Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
SQL ServerAzure SQL Managed Instance
Belangrijk
Op Azure SQL Managed Instanceworden de meeste, maar niet alle FUNCTIES van SQL Server Agent momenteel ondersteund. Zie T-SQL-verschillen tussen Azure SQL Managed Instance en SQL Server of SQL Agent-taakbeperkingen in Azure SQL Managed Instance voor meer informatie.
Met SQL Server Agent kan de databasebeheerder elke taakstap uitvoeren in een beveiligingscontext met alleen de machtigingen die nodig zijn om die taakstap uit te voeren, die wordt bepaald door een SQL Server Agent-proxy. Als u de machtigingen voor een bepaalde taakstap wilt instellen, maakt u een proxy met de vereiste machtigingen en wijst u die proxy vervolgens toe aan de taakstap. Een proxy kan worden opgegeven voor meer dan één taakstap. Voor taakstappen waarvoor dezelfde machtigingen zijn vereist, gebruikt u dezelfde proxy.
In de volgende sectie wordt uitgelegd welke databaserol u moet verlenen aan gebruikers, zodat ze taken kunnen maken of uitvoeren met behulp van SQL Server Agent.
Toegang verlenen tot SQL Server Agent
Als u SQL Server Agent wilt gebruiken, moeten gebruikers lid zijn van een of meer van de volgende vaste databaserollen:
- SQLAgentUserRole
- SQLAgentReaderRole
- SQLAgentOperatorRole
Deze rollen worden opgeslagen in de msdb database. Standaard is geen gebruiker lid van deze databaserollen. Lidmaatschap van deze rollen moet expliciet worden verleend. Gebruikers die lid zijn van de vaste serverrol sysadmin hebben volledige toegang tot SQL Server Agent en hoeven geen lid te zijn van deze vaste databaserollen om SQL Server Agent te kunnen gebruiken. Als een gebruiker geen lid is van een van deze databaserollen of van de rol sysadmin , is het knooppunt SQL Server Agent niet beschikbaar wanneer ze verbinding maken met SQL Server met behulp van SQL Server Management Studio.
Leden van deze databaserollen kunnen taken bekijken en uitvoeren waarvan ze eigenaar zijn, en taakstappen maken die worden uitgevoerd als een bestaand proxyaccount. Zie vaste databaserollen van SQL Server Agent voor meer informatie over de specifieke machtigingen die aan elk van deze rollen zijn gekoppeld.
Leden van de vaste serverrol sysadmin zijn gemachtigd om proxyaccounts te maken, te wijzigen en te verwijderen. Leden van de rol sysadmin zijn gemachtigd om taakstappen te maken die geen proxy opgeven, maar in plaats daarvan worden uitgevoerd als het SQL Server Agent-serviceaccount. Dit is het account dat wordt gebruikt om SQL Server Agent te starten.
Richtlijnen
Volg deze richtlijnen om de beveiliging van uw SQL Server Agent-implementatie te verbeteren:
Maak specifieke gebruikersaccounts voor proxy's en gebruik deze proxygebruikersaccounts alleen voor het uitvoeren van taakstappen.
Wijs alleen de benodigde machtigingen toe aan proxygebruikersaccounts. Verken alleen de machtigingen die zijn vereist om de taakstappen uit te voeren die zijn toegewezen aan een bepaald proxyaccount.
Voer de SQL Server Agent-service niet uit onder een Microsoft Windows-account dat lid is van de groep Windows-beheerders .
Proxy's zijn alleen zo veilig als het SQL Server-referentiearchief.
Als schrijfbewerkingen van gebruikers naar het Windows Server-gebeurtenislogboek kunnen schrijven, kunnen ze waarschuwingen genereren via SQL Server Agent.
Geef het Windows Server Administrator-account niet op als een serviceaccount of proxyaccount.
SQL Server en SQL Server Agent hebben toegang tot elkaars assets. De twee services delen één procesruimte en SQL Server Agent is een sysadmin in de SQL Server-service.
Wanneer een omgeving met meerdere servers wordt gemaakt met een MSX (hoofdserver), krijgt de MSX-sysadmins de totale controle over het TSX-exemplaar van SQL Server.
ACE is een extensie en kan zichzelf niet aanroepen. Chainer ScenarioEngine.exe (ook wel bekend als
Microsoft.SqlServer.Chainer.Setup.exe) kan ACE aanroepen. Andere hostprocessen kunnen ook ACE aanroepen.ACE is afhankelijk van de volgende configuratie-DLL's die eigendom zijn van SSDP, omdat deze API's van DLL's worden aangeroepen door ACE:
SCO -
Microsoft.SqlServer.Configuration.Sco.dll, inclusief nieuwe SCO-validaties voor virtuele accountsCluster -
Microsoft.SqlServer.Configuration.Cluster.dllSFC -
Microsoft.SqlServer.Configuration.SqlConfigBase.dllExtensie -
Microsoft.SqlServer.Configuration.ConfigExtension.dll
Gekoppelde servers
In sommige scenario's, zoals met Wat is Azure SQL Managed Instance? om een SQL Agent-taak uit te voeren waarmee een Transact-SQL -query (T-SQL) wordt uitgevoerd op een externe server via een gekoppelde server, moet u een lokale aanmelding toewijzen aan een aanmelding op de externe server.
Gebruik sp_addlinkedsrvlogin om een toewijzing te maken tussen een aanmelding op de lokale server naar een aanmelding op de externe server met de benodigde machtiging om de T-SQL-query uit te voeren. Wanneer de SQL Agent-taak via de gekoppelde server verbinding maakt met de externe server, wordt de T-SQL-query uitgevoerd in de context van de externe aanmelding.
In de volgende tabel wordt beschreven hoe u de login kunt toewijzen op basis van de eigenaar van de SQL Agent-job in Azure SQL Managed Instance.
| EIGENAAR van SQL Agent-taak | Hoe de aanmelding te koppelen |
|---|---|
| Gebruiker die geen sysadmin is | Wijs de lokale gebruiker die eigenaar is van de SQL Agent-taak toe aan de externe aanmelding. |
| sysadmin |
Wijs alle lokale gebruikers toe aan de externe aanmelding door de @locallogin parameter in te stellen op NULL. |
Aanmeldingen maken op de externe server voor SQL Agent-taken is vereist wanneer de lokale server Azure SQL Managed Instance is. Als gebruikers niet correct worden gemapt, kunnen er fouten optreden, zoals de volgende voorbeelden:
Windows logins are not supported in this version of SQL ServerLinked servers cannot be used under impersonation without a mapping for the impersonated login