Серверная учетная запись посредник mssql для чего
Обеспечение безопасности агента SQL Server
В Управляемом экземпляре Azure SQL в настоящее время поддерживается большинство функций агента SQL Server (но не все). Подробные сведения см. в статье Различия в T-SQL между Управляемым экземпляром SQL Azure и SQL Server.
Предоставление доступа к агенту SQL Server
Для доступа к агенту SQL Server пользователь должен быть членом одной или нескольких следующих предопределенных ролей базы данных.
SQLAgentUserRole
SQLAgentReaderRole
SQLAgentOperatorRole
Члены указанных ролей базы данных могут просматривать и выполнять задания, владельцами которых они являются, а также создавать шаги задания, которые выполняются от имени существующих учетных записей-посредников. Дополнительные сведения о конкретных разрешениях, связанных с каждой из этих ролей, см. в разделе Предопределенные роли базы данных агента SQL Server.
Рекомендации
Чтобы повысить защищенность системы безопасности агента SQL Server следуйте следующим правилам:
создавайте специально выделенные учетные записи-посредники, и для выполнения шагов заданий пользуйтесь только ими;
предоставляйте разрешения только необходимым учетным записям-посредникам. Предоставляйте только те разрешения, которые действительно необходимы для выполнения шагов задания, которому назначена данная учетная запись-посредник;
Не запускайте службу агента SQL Server с использованием учетной записи Microsoft Windows, которая является членом группы Администраторы Windows.
Не следует указывать учетную запись администратора NT в качестве учетной записи службы или учетной записи-посредника.
Когда TSX регистрируется в MSX, пользователи sysadmin в этих системах MSX получают полный контроль над целевым экземпляром TSX SQL Server.
ACE представляет собой расширение, которое ссылаться само на себя. ACE вызывается Chainer ScenarioEngine.exe (также называется Microsoft.SqlServer.Chainer.Setup.exe) или может быть вызван другим процессом на сервере.
ACE зависит от следующих библиотек конфигурации DLL, принадлежащих SSDP, поскольку эти API библиотек DLL вызываются ACE:
Создание учетной записи-посредника агента SQL Server
В Управляемом экземпляре Azure SQL в настоящее время поддерживается большинство функций агента SQL Server (но не все). Подробные сведения см. в статье Различия в T-SQL между Управляемым экземпляром SQL Azure и SQL Server.
В этой статье описывается создание учетной записи-посредника агента SQL Server в SQL Server с помощью среды SQL Server Management Studio или Transact-SQL.
Перед началом
Ограничения
Перед созданием учетной записи-посредника необходимо создать учетные данные, если они еще не созданы.
Учетные записи-посредники агентаSQL Server используют учетные данные для хранения сведений об учетных записях пользователей Windows. Пользователь, указанный в учетных данных, должен иметь разрешение «Доступ к этому компьютеру из сети» (SeNetworkLogonRight) на компьютере, где выполняется SQL Server.
SQL Server проверяет действительность доступа к подсистеме учетной записи-посредника и предоставляет ей доступ при каждом выполнении шага задания. Если учетная запись-посредник больше не имеет доступа к подсистеме, шаг задания завершается ошибкой. В противном случае агент SQL Server олицетворяет пользователя, указанного в учетной записи-посреднике, и запускает шаг задания.
Создание учетной записи-посредника не влияет на разрешения пользователя, указанного в учетных данных учетной записи-посредника. Например, можно создать учетную запись-посредник для пользователя, не имеющего разрешения на подключение к экземпляру SQL Server. В этом случае шаги задания, использующие эту учетную запись-посредник, не смогут соединяться с SQL Server.
Если имени входа пользователя предоставлен доступ к учетной записи-посреднику или пользователь принадлежит к любой роли с доступом к учетной записи-посреднику, то он может использовать учетную запись-посредник в шаге задания.
безопасность
Permissions
Использование среды SQL Server Management Studio
Создание учетной записи-посредника агента SQL Server
В обозревателе объектов щелкните значок «плюс», чтобы развернуть сервер, на котором необходимо создать учетную запись-посредник агента SQL Server.
Щелкните знак «плюс», чтобы развернуть Агент SQL Server.
Щелкните правой кнопкой мыши папку Прокси-серверы и выберите пункт Создать прокси-сервер.
В поле Учетные данные введите учетные данные, которые будут использоваться учетной записью-посредником.
В поле Описание введите описание учетной записи-посредника.
В поле Активна для следующих подсистем выберите соответствующую подсистему или подсистемы для этой учетной записи-посредника.
На вкладке Участники добавьте или удалите имена входа или роли, чтобы предоставить или отменить доступ к учетной записи-посреднику.
После завершения нажмите кнопку ОК.
Использование Transact-SQL
Создание учетной записи-посредника агента SQL Server
В обозревателе объектов подключитесь к экземпляру компонента Компонент Database Engine.
На стандартной панели выберите пункт Создать запрос.
Скопируйте следующий пример в окно запроса и нажмите кнопку Выполнить.
Configure a User to Create and Manage SQL Server Agent Jobs
В Управляемом экземпляре Azure SQL в настоящее время поддерживается большинство функций агента SQL Server (но не все). Подробные сведения см. в статье Различия в T-SQL между Управляемым экземпляром SQL Azure и SQL Server.
В этой статье объясняется, как настроить пользователя для создания или выполнения заданий агента Microsoft SQL Server.
Перед началом работы Безопасность
Настройка пользователя для создания заданий агента SQL Server и управления ими с помощью следующих средств: SQL Server Management Studio
Перед началом
безопасность
Чтобы разрешить пользователю создавать задания агента Microsoft SQL Server и управлять ими, необходимо сначала добавить существующее имя входа для SQL Server или роль базы данных msdb к одной из следующих предопределенных ролей базы данных агента SQL Server в базе данных msdb: SQLAgentUserRole, SQLAgentReaderRole или SQLAgentOperatorRole.
Permissions
Использование среды SQL Server Management Studio
Добавление имени входа SQL или роли базы данных msdb к предопределенной роли базы данных агента SQL Server
В Обозревателе объектов разверните сервер.
Разверните элемент Безопасность, а затем элемент Имена входа.
На странице Сопоставление пользователей диалогового окна Свойства имени входа выберите строку, содержащую базу данных msdb.
Настройка учетной записи-посредника для создания и управления шагами заданий агента SQL Server
В Обозревателе объектов разверните сервер.
Разверните узел Агент SQL Server.
Щелкните правой кнопкой мыши элемент Учетные записи-посредники и выберите пункт Создать учетную запись-посредник.
На вкладке Общие диалогового окна Создание учетной записи-посредника укажите имя учетной записи-посредника, имя входа и описание. Обратите внимание, на то, что прежде чем создавать учетную запись-посредник агента SQL Server, необходимо создать учетные данные. Дополнительные сведения о создании учетных данных см. в разделах Руководство. Создание учетных данных и CREATE CREDENTIAL (Transact-SQL).
Проверьте соответствующие подсистемы для этой учетной записи-посредника.
На вкладке Участники добавьте или удалите имена входа или роли, чтобы предоставить или отменить доступ к учетной записи-посреднику.
Свойства сервера (страница «Безопасность»)
Эта страница используется для просмотра или изменения параметров безопасности сервера.
Проверка подлинности сервера
Проверка подлинности Windows намного надежней, чем проверка подлинности SQL Server. При возможности используйте проверку подлинности Windows.
При изменении конфигурации безопасности необходимо перезапустить службу. При изменении режима проверки подлинности сервера на режим проверки подлинности SQL Server и Windows учетная запись проверки подлинности сервера автоматически не включается. Для использования учетной записи SA выполните ALTER LOGIN с параметром ENABLE.
Аудит входа
None
Аудит входа не производится.
Только неуспешные попытки входа
Производится аудит только неудачных попыток входа.
Только успешные попытки входа
Производится аудит только удачных попыток входа.
Все попытки входа
Производится аудит всех попыток входа.
При изменении уровня аудита необходимо перезапустить службу.
Серверная учетная запись-посредник
Включить серверную учетную запись-посредник
Включается учетная запись для использования xp_cmdshell. Учетные записи-посредники позволяют осуществлять олицетворение имен входа, ролей сервера и ролей базы данных при выполнении команды операционной системы.
Имя входа, используемое учетной записью-посредником сервера, должно иметь минимально возможные права доступа, необходимые для выполнения намеченной работы. Излишние права доступа учетной записи-посредника могут быть использованы злоумышленниками для нарушения безопасности системы.
Учетная запись-посредник
Задайте используемую учетную запись-посредник.
Пароль
Задайте пароль для учетной записи-посредника.
Параметры
Включить трассировку аудита C2
Выполняется аудит всех попыток доступа к инструкциям и объектам и их запись в файл в каталоге \MSSQL\Data для экземпляров по умолчанию SQL Serverили в каталоге \MSSQL$имя_экземпляра\Data для именованных экземпляров SQL Server. Дополнительные сведения см. в статье Параметр конфигурации сервера «c2 audit mode».
Формировать межбазовую цепочку владения
Выберите этот пункт, чтобы база данных могла быть источником или назначением межбазовой цепочки владения. Дополнительные сведения см. в статье Параметр конфигурации сервера «cross db ownership chaining».
Лекция 16. Настройка безопасности агента SQL
07.04.2020
гр.851
Законспектировать лекцию в тетрадь, фотоотчёт прислать на элюпочту или л/с ВК.
Просмотр содержимого документа
«Лекция 16. Настройка безопасности агента SQL»
ОБЛАСТЬ ПРИМЕНЕНИЯ: 
SQL Server База данных SQL Azure (только Управляемый экземпляр) 
Azure Synapse Analytics (Хранилище данных SQL) Parallel Data Warehouse
Сейчас в управляемом экземпляре базы данных SQL Azure поддерживается большинство функций агента SQL Server (но не все). Подробные сведения см. в статье Различия T-SQL между управляемым экземпляром базы данных SQL Azure и SQL Server.
SQL Server — это служба Microsoft Windows, выполняющая запланированные административные задачи, которые называются заданиями в SQL Server 2019 (15.x).
Преимущества агента SQL Server
SQL Server Агент использует SQL Server для хранения сведений о заданиях. Задание состоит из одного или нескольких шагов. Каждый шаг содержит собственную задачу, например создание резервной копии базы данных.
SQL Server Агент может выполнять задания по расписанию в ответ на определенное событие или по требованию. Например, можно автоматизировать задачу создания резервной копии всех серверов компании, чтобы она выполнялась ежедневно по окончании рабочего дня. Запланируйте запуск резервного копирования после 22:00 с понедельника по пятницу; если во время создания резервной копии возникает проблема, агент SQL Server регистрирует соответствующее событие и выдает уведомление.
Служба агента SQL Server по умолчанию отключена, если во время установки SQL Server 2019 (15.x) явно не выбран автоматический запуск службы.
Компоненты агента SQL Server
SQL Server Агент использует следующие компоненты, чтобы определить задачи для выполнения, время для выполнения задач и порядок уведомления об успешном или неудачном завершении задач.
SQL Server Задания агента, которые выполнялись во время отработки отказа на экземпляре отказоустойчивого кластера SQL Server, не возобновляются после отработки отказа и переключения на другой узел отказоустойчивого кластера. SQL Server Задания агента, которые выполнялись во время приостановки работы узла Hyper-V, не возобновляются, если приостановка вызывает отработку отказа с переходом на другой узел. Задания, выполнение которых было начато, но не завершилось в связи с событием отработки отказа, регистрируются в журнале как начатые, но дополнительных записей журнала о завершении или сбое нет. SQL Server Задания агента выглядят как незавершенные.
Выполнять задания можно несколькими способами:
по одному или нескольким расписаниям;
в ответ на одно или несколько предупреждений;
посредством выполнения хранимой процедуры sp_start_job;
Каждое действие в задании является шагом задания. Например, шаг задания может состоять из выполнения инструкции Transact-SQL, выполнения пакета служб Integration Services или выдачи команды серверу служб Analysis Services. Шагами задания управляют как частью задания.
Каждый шаг задания выполняется в указанном контексте безопасности. Для шагов заданий, использующих Transact-SQL, применяйте инструкцию EXECUTE AS, чтобы указать контекст безопасности для шага задания. Для других типов шагов заданий используйте учетную запись-посредник, чтобы указать контекст безопасности для шага задания.
Расписание определяет время выполнения задания. Несколько заданий могут выполняться по тому же расписанию, а несколько расписаний могут применяться для одного задания. Расписание может определить следующие условия для времени выполнения задания:
при каждом запуске агента SQL Server;
каждый раз, когда использование ЦП компьютера будет достигать уровня, который определен как уровень простоя;
однажды, в указанные дату и время;
Для повторяющегося расписания.
Дополнительные сведения см. в разделе Создание и присоединение расписаний к заданиям.
Предупреждение — это автоматический ответ на наступление указанного события. Например, событие может быть заданием, которое начинает выполняться, или системным ресурсом, достигшим указанного порогового значения. Пользователь определяет условия, при которых выдается предупреждение.
Предупреждение может быть реакцией на одно из следующих условий:
SQL Server события;
SQL Server условия производительности;
события инструментария управления Microsoft Windows (WMI) на компьютере, где работает агент SQL Server;
Предупреждение может выполнять следующие действия:
уведомить один или несколько операторов;
Дополнительные сведения см. в статье Оповещения.
Оператор определяет контактные сведения о лице, ответственном за обслуживание одного или нескольких экземпляров SQL Server. В некоторых организациях обязанности оператора возлагаются на одно лицо. В организациях, использующих несколько серверов, обязанности оператора могут быть разделены между несколькими лицами. Оператор не содержит сведений о безопасности и не определяет субъект безопасности.
SQL Server может уведомлять операторов о предупреждениях одним из следующих способов или ненсколькими:
пейджер (через электронную почту);
Режимы отправки уведомлений с помощью пейджера и команды net send будут удалены из агента SQL Server в следующей версии SQL Server. Старайтесь не использовать эти функции в новых разработках и предусмотрите соответствующие изменения в приложениях, которые используют их в настоящее время.
Для отправки операторам уведомлений по электронной почте или на пейджер необходимо настроить агент SQL Server для использования компонента Database Mail. Дополнительные сведения см. в разделе о компоненте Database Mail.
Можно определить оператора как псевдоним для группы лиц. Таким способом все члены этого псевдонима будут уведомлены одновременно. Дополнительные сведения см. в статье Операторы.
Безопасность при администрировании агента SQL Server
SQL Server использует предопределенные роли базы данных SQLAgentUserRole, SQLAgentReaderRole и SQLAgentOperatorRole в базе данных msdb для управления доступом к агенту SQL Server для пользователей, не входящих в предопределенную роль администратора сервера. Помимо этих предопределенных ролей базы данных, подсистемы и учетные записи-посредники позволяют администраторам базы данных гарантировать, что каждый шаг задания выполняется с минимальными разрешениями, необходимыми для выполнения задачи.
SQL Server определяет подсистемы, перечисленные в следующей таблице:
Скрипт Microsoft ActiveX
Выполните шаг задания со скриптом ActiveX.
Предупреждение Подсистема сценариев ActiveX будет удалена из агента SQL Server в последующей версии MicrosoftSQL Server. Избегайте использования этого компонента в новых разработках и запланируйте изменение существующих приложений, в которых он применяется.
Операционная система (CmdExec)
Запустите исполняемую программу.
Выполните шаг задания со скриптом PowerShell.
Выполните шаг задания, на котором активируется агент распространителя репликации.
Выполните шаг задания, на котором активируется агент репликации слиянием.
Агент чтения очереди репликации
Выполните шаг задания, на котором активируется агент чтения очереди репликации.
Моментальный снимок репликации
Выполните шаг задания, на котором активируется агент моментальных снимков.
Агент чтения журнала транзакций репликации
Выполните шаг задания, на котором активируется агент чтения журнала.
Службы Analysis Services Command
Службы Analysis Services Запрос
Integration Services выполнение пакетов служб
Поскольку в шагах задания Transact-SQL учетные записи-посредники не используются, какие-либо подсистемы агента SQL Server для шагов задания Transact-SQL отсутствуют.
SQL Server для управления контекстами безопасности использует учетные записи-посредники. Учетная запись-посредник может быть использована на нескольких шагах задания. Создавать учетные записи-посредники могут члены предопределенной роли администратора сервера.
Каждой учетной записи-посреднику соответствует учетная запись системы безопасности. и может быть связана с множеством подсистем и множеством имен входа. Учетная запись-посредник может применяться только для шагов задания, которые используют связанную с этой учетной записью-посредником подсистему. Чтобы создать шаг задания, использующий определенную учетную запись-посредник, владелец задания должен либо использовать связанное с ней имя входа, либо быть членом роли, имеющей неограниченный доступ к учетным записям-посредникам. Члены предопределенной роли администратора сервера имеют неограниченный доступ к учетным записям-посредникам. Члены ролей SQLAgentUserRole, SQLAgentReaderRoleи SQLAgentOperatorRole могут использовать только учетные записи-посредники, на которые им был предоставлен особый доступ. Каждому пользователю, входящему в одну из предопределенных ролей базы данных агента SQL Server, необходимо предоставить доступ к конкретным учетным записям-посредникам, чтобы пользователь мог создавать шаги задания, которые будут использовать эти учетные записи-посредники.
Используйте следующие шаги для настройки агента SQL Server для автоматического администрирования SQL Server :
Определите, какие административные задачи или события сервера происходят регулярно, а также можно ли эти задачи или события администрировать программным путем. Подходящей для автоматизации является такая задача, которая включает предсказуемую последовательность шагов и выполняется в определенное время или в ответ на определенное событие.
В экземпляре SQL Serverпо умолчанию служба SQL Server имеет имя SQLSERVERAGENT. В именованных экземплярах служба агента SQL Server имеет имя SQLAgent$имя_экземпляра.
Если запущено несколько экземпляров SQL Server, то чтобы автоматизировать общие для всех экземпляров задания, можно использовать администрирование нескольких серверов. Дополнительные сведения см. в статье Автоматизация администрирования в масштабах предприятия.
Используйте следующие задачи, чтобы начать работу с агентом SQL Server :
Содержит инструкции по настройке агента SQL Server.
Настройка агента SQL Server
Описывает запуск, остановку и приостановку службы агента SQL Server.
Запуск, остановка или приостановка службы агента SQL Server
Описывает вопросы задания учетных записей для службы агента SQL Server.
Выбор учетной записи для службы агента SQL Server
Описывает использование журнала ошибок агента SQL Server.
Журнал ошибок агента SQL Server
Содержит инструкции по использованию объектов производительности.
Использование объектов производительности
Описывает мастер планов обслуживания программу, которая используется для создания заданий, оповещений и операторов для автоматизации администрирования экземпляра SQL Server.
Использование мастера планов обслуживания
Описывает автоматизацию задач администрирования с помощью агента SQL Server.
Задачи автоматизированного администрирования (агент SQL Server)