ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Не могу дать право на доступ к SQL группе NT
21 сообщений из 21, страница 1 из 1
Не могу дать право на доступ к SQL группе NT
    #32055089
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
1. SQL Server работает в смешанном режиме аутентификации.
2. Для експеримента грохнута группа Builtin\Administrators в которую входит мой виндовый аккаунт администратора домена.
3. Проверяю: Не могу войти на SQL в режиме аутентификации NT.
4. exec sp_grantlogin 'Domain\Users', проверяю - сервер меня пускает.
5. Убиваю право для группы 'Domain\Users'. Проверяю - не пускает.
6. Создаю новую NT группу - 'Domain\SQLAccess'. Добавляю свой Win-account в эту группу, делаю exec sp_grantlogin 'Domain\SQLAccess' пробую зайти на SQL Server - не пускает.

Вопрос. Чем созданная мною группа хуже, чем 'Domain\Users' или 'Domain\Domain Admins', и что я делаю не так?
...
Рейтинг: 0 / 0
03.10.2002, 11:16:10
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055120
Glory
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Glory
Участник
Вроде бы все правильно.
А добавленный логин виден в том же EM или через sp_helplogins ?
...
Рейтинг: 0 / 0
03.10.2002, 12:17:45
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055125
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
Да в том то и дело, что уже и в EM сравнивал логины, и в sysxlogins и syslogins - везде 'domain\users' и 'domain\MyTestSQLAcceesGroup' - имеют одинаковые права, и одинаковые записи. Скорее, это глюк с AD. Возможно, он не показывает, что я принадлежу новой группе.
...
Рейтинг: 0 / 0
03.10.2002, 12:25:01
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055167
Glory
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Glory
Участник
Несколько неясный момент

5. Убиваю право для группы 'Domain\Users'

Это sp_revokelogin или sp_denylogin ?
...
Рейтинг: 0 / 0
03.10.2002, 13:49:22
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055244
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
revoke
...
Рейтинг: 0 / 0
03.10.2002, 16:40:33
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055307
Фотография Александр Гладченко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Гладченко
Участник
А сервер у Вас часом не контроллео домена?
...
Рейтинг: 0 / 0
03.10.2002, 18:58:22
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055402
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
Нет. подопытный SQL Server стоит на Win2000AS, который не играет ни какой роли в домене. SQL Server запущен под админским аккаунтам из домена.
А какая разница?
...
Рейтинг: 0 / 0
04.10.2002, 10:58:41
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055409
Аноним
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аноним
Участник
А разве приписывание новой группе не требует перерегистрации пользователя в домене ?
...
Рейтинг: 0 / 0
04.10.2002, 11:15:44
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055426
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
2 Аноним: Не понял. Какой такой перерегистрации?
...
Рейтинг: 0 / 0
04.10.2002, 11:32:58
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055472
Аноним
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аноним
Участник
Logoff/Logon
...
Рейтинг: 0 / 0
04.10.2002, 12:47:46
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055526
Фотография Александр Гладченко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Гладченко
Участник
Аноним <- нет не требуется, это на лету происходит.
Андрей Сергеев <- на контроллере домена локальные группу закрыты и часто их путают с общими локальными группами, на уровне домена (сам не раз наступал...).
У Вас, повидимому, не эта проблема...
...
Рейтинг: 0 / 0
04.10.2002, 14:50:05
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055888
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
2 Александр Гладченко:
Нет, ни чего не путаю. SQL Server тестовый. Стоит в домене, но не на DC. Все эксперименты с группами именно домена, а не какого-либо компа.
Просто не могу понять, почему встроенные группы дают доступ, а созданные мной - нет.
...
Рейтинг: 0 / 0
07.10.2002, 11:56:35
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055906
Фотография KANDed
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
KANDed
Участник
А что, если попробовать этой NT группе дать побольше прав доступа к сетевым ресурсам и каталогам, которые может использовать SQL server?
...
Рейтинг: 0 / 0
07.10.2002, 12:26:58
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055908
Фотография akuz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
akuz
Участник
А может всё-таки, где нибудь DENY стоит по группе в которую входит ваш Win-account? Проверьте.
...
Рейтинг: 0 / 0
07.10.2002, 12:28:01
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055928
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
1. Мужики, при чем тут сетевые рессурсы?

2 .Аккаунт, с которым эксперементирую - входит в группы локальных и доменных админов. В NT я зарегестрирован под ним. Чтобы исключить админское built-in право доступа в итегрированном режиме, я грохнул builtin\administrators. Теперь доступ нужно выдать явно.

3. Я могу получить доступ к серверу, в случаях если даю право логиниться:
а. виндовому аккаунту.
б. группе MYDOMAIN\Domain Admins в которую я вхожу, и тогда я отображаюсь на SQL как sa
в. группе MYDOMAIN\Domain Users, и тогда вхожу на базы как гость.

4. Я не могу получить доступ к SQL, если создаю в домене группу, добавляю свой аккаунт в эту группу, даю на SQL право логиниться этой группе.
...
Рейтинг: 0 / 0
07.10.2002, 13:11:34
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32055951
Фотография akuz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
akuz
Участник
А вот перелогиниться всё таки попробуйте.
Хотя моё мнение по этому вопросу может быть несколько некомпетентным, я не являюсь специалистом по NT секьюрити, всё же попробую предположить.
Вы заводите локальную группу на SQL сервере. Затем пихаете в неё аккаунт из домена (не локальный). А вот как при этом SQL определит, являетесь ли вы членом локальной группы без синхронизации с DC? Помоему только после перелогина.
Поправьте если не прав.
...
Рейтинг: 0 / 0
07.10.2002, 13:39:43
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32056000
Фотография jimmers
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
jimmers
Участник
2Андрей Сергеев

А вот если попробовать то же самое, но с локальными группами (т.е. без Домена)?
...
Рейтинг: 0 / 0
07.10.2002, 14:45:59
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32056003
Glory
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Glory
Участник
Или в дополнение к совету jimmers-а поэкспериментируйте не над своей учетной записью, а создайте тестовый "нулевый" аккаунт
...
Рейтинг: 0 / 0
07.10.2002, 14:49:57
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32056070
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
Мужики! Решилось!
Под лозунгом:
"Даешь веру в незарегестрированных пользователей форума!"
Оглашаю победителя соревнования. Это - Аноним!

Сегодня обнаружил, что меня пускает на SQL (на базы как гостя), и единственный путь, по которому я смог прорваться - это моя группа mydomain\sqlaccess.
Копнул глубже - все решает перелогин в винде.

Т.е. права доступа к SQL остались даже когда я удалил себя из группы mydomain\sqlaccess. И пропало это право только после виндового перелогина. То же самое со вступлением полномочий в силу.

Странная штука, эта винда.

P.S. acuz к сожалению имелл ввиду кое что другое, по этому не могу сказать, что его ответ был тоже верен.
...
Рейтинг: 0 / 0
07.10.2002, 16:48:07
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32056071
Фотография KANDed
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
KANDed
Участник
А прописаны права этого логина на базы? sp_grantdbaccess выполнялась?

Remarks
Use sp_grantlogin to reverse the effects of a previous sp_denylogin that has been executed for a Windows NT user.

Use sp_addlogin to allow a SQL Server login to connect to SQL Server.

Although a login can connect to SQL Server after sp_grantlogin has been executed, access to user databases is denied until a user account for the login is created in each database that the login must access. Use sp_grantdbaccess to create a user account in each user database.

sp_grantlogin cannot be executed within a user-defined transaction.

Permissions
Only members of the sysadmin or securityadmin fixed server roles can execute sp_grantlogin.

Если это не пройдет, то все же внимательнее Deny поискать.
...
Рейтинг: 0 / 0
07.10.2002, 16:49:22
| Ответить | Цитировать | Написать  
Не могу дать право на доступ к SQL группе NT
    #32056074
Андрей Сергеев
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Сергеев
Гость
Пятый раз читаю acuz'а - не понятно изъясняется :(
...
Рейтинг: 0 / 0
07.10.2002, 16:52:35
| Ответить | Цитировать | Написать  
21 сообщений из 21, страница 1 из 1
Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Не могу дать право на доступ к SQL группе NT
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=46&gotonew=1&tid=1819802]:
 0ms
get settings:
 8ms
get forum list:
 15ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 42ms
get topic data:
 9ms
get first new msg:
 4ms
get forum data:
 2ms
get page messages:
 52ms
get tp. blocked users:
 1ms
others: 208ms
total:  345ms
созд. / загр.: 345ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]