最近有点大意,同事需要查看作业的权限,"理所当然"就将对应登录名添加到SQLAgentReaderRole角色。

msdb的SQLAgentReaderRole数据库角色的成员继承SQLAgentUserRole的权限,同时还有使用多服务器作业的能力。你还可以查看服务器上所有的作业,而不只是你自己的作业。对于那些不是你创建的作业,你只能查看(你可以控制你创建的作业)。

既然SQLAgentReaderRole角色有"合适"的权限,直接利用角色有何不妥?
在不做其他限制的情况下,添加用户到SQLAgentReaderRole角色,通过SSMS连接在对象资源管理器中便可查看所有作业。
如果用户没有[VIEW ANY DATABASE]的权限,对象资源管理器中它看不了数据库列表,也看不了作业。如果只提供一个类似查询窗口页面,用户输入SQL语句执行返回结果。

use [master]

GO

DENY VIEW ANY DATABASE TO [登录名或服务器角色]

GO

use [master]

GO

REVOKE VIEW ANY DATABASE TO [登录名或服务器角色]

GO

在后面两种情况下,我们添加了SQLAgentReaderRole角色,却看不了作业信息。真的看不了吗?
不用急,我们先看下在GUI界面点击展开作业所调用的语句:

跟踪脚本发现它从msdb.dbo.sysjobs_view视图获取作业信息。
msdb.dbo.sysjobs_view视图定义如下:

CREATE VIEW sysjobs_view

AS

SELECT jobs.job_id,

       svr.originating_server,

       jobs.name,

       jobs.enabled,

       jobs.description,

       jobs.start_step_id,

       jobs.category_id,

       jobs.owner_sid,

       jobs.notify_level_eventlog,

       jobs.notify_level_email,

       jobs.notify_level_netsend,

       jobs.notify_level_page,

       jobs.notify_email_operator_id,

       jobs.notify_netsend_operator_id,

       jobs.notify_page_operator_id,

       jobs.delete_level,

       jobs.date_created,

       jobs.date_modified,

       jobs.version_number,

       jobs.originating_server_id,

       svr.master_server

FROM msdb.dbo.sysjobs as jobs

  JOIN msdb.dbo.sysoriginatingservers_view as svr

    ON jobs.originating_server_id = svr.originating_server_id

  --LEFT JOIN msdb.dbo.sysjobservers js ON jobs.job_id = js.job_id

WHERE (owner_sid = SUSER_SID())

   OR (ISNULL(IS_SRVROLEMEMBER(N'sysadmin'), 0) = 1)

   OR (ISNULL(IS_MEMBER(N'SQLAgentReaderRole'), 0) = 1)

   OR ( (ISNULL(IS_MEMBER(N'TargetServersRole'), 0) = 1) AND

        (EXISTS(SELECT * FROM msdb.dbo.sysjobservers js

         WHERE js.server_id <> 0 AND js.job_id = jobs.job_id))) -- filter out local jobs

注意WHERE条件:当用户是sysadmin或SQLAgentReaderRole或TargetServersRole角色成员时条件永远成立,返回所有作业;否则仅返回所有者是当前用户的作业。
检查角色默认授予了哪些权限:

granteename    objectname    columnname    class_desc    permission_name    state_desc

SQLAgentOperatorRole    sp_enum_login_for_proxy    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_alert    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_notification    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_targetserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_purge_jobhistory    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sysalerts    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentOperatorRole    sysnotifications    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentOperatorRole    sysoperators    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sp_add_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_addtask    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_attach_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_check_for_owned_jobs    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_check_for_owned_jobsteps    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobsteplog    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_detach_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_droptask    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_enum_sqlagent_subsystems    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_job_alerts    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_jobstep_db_username    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_sqlagent_properties    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_category    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobactivity    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobcount    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_full    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_sem    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_summary    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobs_in_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobsteplog    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_operator    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_proxy    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_maintplan_subplans_by_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_notify_operator    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_start_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_stop_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_uniquetaskname    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    syscategories    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sysjobs_view    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sysschedules_localserver_view    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

权限分配来看,SQLAgentUserRole分配了基础权限(视图、存储过程中有对角色的判定限制操作);SQLAgentReaderRole没有额外权限;SQLAgentOperatorRole额外有警报、通告、操作员权限。
SQLAgentReaderRole、SQLAgentOperatorRole是SQLAgentUserRole的角色成员,SQLAgentOperatorRole是SQLAgentReaderRole的角色成员。
SQLAgentReaderRole对视图msdb.dbo.sysjobs_view有SELECT权限(继承SQLAgentUserRole的权限),GUI界面操作时从视图获取数据。所以添加到此角色后,展开作业就能返回所有作业。
我们用语句查询作业时,习惯直接从msdb.dbo.sysjobs这类表入手。但SQLAgentUserRole角色并没有对此类表有SELECT权限,因此常规语句会报拒绝对对象的SELECT权限。
出现问题的根源是,自己没有深入了解本质,自己以为SQLAgentUserRole角色直接在表上有权限,未曾深入查看它的权限集中在对存储过程的执行和视图的查询。
很多时候我们使用习以为常且单方面是正确的方式操作,最终却没得到预期的结果,这时我们就要检查操作的是否是同一对象。

添加到SQLAgentReaderRole角色后报拒绝SELECT权限的更多相关文章

  1. MSSQL 2012 拒绝了对对象 'extended_properties' (数据库 'mssqlsystemresource',架构 'sys')的 SELECT 权限

    查看数据库的表的时候报如下错误: MSSQL 拒绝了对对象 ) 解决方法: 在数据库里相应的用户权限中,把db_denydatareader的复选框的勾去掉.db_denydatareader是拒绝访 ...

  2. 拒绝了对对象 'data'(数据库 'xxx',所有者 'dbo')的 SELECT 权限

    拒绝了对对象 'data'(数据库 'xxx',所有者 'dbo')的 SELECT 权限解决的方法:1>在数据库里相应的用户权限中,把db_denydatareader的复选框的勾去掉.很多初 ...

  3. 【Azure 环境】由为存储账号(Storage Account)拒绝分配权限而引出的Azure 蓝图(Blueprint)使用问题

    问题描述 当打开Azure存储账号(Storage Account)门户页面时,从 "访问控制(标识和访问管理)" 页面中发现有"拒绝分配"的功能,所以就思考, ...

  4. Gitlab的develop角色的人没有权限无法提交的问题解决方案

    问题 事情是这样的,最近跟几位同事搞一些东西,打算在Gitlab上建一个仓库,然后协同开发. 我建好仓库,将其他几位同事添加进来,角色分配为Develop. 之后提交初始代码到master分支后,他们 ...

  5. 自定义控制台程序导出角色对实体的权限为Excel文件

    本人微信公众号:微软动态CRM专家罗勇 ,回复282或者20181116可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 先上 ...

  6. SQL Server 用角色(Role)管理数据库权限

    当数据库越来越多,连接到数据库的应用程序,服务器,账号越来越多的时候,为了既能达到满足账号操作数据权限需求,又不扩大其操作权限,保证数据库的安全性,有时候需要用角色来参与到权限管理中,通过角色做一个权 ...

  7. WordPress用户角色与用户能力/权限

    WordPress用户角色(user roles)是WP或者其它插件增加的,可以让网站管理员(网站管理员也是一种角色)来方便的管理用户的权限/能力(Capabilities,一般情况下,一种角色不止有 ...

  8. 如何重置Magento管理用户、角色和资源的权限

    场景1:所有的资源权限被设置为管理角色 步骤1:获取当前的管理角色详细信息 SELECT * FROM admin_role WHERE role_name = 'Administrators' /* ...

  9. AWS EKS 添加IAM用户角色

    作者:SRE运维博客 博客地址: https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211203931498/ 相关话题:https://ww ...

随机推荐

  1. 【Java EE 学习 16 上】【dbcp数据库连接池】【c3p0数据库连接池】

    一.回顾之前使用的动态代理的方式实现的数据库连接池: 代码: package day16.utils; import java.io.IOException; import java.lang.ref ...

  2. Redis相关

    Redis 持久化 1 why 数据需要持久化,当内存数据库使用的情况 防止缓存失效时候的雪崩效应 2 how 两种方式,快照和日志(aof)方式,各有优缺点. Redis的缓存失效策略 1 what ...

  3. CentOS 安装 Zend Guard Loader

    说明:PHP5.3以上的版本不再支持Zend Optimizer,已经被全新的 Zend Guard Loader 取代,下面是安装Zend Guard具体步骤,以下操作均在终端命令行执行 在 Zen ...

  4. HTML 表

    表格: <table></table> 插入一个表格 <tr></tr> 代表一行 其中插入<td></td>单元格       ...

  5. 修改tomcat服务器banner的方法

    对于工作中经常使用tomcat的童鞋来说,已经很习惯地看到tomcat看到下图: 但是在实际场景中,这个Banner给入侵者提供了一定的指示作用.为了安全起见,要求更改这个信息,以起到一定的迷惑作用. ...

  6. Linux 查杀病毒的常见命令

    1. 查看异常连接的网络端口及其对应的相应的进程 netstat -anlp | grep EST 2.看下相关的进程ID对应的可执行文件的位置 ps 2393 可以看到进程的可执行文件在哪? 3.临 ...

  7. iSight集成Adams/View:Simcode

    虽然iSight有Adams/View接口,但对Adams的版本有限制.下面使用iSight的simcode,就可以支持任意版本的Adams了. Adams模型如下: 1. 编写cmd文件 file ...

  8. WSDL项目----操作和请求

    至于现在你只看服务相关的特性,让我们尝试更多的操作和相应的请求. 操作 每个基于WSDL服务公开的操作包括一个请求和响应消息格式(可选). soapUI服务中的动作显示为节点在项目导航器的服务下 在s ...

  9. 搭把手教美工妹妹如何通过升级SSD提升电脑性能

    -----by LinHan 不单单适用于妹子,我这名的意思的妹子也能看懂. 以下教程依据实践和部分互联网资料总结得出,向博客园, CSDN的前辈们致谢:同时,如有说的不正确或有不到位的地方,麻烦指出 ...

  10. ZeroMQ接口函数之 :zmq_z85_decode – 从一个用Z85算法生成的文本中解析出二进制密码

    ZeroMQ 官方地址 :http://api.zeromq.org/4-0:zmq_z85_decode zmq_z85_decode(3)         ØMQ Manual - ØMQ/4.1 ...