En el post anterior, comentamos las “bondades” del nuevo objeto credencial en SQL Server 2005. Uno de los escenarios en los que probablemente más se utilicen es junto con las cuentas de Proxy de SQL Server Agent. Para evitar conceder excesivos privilegios a los usuarios propietarios de nuestros trabajos, SQL Server 2005 nos da la posibilidad de definir diferentes cuentas de Proxy, bajo la que se ejecutarán los pasos de nuestros trabajos.

De este modo podemos implementar fácilmente el principio de menor privilegio, otorgando a estas cuentas solo los permisos necesarios. Estas cuentas de proxy deben de estar enlazadas siempre con una Credencial:

Usuario SO–>Credencial–>Cuenta Proxy

De este modo, podemos tener un trabajo cuyo propietario es un inicio de sesión de SQL Server, que tenga un paso de CmdExec, que por ejemplo, crea un fichero. Eso es posible en SQL Server 2005, siguiendo el esquema anteriormente indicado, proporcionando los permisos necesarios al usuario de SO.

La principal fuente de problemas en este escenario, es que normalmente nos olvidamos de darle al propietario del trabajo los privilegios necesarios para poder utilizar la Cuenta de Proxy. Para ello debemos de utilizar el procedimiento almacenado sp_grant_login_to_proxy

0 Shares:
Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You May Also Like
Leer más

Autenticación Integrada en Azure Database con SSIS

En muchos escenarios se nos presenta la necesidad de usar autenticación integrada para acceder a los orígenes de datos necesarios para alimentar nuestro sistema analítico. Con el uso cada vez más extendido de Azure, como al menos parte de nuestra infraestructura, algunos de estos orígenes van a estar alojados en bases de datos en Azure. En este caso vamos hablar de un error real que hemos tenido en la configuración y uso de la autenticación integrada contra bases de datos Azure con SSIS.