Benötigt das SQL Server Agent-Konto die Berechtigung sysadmin?

7

Ich habe das sp_blitz-Skript von Brent Ozar ausgeführt , und eines der Dinge, über die es sich beschwert, ist, dass mein SQL Server-Agent-Konto über die Berechtigung sysadmin verfügt. Ich habe die Sysadmin-Berechtigung entfernt, aber dann wurde der Agent nicht gestartet. (Siehe Bild unten). Das Ereignisprotokoll enthält nichts Besonderes. Wenn ich die Sysadmin-Berechtigung wiederherstelle, startet der Agent ohne Schwierigkeiten.

Geben Sie hier die Bildbeschreibung ein

Mein Konto ist ein verwaltetes Dienstkonto. Keines der anderen von mir verwendeten verwalteten Dienstkonten (eines zum Ausführen von Berichtsdiensten und eines zum Ausführen des SQL-Dienstes) verfügt über die Berechtigung sysadmin.

Ist die Sysadmin-Berechtigung tatsächlich erforderlich? Wenn nicht, welche Mindestberechtigungen benötigt dieses Konto?

sql-server  sql-server-2012  permissions  sql-server-agent 
Mansfield
quelle
1
Für diejenigen, die nicht mit sp_Blitz vertraut sind, lautet die Überprüfung, über die das OP spricht, brentozar.com/blitz/security-sysadmins . Als Benachrichtigung wird nach Mitgliedern der festen Serverrolle sysadmin gesucht. Es ist nicht unbedingt falsch, wenn Benutzer über einen Systemadministratorzugriff verfügen, aber zu wissen, wer eine Datenbank löschen kann, ist eine gute Information und möglicherweise eine Frage, warum sie diesen Zugriff haben.
RubberChickenLeader
2
Aus diesem Grund müssen Sie wissen, welche Änderungen Sie vornehmen, bevor Sie nur zufällig Systemänderungen vornehmen, unabhängig davon, welches Skript die Änderung empfiehlt.
Mrdenny
1
@ Mrdenny Es war nur eine Testbox, also kein Schaden angerichtet :)
Mansfield

Antworten:

5

Per BOL: Konfigurieren von Windows-Dienstkonten und -Berechtigungen


Anmeldung und Berechtigungen des SQL Server-Agenten Die SID pro Dienst des SQL Server-Agent-Dienstes wird als Datenbankmodul-Anmeldung bereitgestellt. Die SID-Anmeldung pro Dienst ist Mitglied der festen Serverrolle sysadmin.

1
Beachten Sie, dass es sich in keiner Weise um einen Windows- oder Domänenadministrator handeln sollte. nur ein SQL Server-Systemadministrator.
Anti-Schwachkennwörter
6

Neben Shawns Antwort lautet das Thema "Online-Bücher" mit dem Titel " Konto für den SQL Server-Agentendienst auswählen" außerdem:

Das Konto, unter dem der SQL Server-Agentendienst ausgeführt wird, muss Mitglied der folgenden SQL Server-Rollen sein:

  • Das Konto muss Mitglied der festen Serverrolle sysadmin sein .

  • Um die Multiserver-Jobverarbeitung verwenden zu können, muss das Konto Mitglied der msdb-Datenbankrolle TargetServersRole auf dem Masterserver sein .

Max Vernon
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.