最近有点大意,同事需要查看作业的权限,"理所当然"就将对应登录名添加到SQLAgentReaderRole角色。

msdb的SQLAgentReaderRole数据库角色的成员继承SQLAgentUserRole的权限,同时还有使用多服务器作业的能力。你还可以查看服务器上所有的作业,而不只是你自己的作业。对于那些不是你创建的作业,你只能查看(你可以控制你创建的作业)。

既然SQLAgentReaderRole角色有"合适"的权限,直接利用角色有何不妥?
在不做其他限制的情况下,添加用户到SQLAgentReaderRole角色,通过SSMS连接在对象资源管理器中便可查看所有作业。
如果用户没有[VIEW ANY DATABASE]的权限,对象资源管理器中它看不了数据库列表,也看不了作业。如果只提供一个类似查询窗口页面,用户输入SQL语句执行返回结果。

use [master]

GO

DENY VIEW ANY DATABASE TO [登录名或服务器角色]

GO

use [master]

GO

REVOKE VIEW ANY DATABASE TO [登录名或服务器角色]

GO

在后面两种情况下,我们添加了SQLAgentReaderRole角色,却看不了作业信息。真的看不了吗?
不用急,我们先看下在GUI界面点击展开作业所调用的语句:

跟踪脚本发现它从msdb.dbo.sysjobs_view视图获取作业信息。
msdb.dbo.sysjobs_view视图定义如下:

CREATE VIEW sysjobs_view

AS

SELECT jobs.job_id,

       svr.originating_server,

       jobs.name,

       jobs.enabled,

       jobs.description,

       jobs.start_step_id,

       jobs.category_id,

       jobs.owner_sid,

       jobs.notify_level_eventlog,

       jobs.notify_level_email,

       jobs.notify_level_netsend,

       jobs.notify_level_page,

       jobs.notify_email_operator_id,

       jobs.notify_netsend_operator_id,

       jobs.notify_page_operator_id,

       jobs.delete_level,

       jobs.date_created,

       jobs.date_modified,

       jobs.version_number,

       jobs.originating_server_id,

       svr.master_server

FROM msdb.dbo.sysjobs as jobs

  JOIN msdb.dbo.sysoriginatingservers_view as svr

    ON jobs.originating_server_id = svr.originating_server_id

  --LEFT JOIN msdb.dbo.sysjobservers js ON jobs.job_id = js.job_id

WHERE (owner_sid = SUSER_SID())

   OR (ISNULL(IS_SRVROLEMEMBER(N'sysadmin'), 0) = 1)

   OR (ISNULL(IS_MEMBER(N'SQLAgentReaderRole'), 0) = 1)

   OR ( (ISNULL(IS_MEMBER(N'TargetServersRole'), 0) = 1) AND

        (EXISTS(SELECT * FROM msdb.dbo.sysjobservers js

         WHERE js.server_id <> 0 AND js.job_id = jobs.job_id))) -- filter out local jobs

注意WHERE条件:当用户是sysadmin或SQLAgentReaderRole或TargetServersRole角色成员时条件永远成立,返回所有作业;否则仅返回所有者是当前用户的作业。
检查角色默认授予了哪些权限:

granteename    objectname    columnname    class_desc    permission_name    state_desc

SQLAgentOperatorRole    sp_enum_login_for_proxy    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_alert    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_notification    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_help_targetserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sp_purge_jobhistory    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentOperatorRole    sysalerts    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentOperatorRole    sysnotifications    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentOperatorRole    sysoperators    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sp_add_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_add_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_addtask    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_attach_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_check_for_owned_jobs    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_check_for_owned_jobsteps    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_jobsteplog    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_delete_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_detach_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_droptask    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_enum_sqlagent_subsystems    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_job_alerts    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_jobstep_db_username    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_get_sqlagent_properties    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_category    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobactivity    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobcount    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_full    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_sem    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobhistory_summary    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobs_in_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobserver    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_jobsteplog    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_operator    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_proxy    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_help_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_maintplan_subplans_by_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_notify_operator    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_start_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_stop_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_uniquetaskname    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_job    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_jobschedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_jobstep    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    sp_update_schedule    NULL    OBJECT_OR_COLUMN    EXECUTE    GRANT

SQLAgentUserRole    syscategories    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sysjobs_view    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

SQLAgentUserRole    sysschedules_localserver_view    NULL    OBJECT_OR_COLUMN    SELECT    GRANT

权限分配来看,SQLAgentUserRole分配了基础权限(视图、存储过程中有对角色的判定限制操作);SQLAgentReaderRole没有额外权限;SQLAgentOperatorRole额外有警报、通告、操作员权限。
SQLAgentReaderRole、SQLAgentOperatorRole是SQLAgentUserRole的角色成员,SQLAgentOperatorRole是SQLAgentReaderRole的角色成员。
SQLAgentReaderRole对视图msdb.dbo.sysjobs_view有SELECT权限(继承SQLAgentUserRole的权限),GUI界面操作时从视图获取数据。所以添加到此角色后,展开作业就能返回所有作业。
我们用语句查询作业时,习惯直接从msdb.dbo.sysjobs这类表入手。但SQLAgentUserRole角色并没有对此类表有SELECT权限,因此常规语句会报拒绝对对象的SELECT权限。
出现问题的根源是,自己没有深入了解本质,自己以为SQLAgentUserRole角色直接在表上有权限,未曾深入查看它的权限集中在对存储过程的执行和视图的查询。
很多时候我们使用习以为常且单方面是正确的方式操作,最终却没得到预期的结果,这时我们就要检查操作的是否是同一对象。

添加到SQLAgentReaderRole角色后报拒绝SELECT权限的更多相关文章

  1. MSSQL 2012 拒绝了对对象 'extended_properties' (数据库 'mssqlsystemresource',架构 'sys')的 SELECT 权限

    查看数据库的表的时候报如下错误: MSSQL 拒绝了对对象 ) 解决方法: 在数据库里相应的用户权限中,把db_denydatareader的复选框的勾去掉.db_denydatareader是拒绝访 ...

  2. 拒绝了对对象 'data'(数据库 'xxx',所有者 'dbo')的 SELECT 权限

    拒绝了对对象 'data'(数据库 'xxx',所有者 'dbo')的 SELECT 权限解决的方法:1>在数据库里相应的用户权限中,把db_denydatareader的复选框的勾去掉.很多初 ...

  3. 【Azure 环境】由为存储账号(Storage Account)拒绝分配权限而引出的Azure 蓝图(Blueprint)使用问题

    问题描述 当打开Azure存储账号(Storage Account)门户页面时,从 "访问控制(标识和访问管理)" 页面中发现有"拒绝分配"的功能,所以就思考, ...

  4. Gitlab的develop角色的人没有权限无法提交的问题解决方案

    问题 事情是这样的,最近跟几位同事搞一些东西,打算在Gitlab上建一个仓库,然后协同开发. 我建好仓库,将其他几位同事添加进来,角色分配为Develop. 之后提交初始代码到master分支后,他们 ...

  5. 自定义控制台程序导出角色对实体的权限为Excel文件

    本人微信公众号:微软动态CRM专家罗勇 ,回复282或者20181116可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 先上 ...

  6. SQL Server 用角色(Role)管理数据库权限

    当数据库越来越多,连接到数据库的应用程序,服务器,账号越来越多的时候,为了既能达到满足账号操作数据权限需求,又不扩大其操作权限,保证数据库的安全性,有时候需要用角色来参与到权限管理中,通过角色做一个权 ...

  7. WordPress用户角色与用户能力/权限

    WordPress用户角色(user roles)是WP或者其它插件增加的,可以让网站管理员(网站管理员也是一种角色)来方便的管理用户的权限/能力(Capabilities,一般情况下,一种角色不止有 ...

  8. 如何重置Magento管理用户、角色和资源的权限

    场景1:所有的资源权限被设置为管理角色 步骤1:获取当前的管理角色详细信息 SELECT * FROM admin_role WHERE role_name = 'Administrators' /* ...

  9. AWS EKS 添加IAM用户角色

    作者:SRE运维博客 博客地址: https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211203931498/ 相关话题:https://ww ...

随机推荐

  1. 8.Java格式化输出

    JAVA中字符串输出格式 1.使用format函数 System.out.format("%d  %f",10,10.5); 2.使用Formatter类 构造函数Formatte ...

  2. Oracle的索引适用范围

    若字段数据的重复率不是很高,而且数据量不是很大,考虑B树索引: 若字段数据的重复率较高,而且查询中有特定的查询方式(比如列之间有或,与等逻辑运算),则考虑位图索引: 若对列中的字段进行模糊查询或者语言 ...

  3. 已解决:Strict Standards: Only variables should be passed by reference in

    今天安装ecshop的时候最上面出现了一个错误提示:Strict Standards: Only variables should be passed by reference in F:\www.x ...

  4. openfoam 的安装【转载】

    原文地址: http://blog.sina.com.cn/s/blog_14bf001d10102wifw.html OpenFOAM安装 OpenFOAM基于Linux系统下运行,由于对Linux ...

  5. 祝贺 Linux 25 岁:25 个关于 Linux 的惊人真相!【转载】

    作者:Javen Fang链接:https://zhuanlan.zhihu.com/p/22222383来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 25 年前的这 ...

  6. js添加var和不加var区别

    var 声明的变量,作用域是当前 function 没有声明的变量,直接赋值的话, 会自动创建变量 但作用域是全局的. //----------------- function doSth() { a ...

  7. JavaScript使用接口

    在经典的Java面向对象语言中,可以用关键字interface来定义接口,用implement来实现接口,而JavaScript虽然也是面向对象语言,但是它并没有内置这些,不过由于JavaScript ...

  8. T-SQL Recipes之 Table Variables and Temporary Tables

    Problem 许多时候, 我们想要Table Variables在动态SQL中执行,但现实是很骨感的.比如这个示例: DECLARE @sql_command NVARCHAR(MAX); DECL ...

  9. [Python学习] python 科学计算库NumPy—矩阵运算

    NumPy库的核心是矩阵及其运算. 使用array()函数可以将python的array_like数据转变成数组形式,使用matrix()函数转变成矩阵形式. 基于习惯,在实际使用中较常用array而 ...

  10. MySQL sql_safe_updates 分析

    我在练习MySQL操作语句时,使用一条完全没有错误的语句: update students set name='drake' where name='chuan'; 却报了如下错误: Error Co ...