本篇文章主要介绍了"SQL Server代理9/12:理解作业和安全",主要涉及到方面的内容,对于SqlServer感兴趣的同学可以参考一下:
SQL Server代理是所有实时数据库的核心。代理有很多不明显的用法,因此系统的知识,对于开发人员还是DBA都是有用的。这系列文章会通俗介绍它的很多用法。在这...
SQL Server代理是所有实时数据库的核心。代理有很多不明显的用法,因此系统的知识,对于开发人员还是DBA都是有用的。这系列文章会通俗介绍它的很多用法。
在这个系列的前一篇文章里,你学习了如何在SQL Server代理作业步骤里启动外部程序。你可以使用过时的ActiveX系统,从虚拟命令提示符里运行批处理命令,或甚至启动你自己的程序。你的最佳选项是使用PowerShell子系统来运行PowerShell脚本。PowerShell脚本会允许你操纵系统或SQL Server角度的一切。在这篇文章里,你会收入SQL Server代理安全。对大多数人来说,安全是个令人迷惑的话题,值得一些明确的考虑。在这个系列里有2个不同角度的安全会涉及:运行SQL Server代理作业的安全,可以用来作为代理作业运行作业步骤的模拟安全账号。这个系列的下篇文章会谈下代理账号,这篇会集中讨论运行SQL Sever代理和SQL Server代理作业的安全权限。
SQL Server代理服务账号需要的安全
在这个系列的第一篇文章已经谈了选择SQL Server代理服务账号,为了进一步理解SQL Server代理如何运作的话,现在你要重新审视下你的决定。如果你只想连接到本地SQL Server实例的作业,对于SQL Server服务账号需要最小的权限。在这个情况下,NetworkService是用作服务账号的最好选择。使用Windows Server 2008R2和SQL Server 2008 R2,这会提供一个非常安全的账号,可以轻松授权SQL Server的工作。
如果你想使用SQL Server代理的更多的一些高级功能,例如使用CmdExec子系统或PowerShell子系统,或者你想连接到SQL Server实例或网络共享,你会使用系统域用户账号作为自定义服务账号。你可以为SQL Server代理创建一个特定账号,在你的组织里为所有的SQL Server代理安装使用统一账号,或为每个SQL Server代理实例使用不同的账号。
当为SQL Server服务选择了一个账号时,你的账号需要下列权限:
- 在所有Windows版本里,作为服务登陆的权限(
SeServiceLogonRight) - 在Windows服务器,SQL Server代理服务代理帐户需要下面权限:
- 绕过遍历检查(SeChangeNotifyPrivilege)
- 替换进程级令牌(SeAssignPrimaryTokenPrivilege)
- 为进程调整内存配额(SeIncreaseQuotaPrivilege)
- 作为批处理作业登录(SeBatchLogonRight)
这个列表来自SQL Server联机丛书https://msdn.microsoft.com/zh-cn/library/ms191543.aspx。此外,任何你选择的帐户必须是相关数据库实例中sysadmin服务器角色的成员。下一篇你将使用代理帐户,所以这些特权是必不可少的。
修改服务账号
如果你要更改服务帐户,你可以使用安装程序或SQL Server配置管理器来修改。这些程序将正确授予所有需要的权限和安全权利来启用新的服务帐户。你不应该直接用Windows更改服务帐户。插图1显示使用SQL Server配置管理器更改服务帐户。请注意,你需要Windows管理员权限来使用这个程序。
插图1:修改SQL Server代理账号的正确方式
SQL Server代理的安全角色
SQL Server代理有三个安全角色用于控制安全。这些角色是在SQL Server 2005引入的,这些角色有:
