Привет тебе общественный разум.

Итак, исходная стойка:
1. Microsoft SQL Server 2014 (SP3) (KB4022619) - 12.0.6024.0 (X64)
Sep 7 2018 01:37:51
Copyright (c) Microsoft Corporation
Enterprise Edition (64-bit) on Windows NT 6.1 <X64> (Build 7601: Service Pack 1)
2. Служба SQL запущена под его штатной, локальной, учетной записью - [NT Service\MSSQL$DVLSRV]
3. Машина, на которой находится сам SQL - в домене.
4. В этом домене есть вторая машина, где работает ещё один SQL-сервер.
5. На второй машине делается бэкап рабочей базы компании (она там одна - и база и компания) и складывается в определенный каталог на локальном диске второго компьютера
6. Локальный каталог проброшен посредством mklink /D со второй машины на локальный диск первой машины.

Теперь, собственно суть.
Предполагается, что копия базы будет браться из этого проброшенного каталога, разворачиваться на SQL первой машины, проходить некоторую пост-обработку и предоставляться заказчику.

И всё бы ничего, но встретился неожиданный затык - xp_cmdshell. То ли я некорректно, что-то делаю, то ли я слишком большие надежды на него возлагаю. Но затык происходит ещё на самом первом этапе - чтения содержимого прилинкованного каталога на первой машине.

Стоит запустить SQL службу от доменного админа, как всё прекрасно читается в каталоге. Но мы же лёгких путей не ищем. Поэтому:

1. Создана доменная учётка с минимальными правами (MyDomain\SBO)
2. Этой учётке на второй машине даны права на чтение и просмотр содержимого каталога, куда складываются копии базы
3. Создан мандат (credential) ##xp_cmdshell_proxy_account## с учеткой MyDomain\SBO
4. Учетке дан логин на первом сервере SQL и права на EXECUTE и CONTROL SERVER. Включена в группу public

И вот, под этой учеткой я выполняю контрольный код, чтобы понять - под кем же я сейчас буду просматривать каталог:




И я вижу, что cmdshell выполняется от имени:
[NT Service\MSSQL$DVLSRV]

Какого чёрта? Ведь в документации написано, что прокси на cmdshell используется у учетки, которая не включена в группу sysadmins. Что я не так делаю?

Yasha123,




Увы, опять:

[NT Service\MSSQL$DVLSRV]

Yasha123,

Так, поправочка:
Снял принудительно флажок CONTROL SERVER у MyDomain\SBO и теперь стало выдаваться:
Msg 15121, Level 16, State 200, Procedure xp_cmdshell, Line 14
An error occurred during the execution of xp_cmdshell. A call to 'LogonUserW' failed with error code: '1385'.

Это уже проблема, что обозначенный пользователь должен иметь право входить службой на локальный комп.

Спасибо! Пойду дальше ковырять.

Так, у меня тут другая беда.
Прокси работает и отлично.
Но.
Возникает противоречие условий.
Прокси работает только для пользователя у которого нет ролей SYSADMIN и CONTROL SERVER
Файл может бэкапа может прочитать только такой пользователь (под учеткой прокси).
А восстановить базу из бэкапа может пользователь только с двумя вышеупомянутыми ролями.
Тупик. Какие варианты есть по выходу?