Sicherheit für die Administration mit dem SQL Server-Agent

Der SQL Server-Agent führt die festen Datenbankrollen SQLAgentUserRole, SQLAgentReaderRole und SQLAgentOperatorRole in der msdb-Datenbank ein, die den Zugang zum SQL Server-Agent für Benutzer steuern, die keine Mitglieder der festen Serverrolle sysadmin sind. Neben diesen festen Datenbankrollen können Datenbankadministratoren mithilfe von Subsystemen und Proxys sicherstellen, dass jeder Auftragsschritt mit den mindestens erforderlichen Berechtigungen ausgeführt wird.

Rollen

Mitglieder der festen Datenbankrollen SQLAgentUserRole, SQLAgentReaderRole und SQLAgentOperatorRole in msdb und Mitglieder der festen Serverbankrolle sysadmin haben Zugriff auf den SQL Server-Agent. Ein Benutzer, der keiner dieser Rollen angehört, kann den SQL Server-Agent nicht verwenden. Weitere Informationen zu den vom SQL Server-Agent verwendeten Rollen finden Sie unter Implementieren der SQL Server-Agent-Sicherheit.

Subsysteme

Ein Subsystem ist ein vordefiniertes Objekt, das die für einen Auftragsschritt verfügbare Funktionalität darstellt. Weitere Informationen finden Sie unter Subsysteme des SQL Server-Agents.

Proxys

Der SQL Server-Agent verwendet Proxys für die Verwaltung von Sicherheitskontexten. Ein Proxy kann für mehrere Auftragsschritte verwendet werden. Mitglieder der festen Serverrolle sysadmin können Proxys erstellen.

Jeder Proxy entspricht Sicherheitsanmeldeinformationen. Jeder Proxy kann einer Gruppe von Subsystemen und Anmeldenamen zugeordnet werden. Der Proxy kann nur für Auftragsschritte benutzt werden, die ein dem Proxy zugeordnetes Subsystem verwenden. Um einen Auftragsschritt zu erstellen, der einen bestimmten Proxy verwendet, muss der Auftragsbesitzer einen Anmeldenamen verwenden, der diesem Proxy zugeordnet ist, oder er muss ein Mitglied einer Rolle mit unbeschränktem Zugriff auf Proxys sein. Mitglieder der festen Serverrolle sysadmin haben unbeschränkten Zugriff auf Proxys. Mitglieder von SQLAgentUserRole, SQLAgentReaderRole oder SQLAgentOperatorRole können nur Proxys verwenden, für die Ihnen der Zugriff erteilt wurde. Jedem Benutzer, der Mitglied einer dieser festen Datenbankrollen des SQL Server-Agents ist, muss der Zugriff auf bestimmte Proxys erteilt werden, damit der Benutzer Auftragsschritte erstellen kann, die diese Proxys verwenden.

Siehe auch

Verweis

CREATE CREDENTIAL (Transact-SQL)

sp_grant_login_to_proxy (Transact-SQL)

sp_revoke_login_from_proxy (Transact-SQL)

Konzepte

Erstellen von SQL Server-Agent-Proxys

Auswählen eines Kontos für den SQL Server-Agent-Dienst

Implementieren der SQL Server-Agent-Sicherheit

Feste Datenbankrollen des SQL Server-Agents