Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Не могу дать право на доступ к SQL группе NT / 21 сообщений из 21, страница 1 из 1
03.10.2002, 11:16:10
    #32055089
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
1. SQL Server работает в смешанном режиме аутентификации.
2. Для експеримента грохнута группа Builtin\Administrators в которую входит мой виндовый аккаунт администратора домена.
3. Проверяю: Не могу войти на SQL в режиме аутентификации NT.
4. exec sp_grantlogin 'Domain\Users', проверяю - сервер меня пускает.
5. Убиваю право для группы 'Domain\Users'. Проверяю - не пускает.
6. Создаю новую NT группу - 'Domain\SQLAccess'. Добавляю свой Win-account в эту группу, делаю exec sp_grantlogin 'Domain\SQLAccess' пробую зайти на SQL Server - не пускает.

Вопрос. Чем созданная мною группа хуже, чем 'Domain\Users' или 'Domain\Domain Admins', и что я делаю не так?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
03.10.2002, 12:17:45
    #32055120
Glory
Glory
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Вроде бы все правильно.
А добавленный логин виден в том же EM или через sp_helplogins ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
03.10.2002, 12:25:01
    #32055125
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Да в том то и дело, что уже и в EM сравнивал логины, и в sysxlogins и syslogins - везде 'domain\users' и 'domain\MyTestSQLAcceesGroup' - имеют одинаковые права, и одинаковые записи. Скорее, это глюк с AD. Возможно, он не показывает, что я принадлежу новой группе.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
03.10.2002, 13:49:22
    #32055167
Glory
Glory
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Несколько неясный момент

5. Убиваю право для группы 'Domain\Users'

Это sp_revokelogin или sp_denylogin ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
03.10.2002, 16:40:33
    #32055244
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
revoke
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
03.10.2002, 18:58:22
    #32055307
Александр Гладченко
Александр Гладченко
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
А сервер у Вас часом не контроллео домена?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
04.10.2002, 10:58:41
    #32055402
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Нет. подопытный SQL Server стоит на Win2000AS, который не играет ни какой роли в домене. SQL Server запущен под админским аккаунтам из домена.
А какая разница?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
04.10.2002, 11:15:44
    #32055409
Аноним
Аноним
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
А разве приписывание новой группе не требует перерегистрации пользователя в домене ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
04.10.2002, 11:32:58
    #32055426
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
2 Аноним: Не понял. Какой такой перерегистрации?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
04.10.2002, 12:47:46
    #32055472
Аноним
Аноним
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Logoff/Logon
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
04.10.2002, 14:50:05
    #32055526
Александр Гладченко
Александр Гладченко
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Аноним <- нет не требуется, это на лету происходит.
Андрей Сергеев <- на контроллере домена локальные группу закрыты и часто их путают с общими локальными группами, на уровне домена (сам не раз наступал...).
У Вас, повидимому, не эта проблема...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 11:56:35
    #32055888
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
2 Александр Гладченко:
Нет, ни чего не путаю. SQL Server тестовый. Стоит в домене, но не на DC. Все эксперименты с группами именно домена, а не какого-либо компа.
Просто не могу понять, почему встроенные группы дают доступ, а созданные мной - нет.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 12:26:58
    #32055906
KANDed
KANDed
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
А что, если попробовать этой NT группе дать побольше прав доступа к сетевым ресурсам и каталогам, которые может использовать SQL server?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 12:28:01
    #32055908
akuz
akuz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
А может всё-таки, где нибудь DENY стоит по группе в которую входит ваш Win-account? Проверьте.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 13:11:34
    #32055928
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
1. Мужики, при чем тут сетевые рессурсы?

2 .Аккаунт, с которым эксперементирую - входит в группы локальных и доменных админов. В NT я зарегестрирован под ним. Чтобы исключить админское built-in право доступа в итегрированном режиме, я грохнул builtin\administrators. Теперь доступ нужно выдать явно.

3. Я могу получить доступ к серверу, в случаях если даю право логиниться:
а. виндовому аккаунту.
б. группе MYDOMAIN\Domain Admins в которую я вхожу, и тогда я отображаюсь на SQL как sa
в. группе MYDOMAIN\Domain Users, и тогда вхожу на базы как гость.

4. Я не могу получить доступ к SQL, если создаю в домене группу, добавляю свой аккаунт в эту группу, даю на SQL право логиниться этой группе.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 13:39:43
    #32055951
akuz
akuz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
А вот перелогиниться всё таки попробуйте.
Хотя моё мнение по этому вопросу может быть несколько некомпетентным, я не являюсь специалистом по NT секьюрити, всё же попробую предположить.
Вы заводите локальную группу на SQL сервере. Затем пихаете в неё аккаунт из домена (не локальный). А вот как при этом SQL определит, являетесь ли вы членом локальной группы без синхронизации с DC? Помоему только после перелогина.
Поправьте если не прав.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 14:45:59
    #32056000
jimmers
jimmers
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
2Андрей Сергеев

А вот если попробовать то же самое, но с локальными группами (т.е. без Домена)?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 14:49:57
    #32056003
Glory
Glory
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Или в дополнение к совету jimmers-а поэкспериментируйте не над своей учетной записью, а создайте тестовый "нулевый" аккаунт
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 16:48:07
    #32056070
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Мужики! Решилось!
Под лозунгом:
"Даешь веру в незарегестрированных пользователей форума!"
Оглашаю победителя соревнования. Это - Аноним!

Сегодня обнаружил, что меня пускает на SQL (на базы как гостя), и единственный путь, по которому я смог прорваться - это моя группа mydomain\sqlaccess.
Копнул глубже - все решает перелогин в винде.

Т.е. права доступа к SQL остались даже когда я удалил себя из группы mydomain\sqlaccess. И пропало это право только после виндового перелогина. То же самое со вступлением полномочий в силу.

Странная штука, эта винда.

P.S. acuz к сожалению имелл ввиду кое что другое, по этому не могу сказать, что его ответ был тоже верен.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 16:49:22
    #32056071
KANDed
KANDed
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
А прописаны права этого логина на базы? sp_grantdbaccess выполнялась?

Remarks
Use sp_grantlogin to reverse the effects of a previous sp_denylogin that has been executed for a Windows NT user.

Use sp_addlogin to allow a SQL Server login to connect to SQL Server.

Although a login can connect to SQL Server after sp_grantlogin has been executed, access to user databases is denied until a user account for the login is created in each database that the login must access. Use sp_grantdbaccess to create a user account in each user database.

sp_grantlogin cannot be executed within a user-defined transaction.

Permissions
Only members of the sysadmin or securityadmin fixed server roles can execute sp_grantlogin.

Если это не пройдет, то все же внимательнее Deny поискать.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.10.2002, 16:52:35
    #32056074
Андрей Сергеев
Андрей Сергеев
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Не могу дать право на доступ к SQL группе NT
Пятый раз читаю acuz'а - не понятно изъясняется :(
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Не могу дать право на доступ к SQL группе NT / 21 сообщений из 21, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 321ms
Закрыть
start [/forum/topic.php?fid=46&mobile=1&tid=1819802]:
 0ms
get settings:
 7ms
get forum list:
 15ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 33ms
get topic data:
 9ms
get forum data:
 2ms
get page messages:
 53ms
get tp. blocked users:
 1ms
others: 195ms
total:  321ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]