Erstellen von SQL Server-Agent-Proxys

Von einem SQL Server-Agent-Proxy wird der Sicherheitskontext für einen Auftragsschritt definiert. Ein Proxy stellt dem SQL Server-Agent Zugriff auf die Sicherheitsanmeldeinformationen für einen Microsoft Windows-Benutzer zur Verfügung. Jedem Proxy kann mindestens ein Subsystem zugeordnet sein. Von einem Auftragsschritt, der den Proxy verwendet, kann auf die angegebenen Subsysteme mithilfe des Sicherheitskontextes des Windows-Benutzers zugegriffen werden. Bevor der SQL Server-Agent einen Auftragsschritt ausführt, von dem ein Proxy verwendet wird, werden vom SQL Server-Agent die im Proxy definierten Anmeldeinformationen angenommen und dann der Arbeitsschritt mithilfe des Sicherheitskontextes ausgeführt.

HinweisHinweis

Nach dem Aktualisieren von Microsoft SQL Server 2000 werden alle Benutzerproxykonten, die bereits vor der Aktualisierung vorhanden waren, zum temporären globalen Proxykonto UpgradedProxyAccount geändert.Das Konto UpgradedProxyAccount hat nur Zugriff auf diejenigen Subsysteme, die explizit verwendet wurden, nicht aber auf alle Subsysteme nach dem Aktualisieren.

Informationen zu SQL Server-Agent-Proxys

HinweisHinweis

Auftragsschritte, von denen Transact-SQL ausgeführt wird, verwenden keine SQL Server-Agent-Proxys. Transact-SQL-Auftragsschritte werden im Sicherheitskontext des Auftragsbesitzers ausgeführt. Verwenden Sie den database_user_name-Parameter in der gespeicherten Prozedur sp_add_jobstep, um den Sicherheitskontext für einen Transact-SQL-Auftragsschritt festzulegen. Weitere Informationen finden Sie unter sp_add_jobstep (Transact-SQL).

Von SQL Server-Agent-Proxys werden Anmeldeinformationen zum Speichern von Informationen zu Windows-Benutzerkonten verwendet. Der in der Anmeldeinformation angegebene Benutzer muss über eine Berechtigung des Typs "Anmelden als Stapelverarbeitungsauftrag" auf dem Computer verfügen, auf dem SQL Server ausgeführt wird.

Vom SQL Server-Agent wird der Subsystemzugriff für einen Proxy überprüft und der Zugriff auf den Proxy jedes Mal dann gewährt, wenn der Auftragsschritt ausgeführt wird. Wenn der Proxyzugriff auf das Subsystem nicht mehr länger möglich ist, erzeugt der Auftragsschritt einen Fehler. Ansonsten wird vom SQL Server-Agent die Identität des Benutzers angenommen, der im Proxy angegeben ist und von dem der Auftragsschritt ausgeführt wird.

Die Berechtigungen für den Benutzer werden nicht durch das Erstellen eines Proxys geändert, der in den Anmeldeinformationen für den Proxy angegeben ist. Sie können beispielsweise einen Proxy für einen Benutzer erstellen, der keine Verbindungsberechtigung für eine Instanz von SQL Server hat. In diesem Fall kann von Auftragsschritten, die diesen Proxy verwenden, keine Verbindung zu SQL Server hergestellt werden.

Benutzer müssen Zugriff auf einen Proxy haben, um den Proxy in einem Auftragsschritt verwenden zu können. Zugriff kann auf drei Typen von Sicherheitsprinzipalen gewährt werden:

  • SQL Server-Anmeldungen

  • Serverrollen

  • Rollen innerhalb der msdb-Datenbank

Wenn die Anmeldung für den Benutzer Zugriffsrecht auf den Proxy hat, oder der Benutzer zu einer Rolle mit Zugriffsrechten auf den Proxy gehört, kann der Benutzer den Proxy in einem Auftragsschritt verwenden.

HinweisHinweis

Mitglieder der festen Serverrolle sysadmin haben Zugriff auf alle Proxys in der Instanz.

Der folgende Abschnitt enthält Links zu häufig anfallenden Aufgaben beim Verwenden von Proxys.