none
SQL Agent Jobs für Non-Admins RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    weiss jemand wie man für ein nicht Admin die Rechte JOBs anlegen löschen anzeigen geben kann?

    Es soll über Proxy funktionieren. 

    https://www.sqlservercentral.com/Forums/Topic1438841-1526-1.aspx

    https://docs.microsoft.com/en-us/sql/ssms/agent/configure-a-user-to-create-and-manage-sql-server-agent-jobs

    Es geht leider nur für ein User. Wenn aich aber eine Gruppe (Aus AD) berechtigen will klappt es leider nicht.

    Dienstag, 28. November 2017 09:44
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Für das Anlegen und Ausführen etc von Jobs gibt es Datenbank-Rollen.

    Je nachdem wie man Einblick auf FREMDE Objekte haben soll, nimmt man dann die entsprechende Rolle.
    Diese sind hier aufgelistet und erläutert.:

    https://docs.microsoft.com/de-de/sql/ssms/agent/sql-server-agent-fixed-database-roles

    Wenn das zu unflexibel ist, muss man ein eigenes Berechtigungssystem entwickeln (da gibt es irgendwo schon einen älteren Thread zu)

    Proxies benötigt man beim Einsatz von Nicht-TSQL-Subsystemen (zB cmd, Powershell, SSIS).

    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform MCSE Data Platform
    MCSM Charter Member, MCITP Charter Member etc.
    www.SarpedonQualityLab.com     (Founder)

    Dienstag, 28. November 2017 15:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Das ist mein Problem. Es geht mit User. Für Gruppe funktioniert nicht, weil man kann nicht als Job owner eine Gruppe eintragen
    Dienstag, 28. November 2017 16:28
    |
  • Question
    Anmelden
    0
    Anmelden
    Das ist mein Problem. Es geht mit User. Für Gruppe funktioniert nicht, weil man kann nicht als Job owner eine Gruppe eintragen

    Wer sagt denn das? Hast Du das mal Getestet?

    <strike>

    Doch, das geht. Der Owner wird automatisch mit dem Gruppennamen eingetragen, und kann von ihm selber auch nicht geändert werden.

    </strike>

    Korrektur:

    Die Gruppe kann zwar das Recht haben, einen Job anzulegen, aber als Besitzer wird dann das Gruppenmitglied selber eingetragen.

    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform MCSE Data Platform
    MCSM Charter Member, MCITP Charter Member etc.
    www.SarpedonQualityLab.com     (Founder)


    Dienstag, 28. November 2017 16:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Klaro

    Mittwoch, 29. November 2017 14:43
    |
  • Question
    Anmelden
    1
    Anmelden

    AhA. Dein Problem entsteht nicht beim Anlegen eines Jobs sondern beim Update des Owners.

    Dort existiert in der Tat ein Bug: http://connect.microsoft.com/SQLServer/feedbackdetail/view/776349/msdb-sp-update-job-does-not-work-with-windows-active-directory-groups-as-the-owner-login-name

    Da der Bug schon recht alt ist, kann ich nur auf den üblichen Workaround verweisen: Den Job neu in einem Zug mit dem korrekten Besitzer (Windows-Gruppe) anlegen.


    Viel Erfolg

    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform MCSE Data Platform
    MCSM Charter Member, MCITP Charter Member etc.
    www.SarpedonQualityLab.com     (Founder)

    Donnerstag, 30. November 2017 10:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Create geht auch nicht. Es ist kein Bug. 

    Freitag, 1. Dezember 2017 12:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Der Bug, auf den ich oben verwiesen habe, ist ein Bug, doch doch ;-)

    Was Deinen Versuch angeht, so ist zwar das entscheidende nicht zu sehen, aber ich kann mir denken, was passiert:
    Das CREATE wird unter einem anderen Login ausgeführt, als als Besitzer eingetragen wird.

    Das geht auch nicht. Als ich schrieb "den Job neu in einem Zug mit dem korrekten Besitzer (Windows-Gruppe) anlegen.", meinte ich damit, dieses auch unter dem richtigen Kontext zu tun.Sorry, wenn das nicht klar genug ausgedrückt war.

    weiterhin viel Erfolg

    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform MCSE Data Platform
    MCSM Charter Member, MCITP Charter Member etc.
    www.SarpedonQualityLab.com     (Founder)

    Montag, 4. Dezember 2017 21:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Andrej,

    ich habe das hier mal probiert und kann bestätigen, dass es nicht möglich ist, eine AD-Gruppe als Eigentümer eines Jobs zu definieren. Es gab dazu auch schon mal ein CONNECT-Item:

    https://connect.microsoft.com/SQLServer/feedback/details/508137/allow-windows-groups-to-own-sql-agent-jobs

    Das wurde aber von Microsoft als "won't fix!" geschlossen.

    Das CONNECT-Item ist von 2009 aber die aktuellen "Unmutsbekundungen" reichen bis in das aktuelle Jahr. Ich habe auch keinen Hinweis gefunden, dass es zwischenzeitlich möglich ist.

    Ich habe es mit SQL 2016 und SQL 2017 probiert.

    @Andreas: Hast Du eventuell eine kurze Demo, wie man das machen kann?
    Ich habe es als sysadmin und als Mitglied einer AD-Gruppe leider ohne Erfolg probiert.

    Uwe Ricken (Blog | Twitter)
    Microsoft Certiied Master - SQL Server 2008
    Microsoft Certified Solution Master - CHARTER Data Platform
    Microsoft Certified Solution Expert - Data Platform
    db Berater GmbH
    Microsoft SQL Server Blog (german only)


    Dienstag, 5. Dezember 2017 06:07
    |
  • Question
    Anmelden
    1
    Anmelden

    ...

    ich habe das hier mal probiert und kann bestätigen, dass es nicht möglich ist, eine AD-Gruppe als Eigentümer eines Jobs zu definieren.

    ...

    Ich habe es mit SQL 2016 und SQL 2017 probiert.

    @Andreas: Hast Du eventuell eine kurze Demo, wie man das machen kann?
    Ich habe es als sysadmin und als Mitglied einer AD-Gruppe leider ohne Erfolg probiert.

    ..

    Hallo allerseits

    also, wir sind von der originalen Frage, die da lautete:

    "weiss jemand wie man für ein nicht Admin die Rechte JOBs anlegen löschen anzeigen geben kann?
    Es geht leider nur für ein User. Wenn aich aber eine Gruppe (Aus AD) berechtigen will klappt es leider nicht."

    irgendwie abgekommen.

    Dadurch kam es auf dem Weg zu einem Missverständnis:

    Richtig ist:

    Man kann eine AD-Gruppe berechtigen, Jobs anzulegen.
    Wenn sich dann jemand mit der Gruppen-SID einloggt, und einen Job anlegt, wird der Job auch angelegt. Allerdings, und das ist der Haken: Der Besitzer ist dann der Windows-Login selber - NICHT die Gruppe. (Das ist im Prinzip ähnlich wie das pre-SQL 2012 Problem mit Datenbank-Schemas und Windows-Gruppen. Dieses ist ja nun gelöst. In der msdb ist das technisch etwas komplexer.)

    Also: die Gruppe ist als Besitzer geht tatsächlich nicht. Berechtigen kann man sie aber. Da sind wir hier im Thread irgendwie auseinandergelaufen. (Das werde ich oben noch verdeutlichen, um spätere Leser nicht fehlzuleiten.) Den Workaround habe ich oben angedeutet. Das geht ohne etwa Arbeit nicht.

    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform MCSE Data Platform
    MCSM Charter Member, MCITP Charter Member etc.
    www.SarpedonQualityLab.com     (Founder)

    Dienstag, 5. Dezember 2017 12:34
    |