存储引擎之必知必会 -- 理解作业、所有者、链接服务器、安全上下文

理解作业、所有者、链接服务器、安全上下文

SQL Server 代理服务管理的作业计划，都有一个所有者。所有者可以是 SQL Server 登录名或 Windows NT 帐户。

运行作业时的安全上下文是由该作业的所有者确定的。

如果该作业由不是 sysadmin 服务器角色的成员登录名拥有，将以该所有者的上下文下运行。

如果该作业由是 sysadmin 角色的成员的帐户 （SQL Server 登录或 Windows NT 身份验证登录） 拥有，SQL 代理作业将在用于启动SQL 代理服务帐户的上下文下运行。

对于链接服务器，建议选择启动帐户和远程帐户的对应关系。安全属性中，选择对于列表中没有定义的登录，选择使用登陆当前的安全上下文建立连接，分析如下：

如果使用 系统账户（'NT AUTHORITYSYSTEM'） 启动代理服务，代理连接使用 Windows 身份验证，那么将没有访问远程计算机的权限。

如果使用 本帐户 启动代理服务，代理连接使用 Windows 身份验证，那么启动账号的安全上下文去验证时，远程没有相同帐户名和密码的启动帐户，将验证失败。

如果作业属于 Windows NT 域帐户，您必须从受信任域中使用来自相同域的帐户启动 SQL Server 服务。

对于 CmdExec 和 ActiveScripting 作业步骤，如果执行作业用户是 sysadmin 角色的成员，则在该帐户的上下文中运行。如果不是sysadmin 角色中的帐户，具体设置见：http://support.microsoft.com/kb/890775/zh-cn