SQL Server Agent 权限 - 心得分享

DBABootcamp

没有 SA 权限的使用者，要如何管理 SQL Agent Jobs (作业)?

在以往，常常因为大家省的麻烦，所以经常动不动就要求 DBA 给出 SA (SysAdmin) 的权限。这是很危险的作法。有了 SA 权限的使用者，就具有能力有意或无意的摧毁资料库。所以在设定资料库使用者权限的时候，DBA 必须要以 “最低权限” Principle of Least Privilege (POLP) 当作准则。

在 MSDB 系统资料库里，有三个 database roles 可以管理 SQL Agent Jobs. 可以透过以下的语法找到这些 roles.

其中…

• SQLAgentUserRole 权限可以管理自己拥有的作业 (jobs).
• SQLAgentReadRole 权限拥有包含上述 SQLAgentUserRole 的权限以外，还可以有审视作业的设定与执行记录。
• SQLAgentOperatorRole 权限拥有包含上述 SQLAgentReadRole 的权限以外，还可以执行，启用，停用作业. 也可以删除执行的记录。

授予这三个 database roles 权限的方法如下:

希望这篇心得分享可以让大家对 “最低权限” Principle of Least Privilege (POLP) 有更进一步的了解。

DBA 训练营 - SQL Server 资料库管理入门
线上课程募资活动开始罗！

精心设计的课程介绍在这边 ? DBA 训练营