Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Здравствуйте, товарищи! Столкнулся со странной хренью. Есть инстанс у некоего клиента, на котором нужно проделать некоторую работу. Внутренняя security кухня это внутренне дело клиента. Мне создали доменный логин, имеющий права локального админа, и добавили его в роль sysadmin на инстансе. При этом, когда я подключаюсь к инстансу, я вижу, что мои права сильно ограничены. Не вижу логины, включая свой, sql server agent, нет доступа к ряду баз. ИТшники клиента включают дурака: типа ты локальный админ и вообще, не знаем, как так может быть. Я, в силу ограниченности доступа, ничего толком не могу видеть и предпринять. Тем более это прод, и что-то там хакать я не собираюсь. Код: sql 1. 2. возвращает guest Код: sql 1. возвращает мою доменную учётку, тогда как в списке логинов я её не вижу. Вопрос в следующем: что эти упыри могли нахимичить и как можно эту ситуацию исправить (подсказать упырям), дабы я мог таки воспользоваться своими админскими привилегиями? Модератор: Ссылка на сайт БОМЖа была удалена ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2019, 23:07 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый, если вы видете current_user как guest, то не очень то вы в роли sysadmin. просите что бы вашу учетку нормально включили в роль если их политика безопасности это позволяет. вообще на месте dba я бы тоже не стал давать права sysadmin налево и направо. все зависит от специфики необходимой работы. есть вполне конкретные ситуации когда можно ограничиться выдачей только определенных прав доступа ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.11.2019, 02:48 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый возвращает мою доменную учётку, тогда как в списке логинов я её не вижу. Напишите им то, что вы сейчас тут пишите (результат CURRENT_USER и SUSER_SNAME()), ну и можно IS_SRVROLEMEMBER (хотя ИМХО то, что вы guest, уже будет достаточно). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.11.2019, 06:48 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый Код: sql 1. возвращает мою доменную учётку, тогда как в списке логинов я её не вижу . потому что они не мапят индивидуальные учетки. вы член некоей виндовой группы(или даже нескольких) и вот эту группу(ы) вы должны видеть в списке логинов ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2019, 10:34 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Yasha123 Очень лысый Код: sql 1. возвращает мою доменную учётку, тогда как в списке логинов я её не вижу . потому что они не мапят индивидуальные учетки. вы член некоей виндовой группы(или даже нескольких) и вот эту группу(ы) вы должны видеть в списке логинов Очень лысый, можно выполнить и посмотреть через что предоставлен доступ Код: sql 1. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2019, 13:28 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
можно и просто на логины взглянуть, все то, что не sa, то и есть группы, куда входит логин ТС ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2019, 13:33 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Согласен, что давать всем подряд админские привилегии это не есть гуд, и пользователей ограничивают в правах в рамках чисто их задач. Но в данном случае задача предполагает админские права, и ИТ-стаф клиента намеревался их предоставить. Но что-то пошло не так. Всем спасибо за идеи! Попробую их заимплементить в общении с админами. О результатах отпишусь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2019, 18:49 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Итак, Код: sql 1. сказала, что у меня нет прав на выполнение таких опасных процедур. Зато IS_SRVROLEMEMBER сказал, что я точно не sysadmin. Однако мне удалось раздобыть пароль от sa. Когда я подключился, то увидел, что учётка моя действительно добавлена с правами сисадмина. В то же время, когда я запустил Код: powershell 1. , то обнаружил, что моя учётка находится в AD группе, которая добавлена в инстанс с ролью public и некоторыми разрешениями вроде просмотра некоторых баз. И, когда я подключаюсь к MS SQL со своей AD учёткой, я имею права именно этой группы. Вот здесь хотелось бы понять, почему так? Ибо, насколько я понимаю, разрешения группы не должны отменять разрешения учётки за исключением denied. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2019, 21:36 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый, что то у вас сумбур какой то в рассуждениях. Очень лысый Однако мне удалось раздобыть пароль от sa. Когда я подключился, то увидел, что учётка моя действительно добавлена с правами сисадмина. что именно вы увидели? от имени sa вам бы исполнить: Код: sql 1. 2. 3. 4. это бы показало какие принципалы включены в роль sysadmin В то же время, когда я запустил Код: powershell 1. то обнаружил, что моя учётка находится в AD группе, которая добавлена в инстанс с ролью public и некоторыми разрешениями вроде просмотра некоторых баз. И, когда я подключаюсь к MS SQL со своей AD учёткой, я имею права именно этой группы. Вот здесь хотелось бы понять, почему так? Ибо, насколько я понимаю, разрешения группы не должны отменять разрешения учётки за исключением denied. вот этот тезис не сходится с тем что вы озвучили до него. или вы неправильно смотрели вам надо определить какие токены доступа у вашей учетки. посмотреть это можно выполнив запрос из под своей учетки: Код: sql 1. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 00:07 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
felix_ff Очень лысый, что то у вас сумбур какой то в рассуждениях. Очень лысый Однако мне удалось раздобыть пароль от sa. Когда я подключился, то увидел, что учётка моя действительно добавлена с правами сисадмина. что именно вы увидели? от имени sa вам бы исполнить: Код: sql 1. 2. 3. 4. это бы показало какие принципалы включены в роль sysadmin В то же время, когда я запустил Код: powershell 1. то обнаружил, что моя учётка находится в AD группе, которая добавлена в инстанс с ролью public и некоторыми разрешениями вроде просмотра некоторых баз. И, когда я подключаюсь к MS SQL со своей AD учёткой, я имею права именно этой группы. Вот здесь хотелось бы понять, почему так? Ибо, насколько я понимаю, разрешения группы не должны отменять разрешения учётки за исключением denied. вот этот тезис не сходится с тем что вы озвучили до него. или вы неправильно смотрели вам надо определить какие токены доступа у вашей учетки. посмотреть это можно выполнив запрос из под своей учетки: Код: sql 1. Я не рассуждаю, а я как чукча: что вижу, о том и пою. Моя доменная учётка в списке ролей имеет проставленную галочку напротив слов "sysadmin" и "public". При этом она включена в некую группу AD, с некоторыми специфическими правами. И именно эти права она демонстрирует, буде я её использую. Вот я и хочу понять, как так может быть. Впрочем, я уже попросил упырей мою учётку из группы в AD выпилить, а завтра я и посмотрю, как оно повлияет. Заодно и токены проверим, если ничего не поменяется. А пока про них почитаю. Секюрити это не мой кап ов ти, никогда не любил там вдаваться в детали, да и необходимости такой не было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 00:37 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый Я не рассуждаю, а я как чукча: что вижу, о том и пою. А то, знаете, потом выясняется "да там одной буквой отличалось"... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 00:43 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
alexeyvg Очень лысый Я не рассуждаю, а я как чукча: что вижу, о том и пою. А то, знаете, потом выясняется "да там одной буквой отличалось"... результаты запросов я, собственно, озвучил, кроме токенов. Буквами, к сожалению, не отличается. Ну и, собственно, ничто мне сейчас не мешает этот логин просто из инстанса удалить и добавить заново из AD, используя правильные буквы, дабы исключить возможные когнитивные искажения. Но я, собственно, не имею цели пререкаться. Завтра постараюсь подробно проапдейтить топик. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 01:11 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый Когда я подключился, то увидел, что учётка моя действительно добавлена с правами сисадмина. Очень лысый Не вижу логины, включая свой вот такого быть не может. если вы "не видите" свою виндовую учетку в логинах, но ее "видит" sa, т.е. она точно есть как индивидуальный логин , то значит или вы в первый раз поднаврали и сами себя видите, или же учетка, которую видит sa, не ваша. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 11:26 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Yasha123 Очень лысый Когда я подключился, то увидел, что учётка моя действительно добавлена с правами сисадмина. Очень лысый Не вижу логины, включая свой вот такого быть не может. если вы "не видите" свою виндовую учетку в логинах, но ее "видит" sa, т.е. она точно есть как индивидуальный логин , то значит или вы в первый раз поднаврали и сами себя видите, или же учетка, которую видит sa, не ваша. Увы, чистая правда. Если захожу с виндовой аутентификацией, то своей учётки в логинах не вижу, а если с sa, то вижу. Был бы рад, если бы было не так. Правда, нельзя исключать теоретическую возможность, что просочилась какая-то разница в раскладке и т.п.. Т.е. выглядит оно так же, но кто знает. Сейчас буду всё проверять. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 18:40 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый, ну так проверьте под SA доступ своей виндовой учетки через группы Код: sql 1. состав группы sysadmin: Код: sql 1. если себя там не находите, то Код: sql 1. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 19:16 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
Очень лысый Yasha123 или же учетка, которую видит sa, не ваша. Поэтому и нужно было выполнить скрипты, потому что могут быть 2 логина, а вы думаете, что он один: Код: sql 1. 2. 3. 4. 5. 6. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 19:28 |
|
||
|
sysadmin не имеет доступа
|
|||
|---|---|---|---|
|
#18+
komrad Очень лысый, ну так проверьте под SA доступ своей виндовой учетки через группы Код: sql 1. состав группы sysadmin: Код: sql 1. если себя там не находите, то Код: sql 1. Поздно. Админы просто удалили группу из инстанса. Ибо меня из неё удалить было нельзя, так как тогда бы я потерял доступ к RDP. После этого я вообще не смог подключиться к инстансу под своей учёткой. Тогда я подключился с помощью SA и опять увидел свою учётку с админскими правами. Скопипастил доменное имя из SSMS и сравнил в BeyondCompare с тем, что ввожу, когда логинюсь: мало ли, вдруг какая буква там из другой раскладки. Оказалось, всё идентично. Затем попытался добавить себя из AD в логины. Логин нашёлся только один, ничего похожего. Добавляться отказался: типа уже есть. Затем удалил себя из списка логинов и тут же добавил заново с теми же правами. И тут же смог подключиться, и всё стало хорошо. Хотите верьте, хотите - нет. Жаль, токены не успел посмотреть, пока группу не грохнули. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2019, 19:34 |
|
||
|
|
start [/forum/topic.php?fid=46&fpage=79&tid=1686891]: |
0ms |
get settings: |
9ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
31ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
69ms |
get tp. blocked users: |
1ms |
| others: | 213ms |
| total: | 358ms |
| 0 / 0 |
