SQL Server代理是所有實時數據庫的核心。代理有很多不明顯的用法,因此系統的知識,對於開發人員還是DBA都是有用的。這系列文章會通俗介紹它的很多用法。
在這個系列的前一篇文章里,你學習了如何在SQL Server代理作業步驟里啟動外部程序。你可以使用過時的ActiveX系統,從虛擬命令提示符里運行批處理命令,或甚至啟動你自己的程序。你的最佳選項是使用PowerShell子系統來運行PowerShell腳本。PowerShell腳本會允許你操縱系統或SQL Server角度的一切。在這篇文章里,你會收入SQL Server代理安全。對大多數人來說,安全是個令人迷惑的話題,值得一些明確的考慮。在這個系列里有2個不同角度的安全會涉及:運行SQL Server代理作業的安全,可以用來作為代理作業運行作業步驟的模擬安全賬號。這個系列的下篇文章會談下代理賬號,這篇會集中討論運行SQL Sever代理和SQL Server代理作業的安全權限。
SQL Server代理服務賬號需要的安全
在這個系列的第一篇文章已經談了選擇SQL Server代理服務賬號,為了進一步理解SQL Server代理如何運作的話,現在你要重新審視下你的決定。如果你只想連接到本地SQL Server實例的作業,對於SQL Server服務賬號需要最小的權限。在這個情況下,NetworkService是用作服務賬號的最好選擇。使用Windows Server 2008R2和SQL Server 2008 R2,這會提供一個非常安全的賬號,可以輕松授權SQL Server的工作。
如果你想使用SQL Server代理的更多的一些高級功能,例如使用CmdExec子系統或PowerShell子系統,或者你想連接到SQL Server實例或網絡共享,你會使用系統域用戶賬號作為自定義服務賬號。你可以為SQL Server代理創建一個特定賬號,在你的組織里為所有的SQL Server代理安裝使用統一賬號,或為每個SQL Server代理實例使用不同的賬號。
當為SQL Server服務選擇了一個賬號時,你的賬號需要下列權限:
- 在所有Windows版本里,作為服務登陸的權限(
SeServiceLogonRight) - 在Windows服務器,SQL Server代理服務代理帳戶需要下面權限:
- 繞過遍歷檢查(SeChangeNotifyPrivilege)
- 替換進程級令牌(SeAssignPrimaryTokenPrivilege)
- 為進程調整內存配額(SeIncreaseQuotaPrivilege)
- 作為批處理作業登錄(SeBatchLogonRight)
這個列表來自SQL Server聯機叢書https://msdn.microsoft.com/zh-cn/library/ms191543.aspx。此外,任何你選擇的帳戶必須是相關數據庫實例中sysadmin服務器角色的成員。下一篇你將使用代理帳戶,所以這些特權是必不可少的。
修改服務賬號
如果你要更改服務帳戶,你可以使用安裝程序或SQL Server配置管理器來修改。這些程序將正確授予所有需要的權限和安全權利來啟用新的服務帳戶。你不應該直接用Windows更改服務帳戶。插圖1顯示使用SQL Server配置管理器更改服務帳戶。請注意,你需要Windows管理員權限來使用這個程序。
插圖1:修改SQL Server代理賬號的正確方式
SQL Server代理的安全角色
SQL Server代理有三個安全角色用於控制安全。這些角色是在SQL Server 2005引入的,這些角色有:
- SQLAgentUserRole
- SQLAgentReaderRole
- SQLAgentOperatorRole
Sysadmin 服務器角色的成員自動擁有SQL Server代理所有控制權限,正如他們對SQL Server的完全控制。這些角色讓非管理員用戶有訪問和/或控制SQL Server代理的權利。這些是msdb數據庫(SQL Server中保存所有SQL Server代理元數據)中的一個角色。
這些角色如何工作:SQLAgentUserRole具有最少的權限。然 而,SQLAgentReaderRole和SQLAgentOperatorRole是SQLAgentUserRole的成員,所以你授予給 UserRole的權限將自動被其他兩個角色繼承。此外,SQLAgentOperatorRole是SQLAgentReaderRole的成員,所以 同樣——任何授予給ReaderRoler的權限自動擴展給OperatorRole。現在你可以詳細研究每個子系統。
SQLAgentUserRole
SQLAgentUserRole成員具有非常有限的權限。他們可以查看他們擁有的操作員、本地作業、作業調度。他們還可以創建作業。
當你是msdb中的SQLAgentUserRole數據庫角色的成員時,你有查看SQL Server代理某些部分的能力(插圖2)。你只可以查看你自己創建的作業,以及查看和使用作業活動監視器(僅限你創建的作業)。
插圖2:SQLAgentUserRole成員連接對象資源管理器
SQLAgentReaderRole
msdb的SQLAgentReaderRole數據庫角色的成員繼承SQLAgentUserRole的權限,同時還有使用多服務器作業的能力(第十二篇會講)。你還可以查看服務器上所有的作業,而不只是你自己的作業。然而,你只能查看那些不是你創建的作業(你可以控制你創建的作業)。
插圖3,作為SQLAgentReaderRole的成員,你依然可以看到作業節點,作業活動監視器,但是現在你可以看到系統上的所有作業,而不僅僅是你創建的。
插圖3:SQLAgentReaderRole成員連接對象資源管理器
SQLAgentOperatorRole
msdb中的SQLAgentOperatorRole數據庫角色賦予用戶在SQL Server代理特權。它包括另兩個SQLAgent數據庫角色的所有權限,再加上查看操作員和代理的屬性,並允許你查看和SQL Server代理相關的所有警告。
SQLAgentOperatorRole 角色成員可以停止、啟動、或運行本地作業,並可以刪除本地作業的歷史記錄。角色成員可以啟用/禁用作業,以及啟用/禁用作業調度。但是有一個注意,他們不 能使用GUI來啟用/禁用工作或計划,他們必須使用系統存儲過程(或直接sp_update_job或sp_update_schedule)。
SQLAgentOperatorRole角色成員看到的圖形界面與插圖4類似,幾乎完全訪問SQL Server代理。
下篇預告
SQL Server代理需要特定的Windows和SQL Server權限用於SQL Server代理服務帳戶。msdb數據庫有三種數據庫角色,允許非sysadmin服務器角色成員的用戶有訪問SQL Server代理的權限,根據他們的訪問級別的需求。你可以使用這些角色,而不是被迫提升為sysadmin服務器角色的成員使用或管理SQL Server代理作業。
在我們的下一篇,我們將開始在作業步驟中使用SQL Server代理服務帳戶控制安全權權。每一個作業子系統具有不同的安全考慮,代理賬戶正是針對這種安全。
原文鏈接:http://www.sqlservercentral.com/articles/Stairway+Series/72460/