Feste Datenbankrollen des SQL Server-Agents

 

Veröffentlicht: Mai 2016

SQL Server verfügt über die folgenden festen msdb-Datenbankrollen, mit denen Administratoren den Zugriff auf den SQL Server-Agent besser steuern können. In der folgenden Auflistung sind die Rollen von den niedrigsten bis hin zu den höchsten Zugriffsberechtigungen enthalten:

  • SQLAgentUserRole

  • SQLAgentReaderRole

  • SQLAgentOperatorRole

Wenn Benutzer, die nicht Mitglied einer dieser Rollen sind, mit SQL Server in SQL Server Management Studio verbunden sind, ist der SQL Server-Agent-Knoten in Objekt-Explorer nicht sichtbar. Ein Benutzer muss Mitglied einer dieser festen Datenbankrollen oder der festen sysadmin-Serverrolle sein, um den SQL Server-Agent verwenden zu können.

Die Datenbankrollen-Berechtigungen des SQL Server-Agents stehen konzentrisch zueinander in Beziehung: Rollen mit höheren Berechtigungen erben die Berechtigungen der Rollen mit niedrigeren Berechtigungen für SQL Server-Agent-Objekte (einschließlich Warnungen, Operatoren, Aufträge, Zeitpläne und Proxys). Wenn z. B. Mitglieder der Rolle SQLAgentUserRole mit den niedrigsten Berechtigungen Zugriff auf „proxy_A“ haben, haben die Mitglieder von SQLAgentReaderRole und SQLAgentOperatorRole automatisch Zugriff auf diesen Proxy, selbst wenn ihnen der Zugriff auf „proxy_A“ nicht ausdrücklich erteilt wurde. Dies kann zu Sicherheitsrisiken führen, die in den folgenden Abschnitten zu den einzelnen Rollen erläutert werden.

SQLAgentUserRole-Berechtigungen

SQLAgentUserRole ist die feste Datenbankrolle des SQL Server-Agents mit den niedrigsten Berechtigungen. Sie hat lediglich Berechtigungen für Operatoren, lokale Aufträge und Auftragszeitpläne. Die Mitglieder von SQLAgentUserRole haben lediglich Berechtigungen für lokale Aufträge und Auftragszeitpläne, deren Besitzer sie sind. Sie können keine Multiserveraufträge (Master- und Zielserveraufträge) verwenden, und sie können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind. Die Mitglieder von SQLAgentUserRole können lediglich im Dialogfeld Auftragsschritt-Eigenschaften von SQL Server Management Studio eine Liste mit vorhandenen Proxys anzeigen. Nur der Knoten Aufträge in Objekt-Explorer von SQL Server Management Studio ist für die Mitglieder von SQLAgentUserRole sichtbar.

System_CAPS_ICON_important.jpg Wichtig


Beachten Sie die Sicherheitsrisiken, bevor Sie den Mitgliedern der** SQL Server-Agent-Datenbankrollen** Proxyzugriff erteilen. SQLAgentReaderRole und SQLAgentOperatorRole sind automatisch Mitglieder von SQLAgentUserRole. Dies bedeutet, dass die Mitglieder von SQLAgentReaderRole und SQLAgentOperatorRole Zugriff auf alle SQL Server-Agent-Proxys haben, die SQLAgentUserRole erteilt wurden und diese Proxys verwenden können.

Die folgende Tabelle enthält einen Überblick über die SQLAgentUserRole-Berechtigungen für SQL Server-Agent-Objekte.

AktionOperatorenLokale Aufträge

(nur Aufträge mit Besitzern)
Auftragszeitpläne

(nur Zeitpläne mit Besitzern)
Proxys
Erstellen/Ändern/LöschenNeinJa

Der Auftragsbesitz kann nicht geändert werden.
JaNein
Liste anzeigen (aufzählen)Ja

Die Liste mit verfügbaren Operatoren kann zum Verwenden in sp_notify_operator und im Dialogfeld Auftragseigenschaften von Management Studio abgerufen werden.
JaJaJa

Die Liste der Proxys steht nur im Dialogfeld Auftragsschritt-Eigenschaften von Management Studio zur Verfügung.
Aktivieren/DeaktivierenNeinJaJaNicht verfügbar
Eigenschaften anzeigenNeinJajaNein
Ausführen/Beenden/StartenNicht verfügbarJaNicht verfügbarNicht verfügbar
Auftragsverlauf anzeigenNicht verfügbarJaNicht verfügbarNicht verfügbar
Auftragsverlauf löschenNicht verfügbarNein

Den Mitgliedern von SQLAgentUserRole muss die EXECUTE-Berechtigung für sp_purge_jobhistory zum Löschen des Auftragsverlaufs für Aufträge, deren Besitzer sie sind, ausdrücklich erteilt werden. Sie können den Auftragsverlauf für keine anderen Aufträge löschen.
Nicht verfügbarNicht verfügbar
Anfügen/TrennenNicht verfügbarNicht verfügbarJaNicht verfügbar

SQLAgentReaderRole-Berechtigungen

SQLAgentReaderRole enthält alle SQLAgentUserRole-Berechtigungen sowie die Berechtigungen zum Anzeigen der Liste verfügbarer Multiserveraufträge, ihrer Eigenschaften und ihres Verlaufs. Die Mitglieder dieser Rolle können auch die Liste aller verfügbaren Aufträge und Auftragszeitpläne sowie ihre Eigenschaften anzeigen, nicht nur die Aufträge und Auftragszeitpläne, deren Besitzer sie sind. Die Mitglieder von SQLAgentReaderRole können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind. Nur der Knoten Aufträge in Objekt-Explorer von SQL Server Management Studio ist für die Mitglieder von SQLAgentReaderRole sichtbar.

System_CAPS_ICON_important.jpg Wichtig


Beachten Sie die Sicherheitsrisiken, bevor Sie den Mitgliedern der** SQL Server-Agent-Datenbankrollen** Proxyzugriff erteilen. Die Mitglieder von SQLAgentReaderRole sind automatisch auch Mitglieder von SQLAgentUserRole. Dies bedeutet, dass die Mitglieder von SQLAgentReaderRole Zugriff auf alle SQL Server-Agent-Proxys haben, die SQLAgentUserRole erteilt wurden und diese Proxys verwenden können.

Die folgende Tabelle enthält einen Überblick über die SQLAgentReaderRole-Berechtigungen für SQL Server-Agent-Objekte.

AktionOperatorenLokale AufträgeMultiserveraufträgeAuftragszeitpläneProxys
Erstellen/Ändern/LöschenNeinJa (nur Aufträge mit Besitzer)

Der Auftragsbesitz kann nicht geändert werden.
NeinJa (nur Zeitpläne mit Besitzer)Nein
Liste anzeigen (aufzählen)Ja

Die Liste mit verfügbaren Operatoren kann zum Verwenden in sp_notify_operator und im Dialogfeld Auftragseigenschaften von Management Studio abgerufen werden.
JaJaJaJa

Die Liste der Proxys steht nur im Dialogfeld Auftragsschritt-Eigenschaften von Management Studio zur Verfügung.
Aktivieren/DeaktivierenNeinJa (nur Aufträge mit Besitzer)NeinJa (nur Zeitpläne mit Besitzer)Nicht verfügbar
Eigenschaften anzeigenNeinJaJajaNein
Eigenschaften bearbeitenNeinJa (nur Aufträge mit Besitzer)NeinJa (nur Zeitpläne mit Besitzer)Nein
Ausführen/Beenden/StartenNicht verfügbarJa (nur Aufträge mit Besitzer)NeinNicht verfügbarNicht verfügbar
Auftragsverlauf anzeigenNicht verfügbarJaJaNicht verfügbarNicht verfügbar
Auftragsverlauf löschenNicht verfügbarNein

Den Mitgliedern von SQLAgentReaderRole muss die EXECUTE-Berechtigung für sp_purge_jobhistory zum Löschen des Auftragsverlaufs für Aufträge, deren Besitzer sie sind, ausdrücklich erteilt werden. Sie können den Auftragsverlauf für keine anderen Aufträge löschen.
NeinNicht verfügbarNicht verfügbar
Anfügen/TrennenNicht verfügbarNicht verfügbarNicht verfügbarJa (nur Zeitpläne mit Besitzer)Nicht verfügbar

SQLAgentOperatorRole-Berechtigungen

SQLAgentOperatorRole ist die feste Datenbankrolle des SQL Server-Agents mit den höchsten Berechtigungen. Sie enthält alle Berechtigungen von SQLAgentUserRole und SQLAgentReaderRole. Die Mitglieder dieser Rolle können auch die Eigenschaften für Operatoren und Proxys anzeigen und die verfügbaren Proxys und Warnungen auf dem Server aufzählen.

Die Mitglieder von SQLAgentOperatorRole haben zusätzliche Berechtigungen für lokale Aufträge und Zeitpläne. Sie können alle lokalen Aufträge ausführen, beenden oder starten, und sie können den Auftragsverlauf eines lokalen Auftrags auf dem Server löschen. Sie können auch alle lokalen Aufträge und Zeitpläne auf dem Server aktivieren und deaktivieren. Um lokale Aufträge oder Zeitpläne zu aktivieren oder zu deaktivieren, müssen die Mitglieder dieser Rolle die gespeicherten Prozeduren sp_update_job und sp_update_schedule verwenden. Nur die Parameter, die den Namen oder den Bezeichner des Auftrags oder Zeitplans sowie den @enabled-Parameter angeben, können von den Mitgliedern von SQLAgentOperatorRole angegeben werden. Wenn sie andere Parameter angeben, erzeugt die Ausführung dieser gespeicherten Prozeduren einen Fehler. Die Mitglieder von SQLAgentOperatorRole können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind.

Die Knoten Aufträge, Warnungen, Operatoren und Proxys in Objekt-Explorer von SQL Server Management Studio sind für die Mitglieder von SQLAgentOperatorRole sichtbar. Nur der Knoten Fehlerprotokolle ist für die Mitglieder dieser Rolle nicht sichtbar.

System_CAPS_ICON_important.jpg Wichtig


Beachten Sie die Sicherheitsrisiken, bevor Sie den Mitgliedern der** SQL Server-Agent-Datenbankrollen** Proxyzugriff erteilen. Die Mitglieder von SQLAgentOperatorRole sind automatisch auch Mitglieder von SQLAgentUserRole und SQLAgentReaderRole. Dies bedeutet, dass die Mitglieder von SQLAgentOperatorRole Zugriff auf alle SQL Server-Agent-Proxys haben, die SQLAgentUserRole oder SQLAgentReaderRole erteilt wurden und diese Proxys verwenden können.

Die folgende Tabelle enthält einen Überblick über die SQLAgentOperatorRole-Berechtigungen für SQL Server-Agent-Objekte.

AktionWarnungenOperatorenLokale AufträgeMultiserveraufträgeAuftragszeitpläneProxys
Erstellen/Ändern/LöschenNeinNeinJa (nur Aufträge mit Besitzer)

Der Auftragsbesitz kann nicht geändert werden.
NeinJa (nur Zeitpläne mit Besitzer)Nein
Liste anzeigen (aufzählen)JaJa

Die Liste mit verfügbaren Operatoren kann zum Verwenden in sp_notify_operator und im Dialogfeld Auftragseigenschaften von Management Studio abgerufen werden.
JaJaJaJa
Aktivieren/DeaktivierenNeinNeinJa

Die Mitglieder von SQLAgentOperatorRole können lokale Aufträge, deren Besitzer sie nicht sind, aktivieren oder deaktivieren, indem sie die gespeicherte Prozedur sp_update_job verwenden und Werte für die @enabled- und die @job_id-Parameter (oder @job_name) angeben. Wenn ein Mitglied dieser Rolle einen anderen Parameter für diese gespeicherte Prozedur angibt, erzeugt die Ausführung der Prozedur einen Fehler.
NeinJa

Die Mitglieder von SQLAgentOperatorRole können Zeitpläne, deren Besitzer sie nicht sind, aktivieren oder deaktivieren, indem sie die gespeicherte Prozedur sp_update_schedule verwenden und Werte für die @enabled- und die @schedule_id-Parameter (oder @name) angeben. Wenn ein Mitglied dieser Rolle einen anderen Parameter für diese gespeicherte Prozedur angibt, erzeugt die Ausführung der Prozedur einen Fehler.
Nicht verfügbar
Eigenschaften anzeigenJaJaJaJaJaJa
Eigenschaften bearbeitenNeinNeinJa (nur Aufträge mit Besitzer)NeinJa (nur Zeitpläne mit Besitzer)Nein
Ausführen/Beenden/StartenNicht verfügbarNicht verfügbarJaNeinNicht verfügbarNicht verfügbar
Auftragsverlauf anzeigenNicht verfügbarNicht verfügbarJaJaNicht verfügbarNicht verfügbar
Auftragsverlauf löschenNicht verfügbarNicht verfügbarJaNeinNicht verfügbarNicht verfügbar
Anfügen/TrennenNicht verfügbarNicht verfügbarNicht verfügbarNicht verfügbarJa (nur Zeitpläne mit Besitzer)Nicht verfügbar

Die Mitglieder der festen Serverrolle sysadmin haben Zugriff auf alle SQL Server-Agent-Funktionen. Wenn ein Benutzer nicht Mitglied der sysadmin-Rolle ist, sondern von mehr als einer festen Datenbankrolle des SQL Server-Agents, sollten Sie das konzentrische Berechtigungsmodell dieser Rollen berücksichtigen. Da die Rollen mit höheren Berechtigungen immer alle Berechtigungen der Rollen mit niedrigeren Berechtigungen enthalten, hat ein Benutzer, der Mitglied von mehreren Rollen ist, automatisch die Berechtigungen der Rolle mit den höchsten Berechtigungen, deren Mitglied der Benutzer ist.

Implementieren der SQL Server-Agent-Sicherheit
sp_update_job (Transact-SQL)
sp_update_schedule (Transact-SQL)
sp_notify_operator (Transact-SQL)
sp_purge_jobhistory (Transact-SQL)

Community-Beiträge

HINZUFÜGEN
Anzeigen: