Можно ли работать от ип по доверенности: Можно ли работать от имени ИП по доверенности?

Вы заметили у нас ошибку? Помогите нам ее исправить! Выделите ошибку и нажмите одновременно клавиши «Ctrl» и «Enter» и повторите код с картинки. Спасибо!

sp_grant_proxy_to_subsystem (Transact-SQL) — SQL Server

• 14.03.2017
• 2 минуты на чтение

В этой статье

Применимо к: SQL Server (все поддерживаемые версии)

Предоставляет прокси-доступ к подсистеме.

Соглашения о синтаксисе Transact-SQL

Синтаксис

  sp_grant_proxy_to_subsystem
     {[@proxy_id =] proxy_id | [@proxy_name =] 'proxy_name'},
     {[@subsystem_id =] subsystem_id | [@subsystem_name =] 'имя_подсистемы'}
  

Аргументы

[@proxy_id =] id Идентификационный номер прокси-сервера, для которого предоставляется доступ. proxy_id — int со значением по умолчанию NULL. Необходимо указать proxy_id или proxy_name , но оба указать нельзя.

[@proxy_name =] 'proxy_name' Имя прокси, для которого нужно предоставить доступ. proxy_name — это sysname со значением по умолчанию NULL. Необходимо указать proxy_id или proxy_name , но оба указать нельзя.

[@subsystem_id =] идентификатор Идентификационный номер подсистемы, к которой нужно предоставить доступ. subsystem_id — int со значением по умолчанию NULL. Необходимо указать идентификатор_подсистемы или имя_подсистемы , но оба указать нельзя. В следующей таблице перечислены значения для каждой подсистемы.

[@subsystem_name =] 'имя_подсистемы' Имя подсистемы, к которой нужно предоставить доступ. имя_подсистемы — это sysname со значением по умолчанию NULL. Необходимо указать идентификатор_подсистемы или имя_подсистемы , но оба указать нельзя. В следующей таблице перечислены значения для каждой подсистемы.

Примечания

Предоставление доступа прокси к подсистеме не изменяет разрешения для принципала, указанного в прокси.

Разрешения

Только члены фиксированной серверной роли sysadmin могут выполнять процедуру sp_grant_proxy_to_subsystem .

Примеры

A. Предоставление доступа к подсистеме по ID

В следующем примере прокси-серверу Каталога прокси-сервера предоставляется доступ к подсистеме сценариев ActiveX.

  USE msdb;
ИДТИ
  
EXEC dbo.sp_grant_proxy_to_subsystem
    @proxy_name = 'Прокси приложения каталога',
    @subsystem_id = 2;
ИДТИ
  

Б.Предоставление доступа к подсистеме по имени.

В следующем примере прокси-серверу Каталога прокси-сервера предоставляется доступ к подсистеме выполнения пакета SSIS.

  USE msdb;
ИДТИ
  
EXEC dbo.sp_grant_proxy_to_subsystem
    @proxy_name = N'Catalog application proxy ',
    @ имя_подсистемы = N'Dts ';
ИДТИ
  

См. Также

Внедрение безопасности агента SQL Server
sp_revoke_proxy_from_subsystem (Transact-SQL)
sp_add_proxy (Transact-SQL)
sp_delete_proxy (Transact-SQL)
sp_update_proxy (Transact-SQL)

учетных записей прокси в SQL Server — DatabaseJournal.com

Было бы идеально, если бы приложению, подключающемуся к SQL Server, требовалось только доступ к объектам и ресурсам внутри экземпляра SQL Server. Однако часто приложению требуется доступ к внешним системным ресурсам, таким как файлы, сеть, переменные среды или реестр. Например, приложению может потребоваться запустить расширенную хранимую процедуру xp_cmdshell для вызова командной оболочки Windows и выполнить команду оболочки для получения списка файлов в каталоге.Или задание агента SQL Server запланировано приложением для выполнения задач обслуживания. В этом задании есть шаг задания активного сценария или задача веб-службы для вызова веб-службы для проверки информации о географическом местоположении и почтовом индексе.

По умолчанию в SQL Server 2000 только члены фиксированной серверной роли sysadmin могут выполнять расширенную хранимую процедуру xp_cmdshell и шаги задания активного сценария. Когда расширенная хранимая процедура xp_cmdshell выполняется членом фиксированной серверной роли sysadmin, процесс Windows командной оболочки запускается с контекстом безопасности учетной записи службы SQL Server.Когда выполняется задание, принадлежащее члену роли sysadmin, шаги его задания Active Scripting выполняются под защитой учетной записи службы агента SQL Server. Однако в большинстве компаний роли администратора базы данных и роли разработчика приложений часто разделены. Из соображений безопасности разработчикам приложений не разрешено иметь разрешения системного администратора. Чтобы позволить разработчикам приложений получать доступ к внешним ресурсам, не предоставляя им чрезмерных разрешений, SQL Server предоставляет решение с использованием учетных записей прокси.

Расширенная хранимая процедура xp_sqlagent_proxy_account устанавливает информацию учетной записи прокси, используемую агентом SQL Server и расширенной хранимой процедурой xp_cmdshell при выполнении заданий или команд для пользователей, которые не являются членами фиксированной роли сервера sysadmin. Например, следующие команды устанавливают учетную запись прокси для учетной записи домена PowerDomain \ PowerUser, а затем разрешают входам без системного администратора выполнять шаги задания Active Scripting и xp_cmdshell в контексте безопасности учетной записи домена.

 Мастер использования
ИДТИ
- Создайте тестовый логин под названием testuser
EXEC sp_addlogin 'testuser', 'testuser'
- Добавьте учетную запись домена Windows PoweDomain \ PowerUser в качестве учетной записи прокси.
ВЫПОЛНИТЬ xp_sqlagent_proxy_account N'SET ', N'PowerDomain', N'PowerUser ', N'P @ ssw0rd'
- Разрешить вход в систему, не являющуюся системным администратором, для выполнения шагов задания Active Scripting и выполнения xp_cmdshell.
ВЫПОЛНИТЬ msdb..sp_set_sqlagent_properties @sysadmin_only = 0
- Предоставьте доступ к базе данных учетной записи SQL Server, которой вы хотите предоставить доступ.Процедура EXEC sp_grantdbaccess 'testuser'
- Предоставьте разрешение на выполнение на xp_cmdshell учетной записи входа в SQL Server.
GRANT exec ON xp_cmdshell TO [testuser]
ИДТИ
 

Обратите внимание, что в SQL Server 2000 можно указать только одну учетную запись прокси. Эта учетная запись используется для выполнения шагов задания xp_cmdshell и Active Scripting.

В SQL Server 2005 и 2008 , чтобы позволить пользователю, не являющемуся системным администратором, выполнять xp_cmdshell, необходимо создать специальные системные учетные данные ## xp_cmdshell_proxy_account ##, запустив расширенную хранимую процедуру sp_xp_cmdshell_proxy_account и указав учетную запись Windows.Эта учетная запись будет использоваться для запуска xp_cmdshell пользователями, не являющимися членами роли системного администратора.

 Мастер использования
ИДТИ
- Создайте тестовый логин под названием testuser
СОЗДАТЬ ВХОД testuser С ПАРОЛЕМ = 'P3h5jek @ x'
- Создайте учетные данные прокси для xp_cmdshell.
EXEC sp_xp_cmdshell_proxy_account 'PowerDomain \ PowerUser', 'P @ ssw0rd';
- Предоставьте доступ к базе данных учетной записи SQL Server, которой вы хотите предоставить доступ.
Процедура EXEC sp_grantdbaccess 'testuser'
- Предоставьте разрешение на выполнение на xp_cmdshell учетной записи входа в SQL Server.GRANT exec ON sys.xp_cmdshell TO [testuser]
ИДТИ
 

Чтобы убедиться, что учетные данные ## xp_cmdshell_proxy_account ## созданы, вы можете выбрать представление sys.credentials.

У вас также есть больший и лучший контроль над прокси для заданий агента SQL Server в SQL Server 2005 и 2008 . Вы можете указать более одной учетной записи прокси. Вы также можете указать, к какой подсистеме (типу шага задания) вы хотите применить учетную запись прокси.

Перед созданием учетной записи прокси необходимо определить учетные данные Windows.После создания учетных данных вы можете создать учетную запись прокси и назначить ей учетные данные. Затем вы предоставляете прокси-серверу доступ к одной или нескольким подсистемам. Если вы используете хранимую процедуру sp_grant_proxy_to_subsystem для предоставления доступа к нескольким подсистемам, вам потребуется выполнить хранимую процедуру несколько раз. После этого вы можете предоставить нескольким логинам SQL Server, ролям msdb и / или ролям сервера разрешения на использование учетной записи прокси.

Например, мы хотели бы создать прокси с именем SSISProxy для шагов задания, которые выполняют пакеты SSIS.Этот прокси будет использовать учетные данные учетной записи домена PowerDomain \ PowerUser. Мы хотели бы разрешить входу testUser выполнять пакеты SSIS с этой учетной записью прокси в принадлежащих ему заданиях агента SQL Server.

 - Создание учетных данных, содержащих учетную запись домена PowerDomain \ PowerUser и ее пароль
СОЗДАТЬ УЧЕБНЫЙ PowerUser С IDENTITY = N'PowerDomain \ PowerUser ', SECRET = N'P @ ssw0rd'
ИДТИ
ИСПОЛЬЗОВАТЬ [msdb]
ИДТИ
- Создайте новый прокси с именем SSISProxy и назначьте ему учетную запись PowerUser.
EXEC msdb.dbo.sp_add_proxy @ proxy_name = N'SSISProxy ', @ credential_name = N'PowerUser', @ enabled = 1
- Предоставьте SSISProxy доступ к подсистеме «Выполнение пакета SSIS».
EXEC msdb.dbo.sp_grant_proxy_to_subsystem @ proxy_name = N'SSISProxy ', @ subsystem_id = 11
- Предоставьте пользователю testUser разрешения на использование SSISProxy.
EXEC msdb.dbo.sp_grant_login_to_proxy @login_name = N'testUser ', @ proxy_name = N'SSISProxy'
ИДТИ
 

После входа в систему testUser предоставил доступ к прокси-учетной записи SSISProxy в задании, принадлежащем testUser, если этап задания должен выполнить пакет SSIS, testUser может выбрать прокси-сервер SSISProxy и запустить шаг под учетной записью прокси.

SQL Server 2005 состоит из 11 подсистем. Их значения перечислены ниже.

Значение Описание

2 Скрипт Microsoft ActiveX

3 Операционная система (CmdExec)

4 Агент моментальных снимков репликации

5 Агент чтения журнала репликации

6 Агент распространения репликации

7 Агент слияния репликации

8 Агент чтения очереди репликации

9 Команда служб аналитики

10 Запрос служб Analysis Services

11 Выполнение пакета SSIS

SQL Server 2008 добавляет еще одну подсистему для интеграции PowerShell.

12 Сценарий PowerShell

Заключение

в SQL Server обеспечивают обходной путь для входа в SQL Server для выполнения команд оболочки Windows и заданий агента SQL Server без предоставления чрезмерных разрешений. В этой статье описывается, как настроить прокси в SQL Server 2000, 2005 и 2008, и сравниваются различия между ними.

» Просмотреть все статьи обозревателя Ян Пэн

Лестница к агенту SQL Server

На предыдущем уровне этой лестницы вы исследовали роли безопасности в базе данных msdb , которые предоставляют доступ к агенту SQL Server.Эти роли включают SQLAgentUserRole , SQLAgentReaderRole и SQLAgentOperatorRole . Членство в каждой роли предоставляет пользователю определенные привилегии для использования агента SQL Server без необходимости быть членом роли сервера sysadmin . Для полного административного управления агентом SQL Server вам все равно потребуется членство в роли sysadmin . Кроме того, вы рассмотрели последствия для безопасности и варианты выбора для учетной записи службы агента SQL Server. На этом этапе вы изучите концепцию учетных записей прокси для агента SQL Server.Учетные записи прокси позволяют этапу задания олицетворять определенную учетную запись безопасности Windows для выполнения операций на этом этапе задания. Обычно это делается для того, чтобы на определенных этапах задания выполнялись операции, которые обычно недоступны при использовании учетных данных владельца задания.

Как упоминалось выше, учетная запись прокси — это набор сохраненных учетных данных безопасности Windows. Эти учетные данные затем могут использоваться этапами задания в качестве контекста безопасности для этого задания. Учетная запись прокси может использоваться одной или несколькими подходящими подсистемами для олицетворения, когда эта подсистема выполняет какое-либо действие от имени задания.

Подсистемы, доступные для учетных записей прокси

Не все подсистемы могут использовать учетные записи прокси. Подсистемы, которые могут использовать учетные записи прокси, включают:

• ActiveX Script
• Операционная система (CmdExec)
• Подсистемы репликации *
• SQL Server Analysis Services Command (XML / A)
• SQL Server Analysis Services Query (MDX)
• Пакет служб интеграции SQL Server
• PowerShell

Подсистема сценариев Transact-SQL (T-SQL) бросается в глаза своим отсутствием.Шаги заданий T-SQL всегда выполняются в контексте безопасности владельца задания, и SSMS не может это изменить. Вы можете вручную настроить шаг задания, используя системную хранимую процедуру sp_add_jobstep , передав параметр database_user_name для олицетворения пользователя базы данных для шага задания, но, конечно, вам потребуются права безопасности, чтобы олицетворять пользователя базы данных для этого.

Вы также заметите, что подсистемы репликации сгруппированы как одна, хотя есть несколько разных подсистем, занимающихся репликацией.Технически вы можете использовать с ними учетную запись прокси, но это расширенная конфигурация, выходящая за рамки этой лестницы.

Когда вы создаете шаг задания, как показано на Рисунке 1 (чтобы продолжить, откройте любое задание и щелкните на странице «Шаги», затем нажмите кнопку «Создать…»), выберите подсистему, такую ​​как PowerShell, которая поддерживает учетные записи прокси. Вы увидите список подходящих учетных записей, которые могут быть олицетворены для поддержки этого шага задания.Если вы еще не создали учетные данные учетной записи прокси, список должен выглядеть так, как показано на экране 1, который представляет собой просто учетную запись безопасности агента SQL Server.

Рисунок 1: Выбор учетной записи прокси для задания Шаг

Вопросы безопасности для учетных записей прокси

Чтобы учетная запись прокси работала правильно, учетная запись должна иметь «Вход в качестве пакетного задания» ( seBatchLogonRight ), назначенный ему администратором Windows (например, в оснастке MMC «Локальная политика безопасности» в разделе «Локальные политики» -> «Назначение прав пользователя»). Без этой привилегии служба агента SQL Server не сможет олицетворять учетную запись для выполнения шага задания.Также важно отметить, что учетные записи прокси не получают автоматически доступ к вашему SQL Server. Если, например, вы хотите использовать шаг задания CmdExec или PowerShell для повторного входа в SQL Server, учетной записи прокси-сервера необходимо явно предоставить вход для входа на ваш SQL Server (или иным образом унаследовать доступ от группы Windows и т. Д.) .

Вы можете создать учетную запись прокси с помощью Transact-SQL или SSMS. Используя Transact-SQL, используется системная хранимая процедура sp_add_proxy . Синтаксис, на который есть ссылка в MSDN (http: // msdn.microsoft.com/en-us/library/ms188763.aspx), это:

 EXEC sp_add_proxy
[@proxy_name =] 'proxy_name',
[@enabled =] is_enabled,
[@description =] 'описание',
        [@credential_name =] 'credential_name',
[@credential_id =] credential_id,
[@proxy_id =] id OUTPUT 

Оставьте поле proxy_name пустым, чтобы прокси-сервер имел то же имя, что и учетные данные. Имя учетных данных должно быть из учетных данных безопасности, которые вы создаете с помощью оператора DDL «CREATE CREDENTIAL», о котором вы можете прочитать по адресу http: // msdn.microsoft.com/en-us/library/ms189522.aspx.

Например, чтобы создать учетную запись прокси для [rw2008r2 \ ProxyDemo] с паролем «Password1» (т. Е. Учетная запись, созданная на вашем локальном компьютере с SQL Server), вы можете запустить код из листинга 1, заменив домен, удостоверение личности и пароль, действующие в вашей среде.

 USE MSDB;
ИДТИ
СОЗДАТЬ УЧЕТНЫЕ ДАННЫЕ [rw2008r2 \ ProxyDemo] с IDENTITY = 'rw2008r2 \ ProxyDemo'
, СЕКРЕТ = 'Пароль1';
Объявить @rc int = 0;
EXEC sp_add_proxy [rw2008r2 \ ProxyDemo], 1, 'Это пример учетной записи прокси',
[rw2008r2 \ ProxyDemo], NULL, @ rc; 

Листинг 1. Создание учетных данных и учетной записи прокси.

Обратите внимание, , что на данный момент у вас есть учетная запись прокси, но она не связана с какими-либо конкретными подсистемами. Если вы развернете папку Proxies в SSMS, а затем папку Unassigned Proxies, вы увидите только что созданную учетную запись прокси-сервера , как показано на рисунке 2 .

Рисунок 2: Неназначенная учетная запись прокси в SSMS

Обратите внимание, что проще использовать SSMS, но это все еще двухэтапный процесс . Сначала необходимо создать учетные данные (разверните папку «Безопасность», затем щелкните правой кнопкой мыши «Учетные данные» и выберите параметр «Новые учетные данные», чтобы открыть диалоговое окно «Новые учетные данные»).В этом примере используйте rw2008r2 \ ProxyGUI в качестве учетной записи с тем же паролем, как показано на рисунке 3.

Рисунок 3. Создание учетных данных в SSMS

Нажмите OK , затем перейдите в папку Proxies в SSMS, щелкните правой кнопкой мыши любую подсистему прокси (или саму папку Proxies) и выберите New Proxy. Введите имя rw2008r2 \ proxygui еще раз, выберите соответствующие учетные данные, введите описание и, при желании, выберите подсистему заданий, с которой будут работать учетные данные (как показано на рисунке 4).Если подсистема не выбрана, прокси появится в папке Неназначенные прокси, как это было при создании прокси с помощью Transact-SQL.

Рисунок 4. Создание новой учетной записи прокси в SSMS

Последний шаг, связывающий учетную запись прокси с подсистемой, выполняется с помощью системной хранимой процедуры sp_grant_proxy_to_subsystem . В предыдущем примере, чтобы назначить учетную запись прокси [rw2008r2 \ ProxyDemo ] подсистеме PowerShell, вы должны запустить:

EXEC sp_grant_proxy_to_subsystem @ proxy_name = N’rw2008r ProxyDemo ‘, @ subsystem_id = 12

Обратите внимание, что список subsystem_id задокументировано в MSDN по адресу http: // msdn.microsoft.com/en-us/library/ms186760.aspx.

Возможно, вы заметили, что в диалоговом окне «Новая учетная запись прокси» есть вкладка «Участники». По умолчанию членов роли сервера sysadmin и, следовательно, принадлежащие им задания имеют доступ к учетным данным прокси-сервера, но это не относится ни к кому другому. Если вы хотите иметь учетные данные прокси-сервера доступа пользователя sysadmin, отличные от (что весьма вероятно, иначе зачем их создавать), тогда вам необходимо предоставить явный доступ для каждого входа в систему, который вы хотите использовать для каждого прокси.Это можно сделать с помощью системной хранимой процедуры s p_grant_login_to_proxy (подробнее см. Http://msdn.microsoft.com/en-us/library/ms187338.aspx) или с помощью SSMS. Откройте прокси-сервер rw2008r2 \ ProxyDemo в папке прокси-сервера PowerShell, а затем щелкните вкладку «Участники». Если вы нажмете «Добавить» (как показано на рисунке 5), вы сможете связать одного или нескольких участников безопасности (логинов) с вашей учетной записью прокси. Как только это будет сделано, любое задание, принадлежащее этому принципалу, теперь может использовать учетную запись прокси.Обратите внимание, что есть третья вкладка — Ссылки. Это покажет вам, какие этапы работы используют учетную запись прокси, если вы хотите изменить или удалить прокси.

Рисунок 5: Связывание учетной записи прокси с участником безопасности (вход в SQL Server)

Использование учетной записи прокси

Теперь пришло время изменить шаг задания, чтобы использовать учетную запись прокси. Если вы следили за этой серией, у вас должна быть работа с именем ShellOut с шагом s2 подсистемы PowerShell.Откройте этот шаг задания и теперь измените поле «Запуск от имени» на учетные данные ProxyDemo (как показано на рисунке 6). Если у вас нет этого шага задания, вы сможете создать копию, как показано на рисунке 6.

Рисунок 6: Обновление шага задания для использования учетной записи прокси

Теперь снова запустите задание и для выполнения этого шага задания вы будете использовать учетную запись прокси, а не служебную учетную запись агента SQL Server. Помните, что ваша учетная запись прокси-сервера должна иметь возможность входить в ваш экземпляр SQL Server, чтобы это работало, поэтому убедитесь, что вы создали учетную запись SQL Server для учетной записи прокси.

Изменение и удаление прокси

Использование SSMS для изменения или удаления прокси интуитивно понятно (откройте диалоговое окно учетной записи прокси и внесите изменения), но для полноты используются следующие операторы Transact-SQL:

Учетные записи прокси агента SQL Server разрешить пользователям системного администратора , отличным от , выполнять критические задачи, выдавая себя за другие учетные данные безопасности Windows, которые имеют права и привилегии, которые в противном случае недоступны этому пользователю на сервере. В сочетании с такими подсистемами, как CmdExec и PowerShell, они позволяют предоставить владельцам заданий агента SQL более низкий уровень привилегий, чем sysadmin .

На следующем уровне мы рассмотрим уникальные особенности заданий плана обслуживания и их отличие от заданий, которые вы создаете сами.

Правильная настройка агента SQL Server

Агент SQL Server — это агент планирования заданий, который поставляется с SQL Server. Его инфраструктура состоит из службы Windows, которая используется для выполнения задач (называемых заданиями, на языке SQL Server), и набора таблиц SQL Server, в которых хранятся метаданные об этих заданиях.Агент может выполнять множество типов заданий по расписанию или по требованию. В этой статье мы рассмотрим некоторые рекомендации по обеспечению безопасности, которым следует следовать при установке и настройке агента SQL Server. Я предполагаю, что у вас уже есть практические знания по настройке и использованию агента SQL Server.

Кто что видит

Обычный запрос, который получают администраторы баз данных, — предоставить группе разработчиков доступ к агенту SQL Server. Как и в случае любого доступа к базе данных, вы должны предоставлять только столько доступа, сколько требуется, из-за неотъемлемых рисков безопасности планировщика задач.

SQL Server содержит 3 фиксированных роли базы данных в базе данных MSDB, что дает администраторам точный контроль над доступом к агенту SQL Server. Узел агента SQL Server в SSMS виден только пользователям одной из этих трех ролей (кроме системных администраторов, которые могут видеть все, независимо от членства в ролях). Вот объяснение ролей в порядке от наиболее строгих к наименее строгим:

• SQLAgentUserRole — пользователям с этой ролью предоставляется доступ на просмотр / редактирование / удаление / выполнение только для принадлежащих им заданий.Пользователи с этой ролью не могут просматривать задания, принадлежащие системным администраторам или пользователям двух других ролей. Предоставьте эту роль, если вы хотите, чтобы пользователи видели только те задания, которые им принадлежат. .
• SQLAgentReaderRole — пользователи с этой ролью получают все привилегии SQLAgentUserRole , то есть они получают доступ к собственным заданиям. В дополнение к этому они также могут просматривать (но не изменять или выполнять) все задания в агенте SQL Server, независимо от владельца. Предоставьте эту роль, если вы хотите, чтобы пользователи могли просматривать , но не выполнять, все задания в системе, но изменять / выполнять только принадлежащие им задания .
• SQLAgentOperatorRole — пользователи с этой ролью получают все привилегии SQLAgentReaderRole . В дополнение к этому они также могут выполнять или включать / отключать любое задание в системе. Однако пользователи с этой ролью могут изменять только собственные задания. Предоставьте эту роль суперпользователям, которые могут просматривать / выполнять все задания в системе.

Всегда начинайте с предоставления пользователям самой строгой роли — SQLAgentUserRole и при необходимости повышайте членство до более высоких ролей.Используйте приведенную ниже таблицу, чтобы определить тип доступа, который вы должны предоставить:

Какой сервисный аккаунт использовать

Ядром инфраструктуры агента SQL Server является служба агента SQL .Это служба Windows, которая отвечает за выполнение различных типов шагов задания, поддерживаемых агентом SQL Server. Учетная запись службы определяет учетную запись Microsoft Windows, используемую для выполнения службы агента SQL.

Вы выбираете учетную запись для службы агента SQL Server с помощью диспетчера конфигурации SQL Server, где можете выбрать один из следующих вариантов:

• Локальная система — это учетная запись NT AUTHORITY \ System на локальном компьютере.Он является членом группы Windows Administrators на локальном компьютере и, следовательно, является членом фиксированной серверной роли SQL Server sysadmin . Поскольку учетная запись является администратором Windows, у нее есть разрешения, превышающие те, которые требуются для запуска агента SQL Server, и поэтому ее не рекомендуется использовать в качестве учетной записи службы.
• Местная служба — не рекомендуется. Имеет минимальные привилегии на локальной машине.
• Сетевая служба — не рекомендуется.Имеет минимальные привилегии на локальной машине.
• Учетная запись домена Windows — Вы также можете выбрать учетную запись домена Windows в качестве учетной записи службы для агента SQL Server. Использование учетной записи домена Windows и предоставление ей необходимых разрешений — лучший способ выбора учетной записи службы. Также рекомендуется, чтобы эта учетная запись , а не , была членом группы администраторов Windows .

Кроме того, учетная запись службы должна быть членом фиксированной серверной роли SQL Server sysadmin на экземпляре SQL Server.

Агент SQL Server также поддерживает прокси, что позволяет ему выполнять процессы в контексте других пользователей Windows. Прокси-серверы подробно рассматриваются далее в этой статье, но с точки зрения безопасности учетная запись службы должна иметь следующие разрешения Windows, чтобы иметь возможность поддерживать прокси:

• Разрешение на вход в качестве службы ( SeServiceLogonRight )
• Разрешение на замену токена уровня процесса ( SeAssignPrimaryTokenPrivilege ) — это разрешение позволяет учетной записи Windows запускать новый процесс под другой учетной записью пользователя.Это разрешение позволяет учетной записи службы агента SQL Server запускать процессы, которые «выполняются от имени» учетных записей пользователей, определенных в прокси-сервере.
• Разрешение на обход поперечной проверки ( SeChangeNotifyPrivilege ) — это разрешение позволяет учетной записи Windows перемещаться по структуре каталогов, даже если учетная запись может не иметь доступа на отдельных уровнях дерева каталогов. Чтобы понять, почему это необходимо, рассмотрим этот пример — агент SQL Server пытается выполнить пакет SSIS, находящийся в общей папке \\ TOP_SECRET \ For_SQL_Agent.dtsx. В этом сценарии учетной записи службы предоставляется доступ только к файлу «For_SQL_Agent.dtsx» и не имеет никакого доступа к папке «TOP_SECRET». Поскольку учетная запись службы агента имеет разрешение на обход обходной проверки, она все еще может перемещаться по структуре каталогов, чтобы добраться до файла .dtsx и выполнить пакет.
• Разрешение на изменение квот памяти для процесса ( SeIncreaseQuotaPrivilege ) — требуется, чтобы агент SQL Server мог настраивать квоты памяти для заданий, интенсивно использующих память.
• Разрешение на вход в систему с использованием типа пакетного входа ( SeBatchLogonRight ) — при выполнении запланированных задач в контексте другого пользователя агент SQL Server сначала создаст новый «сеанс пакетного входа в систему», который запускается в контексте безопасности этого пользователя. . Сеанс пакетного входа в систему — это сеанс, созданный без какого-либо взаимодействия со стороны пользователя, в отличие от «интерактивного» сеанса входа в систему, который создается, когда пользователь физически входит в систему. Это разрешение позволяет агенту SQL Server создать сеанс пакетного входа в систему.

Обратите внимание, что при настройке учетной записи службы для обработки многосерверных заданий необходимо учитывать особые моменты. Вы можете обратиться к документации здесь для получения полного списка необходимых разрешений.

Кто какой работой должен владеть

Владение заданием — важное понятие в агенте SQL Server. Агент SQL Server устанавливает контекст безопасности для выполнения задания в зависимости от роли пользователя, владеющего заданием. По умолчанию агент SQL Server выполняет шаги задания под учетной записью службы агента SQL Server независимо от владельца задания или в контексте учетной записи прокси, как мы увидим позже в этой статье.

Исключением из этого правила являются шаги задания T-SQL, которые выполняются в контексте безопасности владельца задания. Если владелец задания является членом роли sysadmin , то шаг задания выполняется в контексте учетной записи службы агента SQL Server. Распространенная ошибка при настройке заданий — сделать «sa» владельцем задания — это приведет к тому, что все шаги задания T-SQL будут выполняться под учетной записью службы агента SQL, которая является учетной записью системного администратора. Лучшим вариантом будет установить учетную запись, не являющуюся системным администратором, в качестве владельца задания и явно предоставить этой учетной записи только необходимые разрешения базы данных.

Если у вас есть один экземпляр агента SQL Server, на котором размещаются задания для нескольких приложений, вам следует подумать об использовании владения заданием для управления доступом к шагам T-SQL. Каждая группа заданий для приложения должна принадлежать учетной записи, относящейся к этому приложению, которой предоставляется доступ только к объектам базы данных, относящимся к этому приложению. Такой подход предотвратит непреднамеренное изменение заданиями одного приложения объектов базы данных из другого приложения. Контроль доступа для других типов этапов задания (SSIS, репликация и т. Д.) можно принудительно применить с помощью прокси, как мы увидим позже в этой статье.

Запись в файл

Агент SQL Server поддерживает журнал заданий для каждого выполнения задания, который включает время начала и окончания задания, журнал активности задания и т. Д. Существует несколько способов просмотра журнала заданий:

• Щелкните правой кнопкой мыши задание в SSMS и выберите Просмотреть журнал заданий или
• Запрашивая таблицу msdb.dbo.sysjobhistory . Параметр Просмотреть историю заданий Параметр в SSMS выполняет внутренний запрос этой таблицы для получения журнала заданий.

Одна из проблем с таблицей sysjobhistory заключается в том, что она может хранить не более 4000 символов на запись в журнале, поскольку столбец сообщения в таблице определен как nvarchar (4000) . Если это превышено, это может вызвать проблемы с последующими шагами задания, потому что ошибки будут потеряны. Этот простой тест проиллюстрирует суть дела:

В приведенном выше t-SQL мы выполняем команду DBCC CHECKALLOC для проверки согласованности выделения дискового пространства для базы данных msdb . Команда также распечатывает сводку распределения для каждого индекса и раздела в каждом файле, которая превышает ограничение в 4000 символов для большинства баз данных. В конце команды DBCC шаг задания в нашем тесте намеренно завершается с ошибкой деления на ноль. После выполнения задание, очевидно, завершится ошибкой, но вы никогда не увидите ошибку деления на ноль в истории заданий, потому что сообщение об ошибке усекается до 4000 символов.

Чтобы этого не произошло, всегда рекомендуется записывать выходные данные задания в файл. Вы можете установить этот параметр на вкладке Advanced на этапе задания, как показано на рисунке. Установка этого параметра приведет к записи всего вывода вашего задания в текстовый файл и позволит вам просматривать весь журнал без ограничения количества символов.

При выборе этого параметра убедитесь, что учетная запись службы агента SQL имеет права записи в файл журнала. Существует также возможность вместо этого вести журнал в таблице, которая в основном записывает ту же запись журнала в msdb.dbo.sysjobstepslogs вместо файла.

Если вы решили записывать вывод журнала в файл или таблицу, рекомендуется настроить механизм архивирования для архивирования файла журнала или таблицы — невыполнение этого может привести к ситуациям, когда файл журнала или таблица израсходованы. все ваше дисковое пространство и отключает весь ваш экземпляр SQL Server.

Использование предупреждений

Агент SQL Server предоставляет систему предупреждений, которая позволяет администраторам баз данных настраивать исходящие предупреждения для различных системных событий.Оповещение можно использовать для уведомления администраторов базы данных об определенных состояниях ошибки. Он также может выполнять другие задания агента SQL Server, чтобы устранить проблему или предпринять другие действия по исправлению.

Настройка предупреждений об ошибках

Вы можете настроить оповещения для отправки уведомлений при возникновении определенных ошибок в системе. Оповещения могут срабатывать, когда:

• Возникает ошибка с предопределенным номером ошибки
• Возникает ошибка с предопределенной серьезностью
• Возникает ошибка, содержащая предопределенный текст

Агент SQL Server периодически считывает журнал приложений Windows и проверяет, произошла ли ошибка, удовлетворяющая одному из вышеуказанных критериев.Если он находит запись, он инициирует действие, указанное на вкладке Response предупреждения.

Ответ позволяет уведомить администратора базы данных о ситуации по электронной почте. Или, если проблема может быть устранена, предупреждение можно настроить для выполнения другого задания агента SQL Server для устранения проблемы.

Примечание — Важно помнить, что предупреждения агента SQL Server запускаются только для ошибок, которые заносятся в журнал приложений Windows.Если вы настроите предупреждения для ошибок, которые не регистрируются в журнале Windows (например, ошибка деления на ноль), ваше предупреждение никогда не сработает. Если вы явно хотите, чтобы ошибка регистрировалась в журнале приложения Windows, вы можете вызвать RAISERROR с опцией LOG , которая будет регистрировать ошибку и запускать любые предупреждения, настроенные для прослушивания конкретной ошибки.

Лучше всего настроить предупреждения для ошибок с уровнем серьезности от 19 до 25. Ошибки с серьезностью выше 19 всегда записываются в журнал событий, и предупреждение должно быть настроено для уведомления администратора (ов) базы данных.

Настройка предупреждений о производительности

Еще одна полезная функция агента SQL Server — возможность рассылать предупреждения, когда затрагиваются определенные счетчики производительности. Оповещения можно настроить на срабатывание, когда определенные значения счетчиков производительности превышают / равны / опускаются ниже предела. Например, на прилагаемом снимке экрана показано предупреждение, настроенное для срабатывания, когда размер файла журнала tempdb превышает 1 ГБ. На экране ответа вы можете выполнить задание агента SQL Server, чтобы усечь журнал и устранить проблему.

ИСПОЛЬЗОВАНИЕ ПРОКСИ

Агент SQL Server использует прокси для определения контекста безопасности для шагов задания. По сути, прокси — это объект, который предоставляет агенту SQL Server доступ к сохраненным учетным данным для пользователя Windows. При запуске шага задания, настроенного на использование прокси, агент SQL Server олицетворяет учетные данные, определенные в прокси, а затем запускает шаг задания с использованием этого контекста безопасности.

Агент SQL Server использует подсистемы для определения контекста безопасности для прокси.По умолчанию агент SQL Server предоставляет 11 подсистем, как показано на рисунке. Каждая подсистема представляет собой тип внешнего процесса, который может выполняться на шаге задания.

По умолчанию все шаги задания T-SQL в агенте SQL Server выполняются с использованием учетной записи, которой принадлежит задание. Для шагов задания, которые выполняют процессы в одной из других подсистем (например, SSIS, PowerShell и т. Д.), Учетной записью выполнения по умолчанию является учетная запись выполнения агента SQL Server. Для шагов задания в подсистемах T-SQL , отличных от , учетной записи службы агента SQL Server также должен быть предоставлен доступ к этим другим подсистемам.Это почти всегда плохая практика — это значительно увеличивает риск безопасности, если учетная запись службы скомпрометирована.

Лучшим вариантом является настройка прокси для каждой подсистемы и предоставление соответствующих привилегий учетной записи прокси. Когда прокси-серверу предоставляется доступ к подсистеме, он становится доступным для всех этапов задания, использующих эту подсистему.

Создание прокси для выполнения пакета SSIS

Вы можете выполнить следующие действия, чтобы создать прокси для подсистемы SSIS и использовать его на этапах задания.

• Создайте учетные данные — в SSMS разверните узел Security и щелкните правой кнопкой мыши Credentials . Выберите Новые учетные данные , чтобы открыть диалоговое окно новых учетных данных, и введите имя учетных данных. В поле Identity введите имя учетной записи Windows, которую вы будете использовать для прокси — это учетная запись, которую агент SQL Server будет использовать при подключении к внешней подсистеме. Введите и повторно введите пароль учетной записи, чтобы создать учетные данные.
• Создайте прокси — в SSMS разверните узел Прокси в Агент SQL Server . Щелкните правой кнопкой мыши узел SSIS Package Execution и выберите New Proxy , чтобы открыть диалоговое окно нового прокси. Введите имя прокси. В поле Имя учетных данных введите имя учетных данных, созданных ранее. В списке Активен для следующих подсистем проверьте подсистемы, в которых можно использовать прокси-сервер — сначала необходимо убедиться, что учетные данные, используемые прокси-сервером, имеют доступ к выбранным подсистемам.На приведенном выше снимке экрана я добавил прокси в подсистему пакета служб интеграции SQL Server .
• Создайте задание — щелкните правой кнопкой мыши узел Jobs под агентом SQL Server в SSMS, чтобы открыть диалоговое окно New Job. Введите имя задания и перейдите на вкладку Steps . На вкладке Steps добавьте новый шаг задания, щелкнув New, и введите имя шага задания. В раскрывающемся списке Type выберите SQL Server Integration Services Package , поскольку мы добавили прокси в подсистему SSIS.В раскрывающемся списке Run As вы должны автоматически увидеть две учетные записи — учетную запись службы агента SQL Server и только что созданный прокси. Затем вы можете выбрать пакет по вашему выбору из каталога SSIS или файловой системы. После того, как вы выбрали пакет SSIS, нажмите Ok в диалоговых окнах New Job Step и New Job , чтобы создать задание.

Когда вы выполняете созданное нами задание, агент SQL Server фактически олицетворяет учетную запись, используемую прокси, и выполняет пакет SSIS в контексте безопасности олицетворенной учетной записи.

Заключение

В этой статье мы обсудили последствия для безопасности при выборе учетной записи службы для агента SQL Server и рассмотрели разрешения безопасности, которые должны быть предоставлены учетной записи службы. Мы также углубились в настройку видимости заданий для разных пользователей, добавив их к одной из 3 фиксированных ролей базы данных в MSDB, а также коснулись важности владельца задания. Мы также рассмотрели параметры, доступные для ведения журнала в агенте SQL Server, и то, как это позволяет превысить ограничение в 4000 символов в сообщениях журнала.Мы рассмотрели различные типы предупреждений, которые можно настроить в агенте SQL Server. Наконец, мы рассмотрели шаги по настройке прокси и настройке ваших заданий для использования прокси.

Я надеюсь, что эти советы позволят вам создать безопасную и эффективную среду агента SQL Server.

Определение прокси

Что такое прокси?

Доверенное лицо — это агент, имеющий законные полномочия действовать от имени другой стороны или в формате, который позволяет инвестору голосовать без физического присутствия на собрании.Акционеры, не присутствующие на годовом общем собрании компании (ГОСА), могут голосовать своими акциями по доверенности, разрешив кому-либо голосовать от их имени, или они могут голосовать по почте.

Ключевые выводы

• Доверенное лицо — это агент, имеющий законные полномочия действовать от имени другой стороны.
• Доверенное лицо также может позволить инвестору голосовать без физического присутствия на годовом собрании акционеров.
• Руководство обеспечивает полное представительство интересов собственности, поощряя акционеров, которые не могут присутствовать на ежегодных собраниях, голосовать по доверенности.
• Заявление о доверенности — это пакет документов, содержащий информацию, необходимую для информированного голосования по вопросам, стоящим перед компанией.

Как работает прокси?

Хотя голосование по доверенности часто является вариантом, руководство поощряет акционеров голосовать лично. Если акционер не может присутствовать, другой вариант — голосование по доверенности. Для того, чтобы лицо действовало в качестве доверенного лица для физического лица, может потребоваться официальная документация, в которой указывается, в какой степени доверенное лицо может выступать от имени лица.Официальная доверенность может потребоваться для предоставления разрешений на выполнение определенных действий. Акционер подписывает доверенность и предоставляет официальные полномочия назначенному физическому лицу голосовать от имени указанного акционера на годовом собрании.

Доверенное лицо не может голосовать, если акционер опаздывает и решает проголосовать за себя.

Заявления прокси

Перед годовым собранием акционеров все акционеры получают пакет информации, содержащий доверенность.Документы по доверенности предоставляют акционерам информацию, необходимую для проведения информированного голосования по вопросам, важным для деятельности компании. Заявление о доверенности позволяет акционерам и потенциальным инвесторам получить представление о корпоративном управлении и управлении компанией. Доверенность раскрывает важную информацию по вопросам повестки дня годового собрания, перечисляет квалификацию менеджмента и членов совета директоров, служит бюллетенем для выборов в совет директоров, перечисляет крупнейших акционеров компании и предоставляет подробную информацию о вознаграждении руководящего состава. .Есть предложения и от менеджмента, и от акционеров.

Заявления по доверенности должны подаваться в регулирующие органы, такие как Комиссия по ценным бумагам и биржам (SEC) в США, ежегодно до ежегодного собрания компании.

При удаленном голосовании по доверенности акционеры могут иметь право голосовать по почте, телефону или через Интернет. Акционеры используют информацию, содержащуюся в доверенностях, для помощи в процессе принятия решений.

Любой желающий может найти заявление о доверенности публичной компании через веб-сайт SEC под названием «DEF 14A.«

Преимущества прокси

Руководство гарантирует, что интересы собственности полностью представлены, часто поощряя акционеров, которые не могут присутствовать на ежегодных собраниях, голосовать по доверенности. Информация, представленная во время ежегодных встреч, часто влияет на будущее направление компании, что может напрямую повлиять на стоимость доли акционера в компании.

Пример прокси в реальном мире

Ниже представлена ​​часть материалов для годового собрания акционеров Corning Inc.в 2016 году.

• Доверенное лицо, назначенное корпорации, выделено синим цветом, показывая, что голос акционера может быть отдан доверенным лицом.
• Как отмечено в заявлении, выделенном жирным шрифтом, если не будет сделано никаких выборов, назначенные члены правления будут проголосованы доверенным лицом.