Rôles de base de données fixes de SQL Server Agent

S’applique à : SQL Server Azure SQL Managed Instance

Important

Dans Azure SQL Managed Instance, la plupart, mais pas toutes les fonctionnalités SQL Server Agent sont actuellement prises en charge. Pour plus d’informations, consultez Différences T-SQL entre Azure SQL Managed Instance et SQL Server.

SQL Server possède les rôles fixes de base de données msdb suivants, qui permettent aux administrateurs de contrôler plus précisément l’accès à SQL Server Agent. Les rôles sont classés ci-après selon leurs privilèges d'accès, du moins privilégié au plus privilégié :

  • SQLAgentUserRole
  • SQLAgentReaderRole
  • SQLAgentOperatorRole

Quand les utilisateurs qui ne sont pas membres d’un de ces rôles sont connectés à SQL Server dans SQL Server Management Studio, le nœud SQL Server Agent dans l’Explorateur d’objets n’est pas visible. Pour utiliser SQL Server Agent, un utilisateur doit être membre d’un de ces rôles de base de données fixes ou du rôle serveur fixe sysadmin.

Autorisations des rôles de base de données fixes de SQL Server Agent

Les autorisations de rôle de base de données SQL Server Agent sont concentriques les uns par rapport aux autres. En d’autres termes, les rôles les plus privilégiés héritent des autorisations des rôles les moins privilégiés sur des objets (notamment les alertes, les opérateurs, les travaux, les planifications et les proxys). Par exemple, si les membres du rôle SQLAgentUserRole le moins privilégié ont l’autorisation d’accéder au proxy_A, les membres des rôles SQLAgentReaderRole et SQLAgentOperatorRole ont automatiquement accès à proxy_A, même si l’autorisation ne leur a pas été explicitement accordée. Cela peut avoir des incidences sur la sécurité qui sont décrites dans les sections suivantes par rapport à chaque rôle.

Autorisations du rôle SQLAgentUserRole

SQLAgentUserRole est le moins privilégié des rôles de base de données fixes de SQL Server Agent. Il dispose uniquement d'autorisations sur les opérateurs, les travaux locaux et les planifications de travaux. Les membres du rôle SQLAgentUserRole disposent uniquement d’autorisations sur les travaux locaux et les planifications des travaux qu’ils possèdent. Ils ne peuvent pas utiliser de travaux multiserveur (travaux de serveur maître et cible) et ne peuvent pas modifier l'appartenance des travaux pour accéder aux travaux qui ne leur appartiennent pas encore. Les membres de SQLAgentUserRole peuvent uniquement consulter la liste des proxys disponibles dans la boîte de dialogue Propriétés de l’étape du travail de SQL Server Management Studio. Seul le nœud Travaux de l’Explorateur d’objets de SQL Server Management Studio est visible aux membres de SQLAgentUserRole.

Important

Les rôles SQLAgentReaderRole et SQLAgentOperatorRole sont automatiquement membres du rôle SQLAgentUserRole. Ceci signifie que les membres de SQLAgentReaderRole et de SQLAgentOperatorRole ont accès à tous les proxys de SQL Server Agent auxquels SQLAgentUserRole peut accéder et qu’ils peuvent les utiliser.

Le tableau suivant récapitule les autorisations de SQLAgentUserRole sur les objets de SQL Server Agent.

Action Opérateurs Travaux locaux (travaux appartenant à l’utilisateur uniquement) Calendriers de travaux (calendriers appartenant à l’utilisateur uniquement) Proxies
Créer/modifier/supprimer Non Oui

Ne peut pas modifier l’appartenance des travaux.
Oui Non
Afficher la liste (énumérer) Oui

Peut obtenir la liste des opérateurs disponibles à utiliser dans sp_notify_operator et dans la boîte de dialogue Propriétés du travail de Management Studio.
Oui Oui Oui

Liste de proxys uniquement disponibles dans la boîte de dialogue Propriétés de l’étape du travail de Management Studio.
Activer/désactiver Non Oui Oui Non applicable
Afficher les propriétés Non Oui Oui Non
Exécuter/arrêter/démarrer Non applicable Oui Non applicable Non applicable
Afficher l’historique des travaux Non applicable Oui Non applicable Non applicable
Supprimer l'historique des travaux Non applicable Non

Pour supprimer l’historique des travaux qui leur appartiennent, les membres de SQLAgentUserRole doivent disposer explicitement de l’autorisation EXECUTE sur sp_purge_jobhistory. Ils ne peuvent supprimer l'historique d'aucun autre travail.
Non applicable Non applicable
Attacher/détacher Non applicable Non applicable Oui Non applicable

Autorisations du rôle SQLAgentReaderRole

SQLAgentReaderRole inclut toutes les autorisations de SQLAgentUserRole, ainsi que les autorisations permettant d’afficher la liste des travaux multiserveur disponibles, leurs propriétés et leur historique. Les membres de ce rôle peuvent également afficher la liste de tous les travaux et planifications de travaux disponibles et de leurs propriétés, pas uniquement la liste des travaux et des planifications de travaux dont ils sont propriétaires. Les membres de SQLAgentReaderRole ne peuvent pas modifier l’appartenance des travaux pour obtenir l’accès aux travaux qui ne leur appartiennent pas encore. Seul le nœud Travaux de l’Explorateur d’objets de SQL Server Management Studio est visible aux membres de SQLAgentReaderRole.

Important

Les membres de SQLAgentReaderRole sont automatiquement membres de SQLAgentUserRole. Ceci signifie que les membres de SQLAgentReaderRole ont accès à tous les proxys de SQL Server Agent auxquels SQLAgentUserRole peut accéder et qu’ils peuvent les utiliser.

Le tableau suivant récapitule les autorisations de SQLAgentReaderRole sur les objets de SQL Server Agent.

Action Opérateurs Travaux locaux Travaux multiserveur Calendriers de travaux Proxies
Créer/modifier/supprimer No Oui (travaux lui appartenant uniquement)

Ne peut pas modifier l’appartenance des travaux.
Non Oui (planifications lui appartenant uniquement) No
Afficher la liste (énumérer) Oui

Peut obtenir la liste des opérateurs disponibles à utiliser dans sp_notify_operator et dans la boîte de dialogue Propriétés du travail de Management Studio.
Oui Oui Oui Oui

Liste de proxys uniquement disponibles dans la boîte de dialogue Propriétés de l’étape du travail de Management Studio.
Activer/désactiver No Oui (travaux lui appartenant uniquement) No Oui (planifications lui appartenant uniquement) Non applicable
Afficher les propriétés Non Oui Oui Oui Non
Modifier les propriétés No Oui (travaux lui appartenant uniquement) No Oui (planifications lui appartenant uniquement) No
Exécuter/arrêter/démarrer Non applicable Oui (travaux lui appartenant uniquement) Non Non applicable Non applicable
Afficher l’historique des travaux Non applicable Oui Oui Non applicable Non applicable
Supprimer l'historique des travaux Non applicable Non

Pour supprimer l’historique des travaux qui leur appartiennent, les membres de SQLAgentReaderRole doivent disposer explicitement de l’autorisation EXECUTE sur sp_purge_jobhistory. Ils ne peuvent supprimer l'historique d'aucun autre travail.
Non Non applicable Non applicable
Attacher/détacher Non applicable Non applicable Non applicable Oui (planifications lui appartenant uniquement) Non applicable

Autorisations du rôle SQLAgentOperatorRole

SQLAgentOperatorRole est le plus privilégié des rôles de base de données fixes de SQL Server Agent. Il inclut toutes les autorisations des rôles SQLAgentUserRole et SQLAgentReaderRole. Les membres de ce rôle peuvent également afficher les propriétés pour les opérateurs et les proxys, ainsi que dresser la liste des proxys disponibles et des alertes sur le serveur.

Les membres de SQLAgentOperatorRole disposent d’autorisations supplémentaires sur les travaux locaux et les planifications. Ils peuvent exécuter, arrêter ou démarrer tous les travaux locaux, ainsi que supprimer l'historique de n'importe quel travail local sur le serveur. Ils peuvent également activer ou désactiver tous les travaux locaux et les planifications sur le serveur. Pour ce faire, les membres de ce rôle doivent utiliser les procédures stockées sp_update_job et sp_update_schedule. Seuls les paramètres qui spécifient le nom ou l’identificateur du travail ou de la planification et le paramètre @enabled peuvent être spécifiés par les membres de SQLAgentOperatorRole. S'ils spécifient d'autres paramètres, l'exécution de ces procédures stockées échoue. Les membres de SQLAgentOperatorRole ne peuvent pas modifier l’appartenance des travaux pour obtenir l’accès aux travaux qui ne leur appartiennent pas encore.

Les nœuds Travaux, Alertes, Opérateurset Proxies dans l’Explorateur d’objets de SQL Server Management Studio sont visibles aux membres de SQLAgentOperatorRole. Seul le nœud Journaux d’erreur n’est pas visible aux membres de ce rôle.

Important

Les membres de SQLAgentOperatorRole sont automatiquement membres de SQLAgentUserRole et SQLAgentReaderRole. Ceci signifie que les membres de SQLAgentOperatorRole ont accès à tous les proxys de SQL Server Agent auxquels SQLAgentUserRole ou SQLAgentReaderRole peut accéder et qu’ils peuvent les utiliser.

Le tableau suivant récapitule les autorisations de SQLAgentOperatorRole sur les objets de SQL Server Agent.

Action Alertes Opérateurs Travaux locaux Travaux multiserveur Calendriers de travaux Proxies
Créer/modifier/supprimer Non Non Oui (travaux lui appartenant uniquement)

Ne peut pas modifier l’appartenance des travaux.
Non Oui (planifications lui appartenant uniquement) No
Afficher la liste (énumérer) Oui Oui

Peut obtenir la liste des opérateurs disponibles à utiliser dans sp_notify_operator et dans la boîte de dialogue Propriétés du travail de Management Studio.
Oui Oui Oui Oui
Activer/désactiver Non Non Oui

Les membres de SQLAgentOperatorRole peuvent activer ou désactiver les travaux locaux qui ne leur appartiennent pas en utilisant la procédure stockée sp_update_job et en attribuant des valeurs aux paramètres @enabled et @job_id (ou @job_name). Si un membre de ce rôle spécifie d'autres paramètres pour cette procédure stockée, l'exécution de cette dernière échoue.
Non Oui

Les membres de SQLAgentOperatorRole peuvent activer ou désactiver les planifications qui ne leur appartiennent pas en utilisant la procédure stockée sp_update_schedule et en attribuant des valeurs aux paramètres @enabled et @schedule_id (ou @name). Si un membre de ce rôle spécifie d'autres paramètres pour cette procédure stockée, l'exécution de cette dernière échoue.
Non applicable
Afficher les propriétés Oui Oui Oui Oui Oui Oui
Modifier les propriétés Non Non Oui (travaux lui appartenant uniquement) No Oui (planifications lui appartenant uniquement) No
Exécuter/arrêter/démarrer Non applicable Non applicable Oui Pas de Non applicable Non applicable
Afficher l’historique des travaux Non applicable Non applicable Oui Oui Non applicable Non applicable
Supprimer l'historique des travaux Non applicable Non applicable Oui Pas de Non applicable Non applicable
Attacher/détacher Non applicable Non applicable Non applicable Non applicable Oui (planifications lui appartenant uniquement) Non applicable

Affectation de plusieurs rôles à des utilisateurs

Les membres du rôle serveur fixe sysadmin ont accès à toutes les fonctionnalités de SQL Server Agent. Si un utilisateur n’est pas membre du rôle sysadmin, mais qu’il est membre de plusieurs rôles de base de données fixes de SQL Server Agent, il est important de prendre en compte le modèle concentrique des autorisations de ces rôles. Étant donné que les rôles plus privilégiés contiennent toujours toutes les autorisations des rôles moins privilégiés, un utilisateur qui est membre de plusieurs rôles a automatiquement les autorisations associées au rôle le plus privilégié dont il est membre.