Mark BarinsteinЕсли вы хотите, чтобы DB2 проверяла вхождение доменных пользователей в локальные группы, то вы должны были сделать:
db2set DB2_GRP_LOOKUP=local
db2stop
db2start
Вы это сделали?

Нет. Полагал что по умолчанию берутся локальные группы. Спасибо.

Что возвращает запрос ниже?
SELECT GROUP FROM TABLE(AUTH_LIST_GROUPS_FOR_AUTHID('1111111-111'))

Ничего конечно.

Сейчас DB2_GRP_LOOKUP выставлю и посмотрю.

Увы не помогло. Запрос всё так же возвращает пустоту.

db2 v 9.7

локальный

Ясно, спасибо, но по некоторым соображениям хотелось бы оставить локального. Тут другое дело, я в непонятках. Читаем:

Windows
Имена могут быть в верхнем, нижнем или смешанном регистре.

Если не указано иное, все имена могут включать следующие символы:

Буквы от A до Z. В большинстве имен символы от A до Z преобразуются из строчных в прописные.
Цифры от 0 до 9.
! % ( ) { } . - ^ ~ _ (подчеркивание) @, #, $ и пробел.
\ (обратная дробная черта).


У нас же пользователи имеют формат XXXXXX-XXXX
где X - цифра.

То есть, начинаются с цифры - раз, имеют неразрешенный символ дефис - два. И всё равно система работает! Это как?

Mark Barinsteinmahaon2000,

А что, для любого другого доменного пользователя с именем, начинающимся на букву, эта функция показывает список групп?


Нет. Сегодня специально завёл такого доменного буквенного пользователя, ввел в локальную группу, запрос вернул пустоту, и коннект к базе не прошел. (хотя у группы есть.)

Mark Barinstein,

А, скажите, если работает такой селект SELECT GROUP FROM TABLE(AUTH_LIST_GROUPS_FOR_AUTHID('1111111-111'))

то нет ли способа в этот грубо говоря AUTH_LIST_GROUPS ввести нужного пользователя? Процедурой или инсертом.

Mark Barinsteinmahaon2000,
Поэтому, надо бы попробовать запустить сервис из-под доменного с правами проверки вхождения в группы.

Это, скорее всего, сработает. Даже вроде как кто-то в какой-то теме эту проблему именно так после Вашего совета решил.
Видимо так и сделаю. Но почему работают пользователи с двойным нарушением правила наименования?! База даже нигде не ругается, как так и надо.

[quot Mark Barinstein]mahaon2000Про символ '-' на windows не сказано, что он запрещен.

Restrictions
Do not begin names with a number or with the underscore character.

но на Windows оно не должно, по-моему, препятствовать для имен пользователей.


Да, символ "-" разрешен, я ошибся. Но с цифр и подчеркивания вроде как нельзя нельзя, а работает.

http://www.ibm.com/support/knowledgecenter/ru/SSEPGG_9.1.0/com.ibm.db2.udb.admin.doc/doc/c0007245.htm

Хотя, это видимо не актуально для версии 9.7 и касается только 9.1
Тогда вопрос решен. Спасибо за помощь.