Есть 2 базы на одном сервере.
Владельцем обеих баз является sa.
В первой базе определен sql-пользователь transferter.
Кроме того, в первой базе определен view, который обращается к нескольким таблицам второй базы.
Грант на select пользователю из view пытаюсь дать командой:


В обеих базах cross database ownership chaining = true и trustworthy = true
Во второй базе пользователя [transferter] - нет.

При попытке сделать select * from [load].[operations0x00] под пользователем transferter получаю ошибку:
The server principal "transferter" is not able to access the database "db0x00" under the current security context.

Как сделать, чтобы заработало?
Еще раз повторю, что пользователь transferter во второй базе отсутствует, и по смыслу от там не нужен. Можно обойтись без его создания?
Точнее КАК обойтись без создания этого пользователя во второй базе?

Microsoft SQL Server 2014 (SP2-CU8) (KB4037356) - 12.0.5557.0 (X64)
Oct 3 2017 14:56:10
Copyright (c) Microsoft Corporation

Yasha123не надо жмотиться, отмапьте нужного юзера во вторую базу.
этим вы ему прав не прибавите,
зато заработает ownership chaining, т.е. товарищ сможет читать из второй базы,
но только через вью из первой.

Проблема в том, что вторая база - это вторичная база логшиппинга в состоянии standby/read only.
И таких баз - 4 с лишним десятка.
а TRUSTWORTHY с базы снимите, оно вам вообще не нужно.
оно позволяет выпрыгнуть из базы,
т.е. если кто-то имперсонэйтит **юзера**, то с овнером базы sa
он обретает права того **логина**, что соответствует юзеру.

соответственно, если кто-то имперсонэйтит юзера transferter,
он становится логином transferter, но логин во вторую базу не отмаплен -> не добились вы ничего.
зато если теперь имерсонэйтить в этой базе dbo,
то станешь sa.
со всеми вытекающими
Да, наверное нужно так сделать.
Первичные базы TRUSTWORTHY на своих серверах по другим причинам, наверное, на вторичном сервере сделали эти базы TRUSTWORTHY по инерции.

Т.е., получается, придется на 40 серверах создать пользователя, причем, с одинаковым сид, отмапить его в базу, и подождать, когда восстановятся логи?
Замечательно.
Я так понимаю, если завернуть в первой базе вызов из view в хранимую процедуру, где указать with execute as owner - всё заработает.
... но оно не подходит, т.к. нужно читать именно из view.
Может, есть еще мысли?
Ну, кроме разрешения анонимного логина к базе?

Yasha123пардон, не inline, а multistatement,
в инлайновой нет execute as
Я так понимаю, что производительность при этом - пойдет лесом?