如果在我使用 Windows 身份验证登录登录会话时从 SQL Server Management Studio 执行命令(例如以下命令),我了解对路径“C:\SQL2019\BookStore.bak”的访问已完成通过 sql 服务帐户(在 SQL Server 配置管理器中设置)而不是通过我的登录。但是,如果完成了 INSERT 语句,在这种情况下是通过我的登录完成的吗?
BACKUP DATABASE [BookStore] TO DISK = N'C:\SQL2019\BookStore.bak'
WITH COPY_ONLY, NOFORMAT, NOINIT, NAME = N'BookStore-Full Database Backup', SKIP, NOREWIND, NOUNLOAD, STATS = 10
GO
另外,我有一个代理作业集,并且在作业历史记录中显示“以用户身份执行:sqlagent1”,这是我在 SQL Server 配置管理器中设置的 sql 代理服务帐户。作业步骤属性中的运行方式为空。但是,在 SQL Server 中的登录名下没有为此帐户创建登录名。此帐户从哪里获得许可?
作业所有权是SQL Server 代理中的一个重要概念。SQL Server 代理根据拥有作业的用户角色设置作业执行的安全上下文。
默认情况下,无论作业所有权如何,SQL Server 代理都会在 SQL Server 代理服务帐户下执行作业步骤,或者在代理帐户的上下文中执行作业步骤。(关于以空运行:非系统管理员的用户必须访问明确授予其角色或用户名的代理帐户)
此规则的例外是 T-SQL 作业步骤,它在作业所有者的安全上下文中执行。
如果作业所有者是 sysadmin 角色的成员,则作业步骤将在 SQL Server 代理服务帐户的上下文中执行。
设置作业时的一个常见错误是将“sa”设置为作业所有者——这将导致所有 T-SQL 作业步骤作为 SQL 代理服务帐户执行,该帐户是系统管理员帐户。更好的选择是将非系统管理员帐户设置为作业所有者,并明确授予此帐户所需的数据库权限。
https://stackoverflow.com/questions/12112276/sql-agent-job-run-as-drop-down-list-is-empty
https://www.red-gate.com/simple-talk/sql/database-administration/setting-up-your-sql-server-agent-correctly/
您想要区分在 SQL Server 中执行某项操作(例如您提到的 INSERT)和让 SQL Server 或代理在操作系统中执行某项操作。
在 SQL Server 中执行某些操作(例如 INSERT): 您使用某个登录名(CREATE LOGIN)登录,然后此登录名在数据库中创建了一个用户(CREATE USER)。权限基于该用户,以及角色成员资格等通常的东西。这是一个很大的话题,但我感觉你实际上是在下一节之后。只是想确保我们区分两者。
让 SQL Server 或代理在操作系统级别执行某些操作:现在您想要区分 SQL Server 和代理。
SQL Server 在操作系统级别执行任何操作的一个示例是备份。这始终使用 SQL Server 服务帐户来完成。(两个例外是使用服务器范围代理的 xp_cmdshell 和在某些情况下可以使用最终用户 Windows 帐户的模拟时批量加载数据。)
然后,当代理在操作系统级别执行某些操作时,您就有了。是的,我们正在讨论除 T-SQL 之外的所有工作步骤。对于系统管理员,默认情况下代理的服务帐户是用户。对于非系统管理员,您已经创建了要使用的代理代理(基本上指向一个 Windows 帐户并允许作业所有者使用它)。如果需要,系统管理员也可以使用代理代理。
最后,当代理在 SQL Server 中执行某些操作时,您就有了。换句话说,T-SQL 作业步骤。
使用 EXECUTE AS LOGIN = 'job_owner_name' WITH NO REVERT。即,这些
东西是作为工作所有者的登录上下文完成的,我们不必
做任何事情。
以下是我就该主题撰写的几篇(旧)博客文章: http: //sqlblog.karaszi.com/sql-server-agent-jobs-and-user-contexts/和http://sqlblog.karaszi .com/xp_cmdshell-and-permissions/。