SQL Server代理(9/12):理解作業和安全

来源:http://www.cnblogs.com/woodytu/archive/2016/02/22/5194258.html
-Advertisement-
Play Games

SQL Server代理是所有實時資料庫的核心。代理有很多不明顯的用法,因此系統的知識,對於開發人員還是DBA都是有用的。這系列文章會通俗介紹它的很多用法。 在這個系列的前一篇文章里,你學習瞭如何在SQL Server代理作業步驟里啟動外部程式。你可以使用過時的ActiveX系統,從虛擬命令提示符里


SQL Server代理是所有實時資料庫的核心。代理有很多不明顯的用法,因此系統的知識,對於開發人員還是DBA都是有用的。這系列文章會通俗介紹它的很多用法。


在這個系列的前一篇文章里,你學習瞭如何在SQL Server代理作業步驟里啟動外部程式。你可以使用過時的ActiveX系統,從虛擬命令提示符里運行批處理命令,或甚至啟動你自己的程式。你的最佳選項是使用PowerShell子系統來運行PowerShell腳本。PowerShell腳本會允許你操縱系統或SQL Server角度的一切。在這篇文章里,你會收入SQL Server代理安全。對大多數人來說,安全是個令人迷惑的話題,值得一些明確的考慮。在這個系列里有2個不同角度的安全會涉及:運行SQL Server代理作業的安全,可以用來作為代理作業運行作業步驟的模擬安全賬號。這個系列的下篇文章會談下代理賬號,這篇會集中討論運行SQL Sever代理和SQL Server代理作業的安全許可權。

SQL Server代理服務賬號需要的安全

在這個系列的第一篇文章已經談了選擇SQL Server代理服務賬號,為了進一步理解SQL Server代理如何運作的話,現在你要重新審視下你的決定。如果你只想連接到本地SQL Server實例的作業,對於SQL Server服務賬號需要最小的許可權。在這個情況下,NetworkService是用作服務賬號的最好選擇。使用Windows Server 2008R2和SQL Server 2008 R2,這會提供一個非常安全的賬號,可以輕鬆授權SQL Server的工作。

如果你想使用SQL Server代理的更多的一些高級功能,例如使用CmdExec子系統或PowerShell子系統,或者你想連接到SQL Server實例或網路共用,你會使用系統域用戶賬號作為自定義服務賬號。你可以為SQL Server代理創建一個特定賬號,在你的組織里為所有的SQL Server代理安裝使用統一賬號,或為每個SQL Server代理實例使用不同的賬號。

當為SQL Server服務選擇了一個賬號時,你的賬號需要下列許可權:

  • 在所有Windows版本里,作為服務登陸的許可權(SeServiceLogonRight
  • 在Windows伺服器,SQL Server代理服務代理帳戶需要下麵許可權:
    • 繞過遍歷檢查(SeChangeNotifyPrivilege)
    • 替換進程級令牌(SeAssignPrimaryTokenPrivilege)
    • 為進程調整記憶體配額(SeIncreaseQuotaPrivilege)
    • 作為批處理作業登錄(SeBatchLogonRight)

這個列表來自SQL Server聯機叢書https://msdn.microsoft.com/zh-cn/library/ms191543.aspx。此外,任何你選擇的帳戶必須是相關資料庫實例中sysadmin伺服器角色的成員。下一篇你將使用代理帳戶,所以這些特權是必不可少的。

修改服務賬號

如果你要更改服務帳戶,你可以使用安裝程式或SQL Server配置管理器來修改。這些程式將正確授予所有需要的許可權和安全權利來啟用新的服務帳戶。你不應該直接用Windows更改服務帳戶。插圖1顯示使用SQL Server配置管理器更改服務帳戶。請註意,你需要Windows管理員許可權來使用這個程式。

插圖1:修改SQL Server代理賬號的正確方式

SQL Server代理的安全形色

SQL Server代理有三個安全形色用於控制安全。這些角色是在SQL Server 2005引入的,這些角色有:

  • SQLAgentUserRole
  • SQLAgentReaderRole
  • SQLAgentOperatorRole

Sysadmin 伺服器角色的成員自動擁有SQL Server代理所有控制許可權,正如他們對SQL Server的完全控制。這些角色讓非管理員用戶有訪問和/或控制SQL Server代理的權利。這些是msdb資料庫(SQL Server中保存所有SQL Server代理元數據)中的一個角色。
這些角色如何工作:SQLAgentUserRole具有最少的許可權。然 而,SQLAgentReaderRole和SQLAgentOperatorRole是SQLAgentUserRole的成員,所以你授予給 UserRole的許可權將自動被其他兩個角色繼承。此外,SQLAgentOperatorRole是SQLAgentReaderRole的成員,所以 同樣——任何授予給ReaderRoler的許可權自動擴展給OperatorRole。現在你可以詳細研究每個子系統。

SQLAgentUserRole

SQLAgentUserRole成員具有非常有限的許可權。他們可以查看他們擁有的操作員、本地作業、作業調度。他們還可以創建作業。
當你是msdb中的SQLAgentUserRole資料庫角色的成員時,你有查看SQL Server代理某些部分的能力(插圖2)。你只可以查看你自己創建的作業,以及查看和使用作業活動監視器(僅限你創建的作業)。

插圖2:SQLAgentUserRole成員連接對象資源管理器

SQLAgentReaderRole

msdb的SQLAgentReaderRole資料庫角色的成員繼承SQLAgentUserRole的許可權,同時還有使用多伺服器作業的能力(第十二篇會講)。你還可以查看伺服器上所有的作業,而不只是你自己的作業。然而,你只能查看那些不是你創建的作業(你可以控制你創建的作業)。
插圖3,作為SQLAgentReaderRole的成員,你依然可以看到作業節點,作業活動監視器,但是現在你可以看到系統上的所有作業,而不僅僅是你創建的。

插圖3:SQLAgentReaderRole成員連接對象資源管理器

SQLAgentOperatorRole

msdb中的SQLAgentOperatorRole資料庫角色賦予用戶在SQL Server代理特權。它包括另兩個SQLAgent資料庫角色的所有許可權,再加上查看操作員和代理的屬性,並允許你查看和SQL Server代理相關的所有警告。
SQLAgentOperatorRole 角色成員可以停止、啟動、或運行本地作業,並可以刪除本地作業的歷史記錄。角色成員可以啟用/禁用作業,以及啟用/禁用作業調度。但是有一個註意,他們不 能使用GUI來啟用/禁用工作或計劃,他們必須使用系統存儲過程(或直接sp_update_job或sp_update_schedule)。
SQLAgentOperatorRole角色成員看到的圖形界面與插圖4類似,幾乎完全訪問SQL Server代理。

下篇預告

SQL Server代理需要特定的Windows和SQL Server許可權用於SQL Server代理服務帳戶。msdb資料庫有三種資料庫角色,允許非sysadmin伺服器角色成員的用戶有訪問SQL Server代理的許可權,根據他們的訪問級別的需求。你可以使用這些角色,而不是被迫提升為sysadmin伺服器角色的成員使用或管理SQL Server代理作業。
在我們的下一篇,我們將開始在作業步驟中使用SQL Server代理服務帳戶控制安全權權。每一個作業子系統具有不同的安全考慮,代理賬戶正是針對這種安全。

原文鏈接:http://www.sqlservercentral.com/articles/Stairway+Series/72460/

參考文章:http://www.cnblogs.com/Uest/p/4547568.html


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 寫在前面 2012年寫的,僅供參考 反彙編的目的 缺乏某些必要的說明資料的情況下, 想獲得某些軟體系統的源代碼、設計思想及理念, 以便複製, 改造、移植和發展; 從源碼上對軟體的可靠性和安全性進行驗證,對那些直接與CPU 相關的目標代碼進行安全性分析; 涉及的主要內容 分析ARM處理器指令的特點,以
  • 編寫i2c設備驅動(從設備)一般有兩種方式: 1.用戶自己編寫獨立的從設備驅動,應用程式直接使用即可。 2.linux內核內部已經實現了一個通用的設備驅動,利用通用設備驅動編寫一個應用程式(用戶態驅動),在應用程式中用到大量設備驅動提供的介面,通過應用程式來控制從設備。 匯流排驅動 4.1 概述 I2
  • 一 打開 Apache 的配置文件 httpd.conf 。二 將#LoadModule rewrite_module modules/mod_rewrite前面的#去掉三 在 httpd.conf中添加:<IfModule mod_rewrite.c>RewriteEngine On#Rewrit
  • 每一個應用程式中都有一個NSNotificationCenter實例,用來協助不同的對象之間的通信,任何一個對象都可以向通知中心發佈通知(NSNotication),在通知中描述自己做什麼。其他的感興趣的對象可以申請在某個特定的通知或者特定對象發出通知時接收到這個通知。 一個通知一般包含有3個屬性:
  • 背景:假說有兩個Activity, Activity1和Activity2, 1跳轉到2,如果要在2退出程式,一般網上比較常見的說法是用 System.exit(0) 或是 android.os.Process.killProcess(android.os.Process.myPid()) 但實際應
  • MySQL 提供了資料庫的同步功能,這對我們實現資料庫的冗災、備份、恢復、負載均衡等都是有極大幫助的。本文描述了常見的同步設置方法。 一、準備伺服器 由於MySQL不同版本之間的(二進位日誌)binlog格式可能會不一樣,因此最好的搭配組合是Master的MySQL版本和Slave的版本相同或者更低
  • 最近要優化Oracle資料庫的效率,然後在網上查了很多判斷記錄是否存在的高效率方法網上有很多的建議第一種方法,我做了一個測試,但是可能數據量不夠大,42667條記錄,不知道很大的數據量是什麼一個情況網上好多高效的建議方式 select * from item where item='1B241371
  • 隨著生產數據的日誌越來越大,硬碟空間越來越小的時候,我們就需要考慮清理一下資料庫日誌,以前都是手工弄,現在找到一個語句直接自動處理,方便很多,分享一下。 DUMP TRANSACTION CMSDemo WITH NO_LOG BACKUP LOG CMSDemo WITH NO_LOG DBCC
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...