Feste Datenbankrollen des SQL Server-Agents

Gilt für:SQL ServerAzure SQL Managed Instance

Wichtig

In Azure SQL Managed Instance werden derzeit die meisten, aber nicht alle, SQL Server-Agent-Features unterstützt. Details dazu finden Sie unter T-SQL-Unterschiede zwischen Azure SQL Managed Instance und SQL Server.

SQL Server verfügt über die folgenden festen msdb-Datenbankrollen, mit denen Administratoren den Zugriff auf den SQL Server-Agent besser steuern können. In der folgenden Auflistung sind die Rollen von den niedrigsten bis hin zu den höchsten Zugriffsberechtigungen enthalten:

  • SQLAgentUserRole

  • SQLAgentReaderRole

  • SQLAgentOperatorRole

Wenn Benutzer, die nicht Mitglied einer dieser Rollen sind, in SQL Server Management Studio mit SQL Server verbunden sind, wird der Knoten SQL Server-Agent im Objekt-Explorer nicht angezeigt. Ein Benutzer muss Mitglied einer dieser festen Datenbankrollen oder der festen Serverrolle sysadmin sein, um den SQL Server-Agent verwenden zu können.

Berechtigungen der festen Datenbankrollen des SQL Server-Agents

Die Datenbankrollen-Berechtigungen des SQL Server-Agents stehen konzentrisch zueinander in Beziehung: Rollen mit höheren Berechtigungen erben die Berechtigungen der Rollen mit niedrigeren Berechtigungen für SQL Server-Agent-Objekte (einschließlich Warnungen, Operatoren, Aufträge, Zeitpläne und Proxys). Wenn z. B. Mitglieder der Rolle SQLAgentUserRole mit den niedrigsten Berechtigungen Zugriff auf „proxy_A“ haben, haben die Mitglieder von SQLAgentReaderRole und SQLAgentOperatorRole automatisch Zugriff auf diesen Proxy, selbst wenn ihnen der Zugriff auf „proxy_A“ nicht ausdrücklich erteilt wurde. Dies kann zu Sicherheitsrisiken führen, die in den folgenden Abschnitten zu den einzelnen Rollen erläutert werden.

SQLAgentUserRole-Berechtigungen

SQLAgentUserRole ist die feste Datenbankrolle des SQL Server-Agents mit den niedrigsten Berechtigungen. Sie hat lediglich Berechtigungen für Operatoren, lokale Aufträge und Auftragszeitpläne. Die Mitglieder von SQLAgentUserRole haben lediglich Berechtigungen für lokale Aufträge und Auftragszeitpläne, deren Besitzer sie sind. Sie können keine Multiserveraufträge (Master- und Zielserveraufträge) verwenden, und sie können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind. Die Mitglieder von SQLAgentUserRole können lediglich im Dialogfeld Auftragsschritt-Eigenschaften von SQL Server Management Studio eine Liste mit vorhandenen Proxys anzeigen. Nur der Knoten Aufträge im Objekt-Explorer von SQL Server Management Studio ist für die Mitglieder von SQLAgentUserRole sichtbar.

Wichtig

Beachten Sie die Sicherheitsrisiken, bevor Sie den Mitgliedern der SQL Server-Agent-Datenbankrollen Proxyzugriff erteilen. SQLAgentReaderRole und SQLAgentOperatorRole sind automatisch Mitglieder von SQLAgentUserRole. Dies bedeutet, dass die Mitglieder von SQLAgentReaderRole und SQLAgentOperatorRole Zugriff auf alle SQL Server-Agent-Proxys haben, denen SQLAgentUserRole erteilt wurde und die diese Proxys verwenden können.

Die folgende Tabelle enthält einen Überblick über die SQLAgentUserRole-Berechtigungen für SQL Server-Agent-Objekte.

Aktion Operatoren Lokale Aufträge

(nur Aufträge mit Besitzern)
Auftragszeitpläne

(nur Zeitpläne mit Besitzern)
Proxys
Erstellen/Ändern/Löschen Nein Ja

Der Auftragsbesitz kann nicht geändert werden.
Ja Nein
Liste anzeigen (aufzählen) Ja

Die Liste mit verfügbaren Operatoren kann zum Verwenden in sp_notify_operator und im Dialogfeld Auftragseigenschaften von Management Studio abgerufen werden.
Ja Ja Ja

Die Liste der Proxys steht nur im Dialogfeld Auftragsschritt-Eigenschaften von Management Studio zur Verfügung.
Aktivieren/Deaktivieren Nein Ja Ja Nicht zutreffend
Eigenschaften anzeigen Nein Ja Ja Nein
Ausführen/Beenden/Starten Nicht zutreffend Ja Nicht zutreffend Nicht zutreffend
Auftragsverlauf anzeigen Nicht zutreffend Ja Nicht zutreffend Nicht zutreffend
Auftragsverlauf löschen Nicht zutreffend Nein

Den Mitgliedern von SQLAgentUserRole muss die EXECUTE-Berechtigung für sp_purge_jobhistory zum Löschen des Auftragsverlaufs für Aufträge, deren Besitzer sie sind, ausdrücklich erteilt werden. Sie können den Auftragsverlauf für keine anderen Aufträge löschen.
Nicht verfügbar Nicht zutreffend
Anfügen/Trennen Nicht verfügbar Nicht zutreffend Ja Nicht zutreffend

SQLAgentReaderRole-Berechtigungen

SQLAgentReaderRole enthält alle SQLAgentUserRole -Berechtigungen sowie die Berechtigungen zum Anzeigen der Liste verfügbarer Multiserveraufträge, ihrer Eigenschaften und ihres Verlaufs. Die Mitglieder dieser Rolle können auch die Liste aller verfügbaren Aufträge und Auftragszeitpläne sowie ihre Eigenschaften anzeigen, nicht nur die Aufträge und Auftragszeitpläne, deren Besitzer sie sind. Die Mitglieder vonSQLAgentReaderRole können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind. Nur der Knoten Aufträge im Objekt-Explorer von SQL Server Management Studio ist für die Mitglieder von SQLAgentReaderRole sichtbar.

Wichtig

Beachten Sie die Sicherheitsrisiken, bevor Sie den Mitgliedern der SQL Server-Agent-Datenbankrollen Proxyzugriff erteilen. Die Mitglieder von SQLAgentReaderRole sind automatisch auch Mitglieder von SQLAgentUserRole. Dies bedeutet, dass die Mitglieder von SQLAgentReaderRole Zugriff auf alle SQL Server-Agent-Proxys haben, denen SQLAgentUserRole erteilt wurde und die diese Proxys verwenden können.

Die folgende Tabelle enthält einen Überblick über die SQLAgentReaderRole-Berechtigungen für SQL Server-Agent-Objekte.

Aktion Operatoren Lokale Aufträge Multiserveraufträge Auftragszeitpläne Proxys
Erstellen/Ändern/Löschen Nein Ja (nur Aufträge mit Besitzer)

Der Auftragsbesitz kann nicht geändert werden.
No Ja (nur Zeitpläne mit Besitzer) No
Liste anzeigen (aufzählen) Ja

Die Liste mit verfügbaren Operatoren kann zum Verwenden in sp_notify_operator und im Dialogfeld Auftragseigenschaften von Management Studio abgerufen werden.
Ja Ja Ja Ja

Die Liste der Proxys steht nur im Dialogfeld Auftragsschritt-Eigenschaften von Management Studio zur Verfügung.
Aktivieren/Deaktivieren Nein Ja (nur Aufträge mit Besitzer) No Ja (nur Zeitpläne mit Besitzer) Nicht zutreffend
Eigenschaften anzeigen Nein Ja Ja Ja Nein
Eigenschaften bearbeiten Nein Ja (nur Aufträge mit Besitzer) No Ja (nur Zeitpläne mit Besitzer) No
Ausführen/Beenden/Starten Nicht zutreffend Ja (nur Aufträge mit Besitzer) Nein Nicht zutreffend Nicht zutreffend
Auftragsverlauf anzeigen Nicht zutreffend Ja Ja Nicht zutreffend Nicht zutreffend
Auftragsverlauf löschen Nicht zutreffend Nein

Den Mitgliedern von SQLAgentReaderRole muss die EXECUTE-Berechtigung für sp_purge_jobhistory zum Löschen des Auftragsverlaufs für Aufträge, deren Besitzer sie sind, ausdrücklich erteilt werden. Sie können den Auftragsverlauf für keine anderen Aufträge löschen.
Nein Nicht zutreffend Nicht zutreffend
Anfügen/Trennen Nicht verfügbar Nicht zutreffend Nicht zutreffend Ja (nur Zeitpläne mit Besitzer) Nicht zutreffend

SQLAgentOperatorRole-Berechtigungen

SQLAgentOperatorRole ist die feste Datenbankrolle des SQL Server-Agents mit den höchsten Berechtigungen. Sie enthält alle Berechtigungen von SQLAgentUserRole und SQLAgentReaderRole. Die Mitglieder dieser Rolle können auch die Eigenschaften für Operatoren und Proxys anzeigen und die verfügbaren Proxys und Warnungen auf dem Server aufzählen.

Die Mitglieder vonSQLAgentOperatorRole haben zusätzliche Berechtigungen für lokale Aufträge und Zeitpläne. Sie können alle lokalen Aufträge ausführen, beenden oder starten, und sie können den Auftragsverlauf eines lokalen Auftrags auf dem Server löschen. Sie können auch alle lokalen Aufträge und Zeitpläne auf dem Server aktivieren und deaktivieren. Um lokale Aufträge oder Zeitpläne zu aktivieren oder zu deaktivieren, müssen die Mitglieder dieser Rolle die gespeicherten Prozeduren sp_update_job und sp_update_scheduleverwenden. Nur die Parameter, die den Namen oder den Bezeichner des Auftrags oder Zeitplans sowie den @enabled-Parameter angeben, können von den Mitgliedern von SQLAgentOperatorRole angegeben werden. Wenn sie andere Parameter angeben, erzeugt die Ausführung dieser gespeicherten Prozeduren einen Fehler. Die Mitglieder vonSQLAgentOperatorRole können den Auftragsbesitz nicht ändern, um Zugriff auf Aufträge zu erhalten, deren Besitzer sie nicht bereits sind.

Die Knoten Aufträge, Warnungen, Operatoren und Proxys im Objekt-Explorer von SQL Server Management Studio sind für die Mitglieder von SQLAgentOperatorRole sichtbar. Nur der Knoten Fehlerprotokolle ist für die Mitglieder dieser Rolle nicht sichtbar.

Wichtig

Beachten Sie die Sicherheitsrisiken, bevor Sie den Mitgliedern der SQL Server-Agent-Datenbankrollen Proxyzugriff erteilen. Die Mitglieder von SQLAgentOperatorRole sind automatisch auch Mitglieder von SQLAgentUserRole und SQLAgentReaderRole. Dies bedeutet, dass die Mitglieder von SQLAgentOperatorRole Zugriff auf alle SQL Server-Agent-Proxys haben, denen SQLAgentUserRole oder SQLAgentReaderRole erteilt wurde und die diese Proxys verwenden können.

Die folgende Tabelle enthält einen Überblick über die SQLAgentOperatorRole-Berechtigungen für SQL Server-Agent-Objekte.

Aktion Alerts Operatoren Lokale Aufträge Multiserveraufträge Auftragszeitpläne Proxys
Erstellen/Ändern/Löschen Nein Nein Ja (nur Aufträge mit Besitzer)

Der Auftragsbesitz kann nicht geändert werden.
No Ja (nur Zeitpläne mit Besitzer) No
Liste anzeigen (aufzählen) Ja Ja

Die Liste mit verfügbaren Operatoren kann zum Verwenden in sp_notify_operator und im Dialogfeld Auftragseigenschaften von Management Studio abgerufen werden.
Ja Ja Ja Ja
Aktivieren/Deaktivieren Nein Nein Ja

Die Mitglieder vonSQLAgentOperatorRole können lokale Aufträge, deren Besitzer sie nicht sind, aktivieren oder deaktivieren, indem sie die gespeicherte Prozedur sp_update_job verwenden und Werte für die @enabled - und die @job_id -Parameter (oder @job_name) angeben. Wenn ein Mitglied dieser Rolle einen anderen Parameter für diese gespeicherte Prozedur angibt, erzeugt die Ausführung der Prozedur einen Fehler.
Nein Ja

Die Mitglieder vonSQLAgentOperatorRole können Zeitpläne, deren Besitzer sie nicht sind, aktivieren oder deaktivieren, indem sie die gespeicherte Prozedur sp_update_schedule verwenden und Werte für die @enabled - und die @schedule_id -Parameter (oder @name) angeben. Wenn ein Mitglied dieser Rolle einen anderen Parameter für diese gespeicherte Prozedur angibt, erzeugt die Ausführung der Prozedur einen Fehler.
Nicht zutreffend
Eigenschaften anzeigen Ja Ja Ja Ja Ja Ja
Eigenschaften bearbeiten Nein Nein Ja (nur Aufträge mit Besitzer) No Ja (nur Zeitpläne mit Besitzer) No
Ausführen/Beenden/Starten Nicht zutreffend Nicht zutreffend Ja Nein Nicht zutreffend Nicht zutreffend
Auftragsverlauf anzeigen Nicht zutreffend Nicht zutreffend Ja Ja Nicht zutreffend Nicht zutreffend
Auftragsverlauf löschen Nicht zutreffend Nicht zutreffend Ja Nein Nicht zutreffend Nicht zutreffend
Anfügen/Trennen Nicht verfügbar Nicht zutreffend Nicht zutreffend Nicht zutreffend Ja (nur Zeitpläne mit Besitzer) Nicht zutreffend

Zuweisen von mehreren Rollen an Benutzer

Mitglieder der festen Serverrolle sysadmin haben Zugriff auf alle SQL Server-Agent-Funktionen. Wenn ein Benutzer nicht Mitglied der sysadmin-Rolle ist, sondern von mehr als einer festen Datenbankrolle des SQL Server-Agents, sollten Sie das konzentrische Berechtigungsmodell dieser Rollen berücksichtigen. Da die Rollen mit höheren Berechtigungen immer alle Berechtigungen der Rollen mit niedrigeren Berechtigungen enthalten, hat ein Benutzer, der Mitglied von mehreren Rollen ist, automatisch die Berechtigungen der Rolle mit den höchsten Berechtigungen, deren Mitglied der Benutzer ist.

Siehe auch

Implementieren der SQL Server-Agent-Sicherheit
sp_update_job (Transact-SQL)
sp_update_schedule (Transact-SQL)
sp_notify_operator (Transact-SQL)
sp_purge_jobhistory (Transact-SQL)