsverlauf anzeigen | Nicht zutreffend | Ja | Ja | Nicht zutreffend | Nicht zutreffend |
| Auftragsverlauf löschen | Nicht zutreffend | Nein 4 | No | Nicht zutreffend | Nicht zutreffend |
| Anfügen/Trennen | Nicht verfügbar | Nicht verfügbar | Nicht zutreffend | Ja (nur Zeitpläne mit Besitzer) | Nicht zutreffend |
1 Der Auftragsbesitz kann nicht geändert werden.
2 Kann eine Liste der verfügbaren Operatoren für die Verwendung in sp_notify_operator und im Dialogfeld "Auftragseigenschaften " von Management Studio abrufen.
3 Liste der Proxys, die nur im Dialogfeld "Auftragsschritteigenschaften " von Management Studio verfügbar sind.
4 Member von SQLAgentReaderRole müssen explizit die EXECUTE-Berechtigung für sp_purge_jobhistory erteilt werden, um den Auftragsverlauf für Aufträge zu löschen, die sie besitzen. Sie können den Auftragsverlauf für keine anderen Aufträge löschen.
SQLAgentOperatorRole-Berechtigungen
SQLAgentOperatorRole ist die feste Datenbankrolle des SQL Server-Agents mit den höchsten Berechtigungen. Sie enthält alle Berechtigungen von SQLAgentUserRole und SQLAgentReaderRole. Die Mitglieder dieser Rolle können auch die Eigenschaften für Operatoren und Proxys anzeigen und die verfügbaren Proxys und Warnungen auf dem Server aufzählen.
Die Mitglieder vonSQLAgentOperatorRole haben zusätzliche Berechtigungen für lokale Aufträge und Zeitpläne. Sie können alle lokalen Aufträge ausführen, beenden oder starten, und sie können den Auftragsverlauf eines lokalen Auftrags auf dem Server löschen. Sie können auch alle lokalen Aufträge und Zeitpläne auf dem Server aktivieren und deaktivieren. Um lokale Aufträge oder Zeitpläne zu aktivieren oder zu deaktivieren, müssen die Mitglieder dieser Rolle die gespeicherten Prozeduren sp_update_job und sp_update_scheduleverwenden. Nur die Parameter, die den Namen oder den Bezeichner des Auftrags oder Zeitplans sowie den @enabled-Parameter angeben, können von den Mitgliedern von SQLAgentOperatorRole angegeben werden. Wenn sie andere Parameter angeben, erzeugt die Ausführung dieser gespeicherten Prozeduren einen Fehler. Die Mitglieder vonSQLAgentOperatorRole können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind.
Die Knoten Aufträge, Warnungen, Operatoren und Proxys im Objekt-Explorer von SQL Server Management Studio sind für die Mitglieder von SQLAgentOperatorRole sichtbar. Nur der Knoten Fehlerprotokolle ist für die Mitglieder dieser Rolle nicht sichtbar.
Wichtig
Berücksichtigen Sie die Sicherheitsauswirkungen, bevor Sie Den Proxyzugriff auf Mitglieder der SQL Server-Agentdatenbanken gewähren. Die Mitglieder von SQLAgentOperatorRole sind automatisch auch Mitglieder von SQLAgentUserRole und SQLAgentReaderRole. Dies bedeutet, dass die Mitglieder von SQLAgentOperatorRole Zugriff auf alle SQL Server-Agent-Proxys haben, denen SQLAgentUserRole oder SQLAgentReaderRole erteilt wurde und die diese Proxys verwenden können.
Die folgende Tabelle enthält einen Überblick über die SQLAgentOperatorRole-Berechtigungen für SQL Server-Agent-Objekte.
| Aktion | Alerts | Operatoren | Lokale Aufträge | Multiserveraufträge | Auftragszeitpläne | Proxys |
|---|---|---|---|---|---|---|
| Erstellen/Ändern/Löschen | Nein | No | Ja 2 (nur eigene Aufträge) | No | Ja (nur Zeitpläne mit Besitzer) | No |
| Liste anzeigen (aufzählen) | Ja | Ja1 | Ja | Ja | Ja | Ja |
| Aktivieren/Deaktivieren | Nein | No | Ja3 | No | Ja 4 | Nicht zutreffend |
| Eigenschaften anzeigen | Ja | Ja | Ja | Ja | Ja | Ja |
| Eigenschaften bearbeiten | Nein | Nein | Ja (nur Aufträge mit Besitzer) | No | Ja (nur Zeitpläne mit Besitzer) | No |
| Ausführen/Beenden/Starten | Nicht zutreffend | Nicht zutreffend | Ja | Nr. | Nicht zutreffend | Nicht zutreffend |
| Auftragsverlauf anzeigen | Nicht zutreffend | Nicht zutreffend | Ja | Ja | Nicht zutreffend | Nicht zutreffend |
| Auftragsverlauf löschen | Nicht zutreffend | Nicht zutreffend | Ja | Nr. | Nicht zutreffend | Nicht zutreffend |
| Anfügen/Trennen | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht zutreffend | Ja (nur Zeitpläne mit Besitzer) | Nicht zutreffend |
1 Kann eine Liste der verfügbaren Operatoren für die Verwendung in sp_notify_operator und im Dialogfeld "Auftragseigenschaften " von Management Studio abrufen.
2 Der Auftragsbesitz kann nicht geändert werden.
3 SQLAgentOperatorRole-Member können lokale Aufträge aktivieren oder deaktivieren, die sie nicht besitzen, indem sie die gespeicherte Prozedur sp_update_job verwenden und Werte für die @enabled und die parameter @job_id (oder @job_name) angeben. Wenn ein Mitglied dieser Rolle einen anderen Parameter für diese gespeicherte Prozedur angibt, erzeugt die Ausführung der Prozedur einen Fehler.
4 SQLAgentOperatorRole-Member können Zeitpläne aktivieren oder deaktivieren, die sie nicht besitzen, indem sie die gespeicherte Prozedur sp_update_schedule verwenden und Werte für die @enabled und die parameter @schedule_id (oder @name) angeben. Wenn ein Mitglied dieser Rolle einen anderen Parameter für diese gespeicherte Prozedur angibt, erzeugt die Ausführung der Prozedur einen Fehler.
Zuweisen von mehreren Rollen an Benutzer
Mitglieder der festen Serverrolle sysadmin haben Zugriff auf alle SQL Server-Agent-Funktionen. Wenn ein Benutzer nicht Mitglied der sysadmin-Rolle ist, sondern von mehr als einer festen Datenbankrolle des SQL Server-Agents, sollten Sie das konzentrische Berechtigungsmodell dieser Rollen berücksichtigen. Da die Rollen mit höheren Berechtigungen immer alle Berechtigungen der Rollen mit niedrigeren Berechtigungen enthalten, hat ein Benutzer, der Mitglied von mehreren Rollen ist, automatisch die Berechtigungen der Rolle mit den höchsten Berechtigungen, deren Mitglied der Benutzer ist.
Siehe auch
Implementieren der SQL Server-Agent-Sicherheit
sp_update_job (Transact-SQL)
sp_update_schedule (Transact-SQL)
sp_notify_operator (Transact-SQL)
sp_purge_jobhistory (Transact-SQL)