最近有点大意,同事需要查看作业的权限,"理所当然"就将对应登录名添加到SQLAgentReaderRole角色。

msdb的SQLAgentReaderRole数据库角色的成员继承SQLAgentUserRole的权限,同时还有使用多服务器作业的能力。你还可以查看服务器上所有的作业,而不只是你自己的作业。对于那些不是你创建的作业,你只能查看(你可以控制你创建的作业)。

既然SQLAgentReaderRole角色有"合适"的权限,直接利用角色有何不妥?
在不做其他限制的情况下,添加用户到SQLAgentReaderRole角色,通过SSMS连接在对象资源管理器中便可查看所有作业。
如果用户没有[VIEW ANY DATABASE]的权限,对象资源管理器中它看不了数据库列表,也看不了作业。如果只提供一个类似查询窗口页面,用户输入SQL语句执行返回结果。

use [master]

GO

DENY VIEW ANY DATABASE TO [登录名或服务器角色]

GO

use [master]

GO

REVOKE VIEW ANY DATABASE TO [登录名或服务器角色]

GO

在后面两种情况下,我们添加了SQLAgentReaderRole角色,却看不了作业信息。真的看不了吗?
不用急,我们先看下在GUI界面点击展开作业所调用的语句:

跟踪脚本发现它从msdb.dbo.sysjobs_view视图获取作业信息。
msdb.dbo.sysjobs_view视图定义如下:

CREATE VIEW sysjobs_view

AS

SELECT jobs.job_id,

       svr.originating_server,

       jobs.name,

       jobs.enabled,

       jobs.description,

       jobs.start_step_id,

       jobs.category_id,

       jobs.owner_sid,

       jobs.notify_level_eventlog,

       jobs.notify_level_email,

       jobs.notify_level_netsend,

       jobs.notify_level_page,

       jobs.notify_email_operator_id,

       jobs.notify_netsend_operator_id,

       jobs.notify_page_operator_id,

       jobs.delete_level,

       jobs.date_created,

       jobs.date_modified,

       jobs.version_number,

       jobs.originating_server_id,

       svr.master_server

FROM msdb.dbo.sysjobs as jobs

  JOIN msdb.dbo.sysoriginatingservers_view as svr

    ON jobs.originating_server_id = svr.originating_server_id

  --LEFT JOIN msdb.dbo.sysjobservers js ON jobs.job_id = js.job_id

WHERE (owner_sid = SUSER_SID())

   OR (ISNULL(IS_SRVROLEMEMBER(N'sysadmin'), 0) = 1)

   OR (ISNULL(IS_MEMBER(N'SQLAgentReaderRole'), 0) = 1)

   OR ( (ISNULL(IS_MEMBER(N'TargetServersRole'), 0) = 1) AND

        (EXISTS(SELECT * FROM msdb.dbo.sysjobservers js

         WHERE js.server_id <> 0 AND js.job_id = jobs.job_id))) -- filter out local jobs

注意WHERE条件:当用户是sysadmin或SQLAgentReaderRole或TargetServersRole角色成员时条件永远成立,返回所有作业;否则仅返回所有者是当前用户的作业。
检查角色默认授予了哪些权限:

granteename    objectname    columnname    class_desc    permission_name    state_desc

SQLAgentOperatorRole    sp_enum_login_for_proxy    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_alert    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_notification    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_targetserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_purge_jobhistory    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sysalerts    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentOperatorRole    sysnotifications    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentOperatorRole    sysoperators    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sp_add_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_addtask    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_attach_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_check_for_owned_jobs    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_check_for_owned_jobsteps    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobsteplog    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_detach_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_droptask    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_enum_sqlagent_subsystems    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_job_alerts    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_jobstep_db_username    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_sqlagent_properties    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_category    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobactivity    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobcount    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_full    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_sem    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_summary    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobs_in_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobsteplog    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_operator    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_proxy    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_maintplan_subplans_by_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_notify_operator    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_start_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_stop_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_uniquetaskname    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    syscategories    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sysjobs_view    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sysschedules_localserver_view    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

权限分配来看,SQLAgentUserRole分配了基础权限(视图、存储过程中有对角色的判定限制操作);SQLAgentReaderRole没有额外权限;SQLAgentOperatorRole额外有警报、通告、操作员权限。
SQLAgentReaderRole、SQLAgentOperatorRole是SQLAgentUserRole的角色成员,SQLAgentOperatorRole是SQLAgentReaderRole的角色成员。
SQLAgentReaderRole对视图msdb.dbo.sysjobs_view有SELECT权限(继承SQLAgentUserRole的权限),GUI界面操作时从视图获取数据。所以添加到此角色后,展开作业就能返回所有作业。
我们用语句查询作业时,习惯直接从msdb.dbo.sysjobs这类表入手。但SQLAgentUserRole角色并没有对此类表有SELECT权限,因此常规语句会报拒绝对对象的SELECT权限。
出现问题的根源是,自己没有深入了解本质,自己以为SQLAgentUserRole角色直接在表上有权限,未曾深入查看它的权限集中在对存储过程的执行和视图的查询。
很多时候我们使用习以为常且单方面是正确的方式操作,最终却没得到预期的结果,这时我们就要检查操作的是否是同一对象。

添加到SQLAgentReaderRole角色后报拒绝SELECT权限的更多相关文章

  1. MSSQL 2012 拒绝了对对象 'extended_properties' (数据库 'mssqlsystemresource',架构 'sys')的 SELECT 权限

    查看数据库的表的时候报如下错误: MSSQL 拒绝了对对象 ) 解决方法: 在数据库里相应的用户权限中,把db_denydatareader的复选框的勾去掉.db_denydatareader是拒绝访 ...

  2. 拒绝了对对象 'data'(数据库 'xxx',所有者 'dbo')的 SELECT 权限

    拒绝了对对象 'data'(数据库 'xxx',所有者 'dbo')的 SELECT 权限解决的方法:1>在数据库里相应的用户权限中,把db_denydatareader的复选框的勾去掉.很多初 ...

  3. 【Azure 环境】由为存储账号(Storage Account)拒绝分配权限而引出的Azure 蓝图(Blueprint)使用问题

    问题描述 当打开Azure存储账号(Storage Account)门户页面时,从 "访问控制(标识和访问管理)" 页面中发现有"拒绝分配"的功能,所以就思考, ...

  4. Gitlab的develop角色的人没有权限无法提交的问题解决方案

    问题 事情是这样的,最近跟几位同事搞一些东西,打算在Gitlab上建一个仓库,然后协同开发. 我建好仓库,将其他几位同事添加进来,角色分配为Develop. 之后提交初始代码到master分支后,他们 ...

  5. 自定义控制台程序导出角色对实体的权限为Excel文件

    本人微信公众号:微软动态CRM专家罗勇 ,回复282或者20181116可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 先上 ...

  6. SQL Server 用角色(Role)管理数据库权限

    当数据库越来越多,连接到数据库的应用程序,服务器,账号越来越多的时候,为了既能达到满足账号操作数据权限需求,又不扩大其操作权限,保证数据库的安全性,有时候需要用角色来参与到权限管理中,通过角色做一个权 ...

  7. WordPress用户角色与用户能力/权限

    WordPress用户角色(user roles)是WP或者其它插件增加的,可以让网站管理员(网站管理员也是一种角色)来方便的管理用户的权限/能力(Capabilities,一般情况下,一种角色不止有 ...

  8. 如何重置Magento管理用户、角色和资源的权限

    场景1:所有的资源权限被设置为管理角色 步骤1:获取当前的管理角色详细信息 SELECT * FROM admin_role WHERE role_name = 'Administrators' /* ...

  9. AWS EKS 添加IAM用户角色

    作者:SRE运维博客 博客地址: https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211203931498/ 相关话题:https://ww ...

随机推荐

  1. Power BI FAQ

    关于Power BI,最近一直想写点什么,但是也想不到写什么.直到前几天,有个朋友在qq加我,问了我好几个问题,我发现都是一些很有代表性的问题,所以都记录了下来,特意整理了一下分享出来,希望能帮到更多 ...

  2. CompletionService/ExecutorCompletionService/线程池/concurrent包

    线程池 线程池的基本思想:线程频繁的创建.销毁会极大地占用系统资源,为了减少系统在创建销毁线程时的开销,线程池应运而生.线程池包括多个已创建的线程,当有任务要在新线程中执行时,将任务提交给线程池,线程 ...

  3. 《DSP using MATLAB》示例Example5.8

    代码: n = [0:1:99]; x = cos(0.48*pi*n) + cos(0.52*pi*n); n1 = [0:1:9]; y1 = x(1:1:10); % N = 10 figure ...

  4. InstallShield Limited Edition制作安装文件

    由于InstallShield Limited Edition for Visual Studio的教程.资料太少,所以我今天才决定写这个文章,专门针对C#项目打包,包括打包集成Microsoft . ...

  5. 【Oracle】oracle取最大值和最小值的几个方法汇总

    (1)oracle使用keep分析函数取最值记录 -- 取工资sal最大的雇员姓名及其工资,以及工资sal最少的雇员姓名及其工资 select deptno, empno, ename, sal, m ...

  6. Java_动态编译总结

    不多说直接上代码: 动态编译的主类: package com.lkb.autoCode.util; import com.lkb.autoCode.constant.AutoCodeConstant; ...

  7. sqlserver2008 函数1

    SQL2008 表达式:是常量.变量.列或函数等与运算符的任意组合. 1. 字符串函数 函数 名称 参数 示例 说明 ascii(字符串表达式) select ascii('abc') 返回 97 返 ...

  8. HTLM5表单

    1.HTML5占位符文本   使用placeholder可以给文本框,搜索框添加提示性文本 <input type="text" name="url" p ...

  9. OpenERP ORM 对象方法列表

    OpenERP对象支持的字段类型有,基础类型:char, text, boolean, integer, float, date, time, datetime, binary:复杂类型:select ...

  10. HDU1010 DFS+剪枝

    Tempter of the Bone Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Othe ...