Discussion :

[kluck3000]

Bonjour,

J'essaie de donner accès en lecture seule à un groupe AD aux jobs de SQL Server (SQL Server Agent).

Si j'affecte le rôle SQLAgentReaderRole au groupe AD, les utilisateurs de ce groupe peuvent ajouter,modifier ou supprimer des jobs. Par contre, ils n'ont pas le droit d'exécuter les jobs.

Je souhaiterai créer un rôle qui puisse juste donner l'accès en lecture aux jobs (visualisation, pas modifications possibles)

J'ai donc réalisé le script suivant, mais dès que mon groupe a uniquement accès au rôle JobsViewer, les membres du groupe ne voient même plus le SQL Server Agent.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
USE msdb;
CREATE ROLE JobsViewer AUTHORIZATION "UNIVERSE\groupeAD";
GO
 
use msdb
EXECUTE sp_addrolemember 'JobsViewer', "UNIVERSE\groupeAD"
 
 
DENY EXECUTE ON OBJECT::msdb.dbo.sp_add_job TO JobsViewer
DENY EXECUTE ON OBJECT::msdb.dbo.sp_add_jobserver TO JobsViewer
DENY EXECUTE ON OBJECT::msdb.dbo.sp_add_jobstep TO JobsViewer
DENY EXECUTE ON OBJECT::msdb.dbo.sp_update_job TO JobsViewer
DENY EXECUTE ON OBJECT::msdb.dbo.sp_add_jobschedule TO JobsViewer
DENY EXECUTE ON OBJECT::msdb.dbo.sp_delete_job TO JobsViewer

[SQLpro]

Si vous passez par SSMS c'est normal. Les privilèges sont là pour gérer les accès aux objets. pas les interfaces....

Utilisez des rôles de base de données comme denydatawriter
et gérer les privilèges au niveau base :
DENY EXECUTE ON DATABASE::msdb TO MonRole

A +

[kluck3000]

Bonjour,

Mon script fonctionne en fin de compte, il fallait que j'aille dans User Mapping du groupe (dans Security), puis que je coche msdb et sélectionne le rôle en question.