Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
Привет. Подскажите по пермиссиям роли dbcreator. Не понимаую почему у sql login есть пермиссия alter any database, а у windows user ее нет. Соответственно для sql она раскрывается по covering на базу master, а у windows login такого нет. Может кто знает почему такая разница? Спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 15:05 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
hegthНе понимаую почему у sql login есть пермиссия alter any database, а у windows user ее нет. потому что первый логин засунут в эту группу, а второй нет hegthСоответственно для sql она раскрывается по covering на базу master, а у windows login такого нет. Может кто знает почему такая разница? какое еще раскрытие и что есть covering? фигня какая-то. да, членство в роли dbcreator дает логину alter any database, но при чем тут "она раскрывается по covering на базу master"? серверное право или есть, или его нет, при чем тут какая-то база? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 15:44 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
**"первый логин засунут в эту группу" читать как "первый логин засунут в эту роль" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 15:45 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
Yasha123**"первый логин засунут в эту группу" читать как "первый логин засунут в эту роль" Оба логина с этой ролью, но у windows user нет права "alter any database", а у sql user - есть. Вопрос почему так? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 15:50 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
hegthYasha123**"первый логин засунут в эту группу" читать как "первый логин засунут в эту роль" Оба логина с этой ролью, но у windows user нет права "alter any database", а у sql user - есть. Вопрос почему так? ну так виндовый юзер можрет входить в группу, у которой deny alter any database. или ему самому явно сделали deny alter any database ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 15:53 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
Код: sql 1. 2. 3. 4. 5. 6. 7. выполните код, подставив нужный виндовый логин, увидите, откуда еще он наследует права/запреты ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 15:56 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
Yasha123hegthпропущено... Оба логина с этой ролью, но у windows user нет права "alter any database", а у sql user - есть. Вопрос почему так? ну так виндовый юзер можрет входить в группу, у которой deny alter any database. или ему самому явно сделали deny alter any database Нет, дело не в членствах и явных запретах. Просто так работае sql server(проверено эксперементами). А почему он так работает инфы найти не могу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 15:59 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
hegthYasha123**"первый логин засунут в эту группу" читать как "первый логин засунут в эту роль" Оба логина с этой ролью, но у windows user нет права "alter any database", а у sql user - есть. Вопрос почему так? потому что самому windows user отдельно запрещено "alter any database", вот и всё. Запрет берёт верх над разрешением. или windows user засунули в ещё какую-нибудь группу / роль, у которой запрет на "alter any database" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:04 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
hegthYasha123пропущено... ну так виндовый юзер можрет входить в группу, у которой deny alter any database. или ему самому явно сделали deny alter any database Нет, дело не в членствах и явных запретах. Просто так работае sql server(проверено эксперементами). А почему он так работает инфы найти не могу. вы продолжаете нести фигню. вот мой код создает виндовый логин, его засовывает в dbcreator, затем проверяем права. все с ними в порядке: Код: sql 1. 2. 3. 4. 5. 6. 7. 8. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:08 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
hegthYasha123пропущено... ну так виндовый юзер можрет входить в группу, у которой deny alter any database. или ему самому явно сделали deny alter any database Нет, дело не в членствах и явных запретах. Просто так работае sql server(проверено эксперементами). А почему он так работает инфы найти не могу. exec as login = 'Windows login' select * from sys.login_token where principal_id > 0; revert; 288 0x0105000000000005150000008A035856B1986F5B58521245CB0D0000 Window login WINDOWS LOGIN GRANT OR DENY 2 0x02 public SERVER ROLE GRANT OR DENY 9 0x09 dbcreator SERVER ROLE GRANT OR DENY EXECUTE AS Login = Windows Login'; SELECT * FROM fn_my_permissions(null, 'SERVER') ORDER BY subentity_name, permission_name ; REVERT; server CONNECT SQL server CREATE ANY DATABASE server VIEW ANY DATABASE SQL Login: EXECUTE AS Login = 'SQL Login'; SELECT * FROM fn_my_permissions(null, 'SERVER') ORDER BY subentity_name, permission_name ; REVERT; server ALTER ANY DATABASE server CONNECT SQL server CREATE ANY DATABASE server VIEW ANY DATABASE ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:11 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
Yasha123hegthпропущено... Нет, дело не в членствах и явных запретах. Просто так работае sql server(проверено эксперементами). А почему он так работает инфы найти не могу. вы продолжаете нести фигню. вот мой код создает виндовый логин, его засовывает в dbcreator, затем проверяем права. все с ними в порядке: Код: sql 1. 2. 3. 4. 5. 6. 7. 8. А теперь создай sql login и сделай тоже самое. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:13 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
о да блин, да одинаковые у них права, вот вам скульный логин: Код: sql 1. 2. 3. 4. 5. 6. 7. 8. по вашему выхлопу скриптов выходит, что как раз у сиквельного одно право лишнее. у него и смотрите login_token ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:16 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
Yasha123hegthпропущено... Нет, дело не в членствах и явных запретах. Просто так работае sql server(проверено эксперементами). А почему он так работает инфы найти не могу. вы продолжаете нести фигню. вот мой код создает виндовый логин, его засовывает в dbcreator, затем проверяем права. все с ними в порядке: Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:16 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
hegthИ вас не смущает, что у вас в результате нет пермиссии "Alter any database"? нет, не смущает. это как раз то, что у вас лишнее. выясняйте, откуда оно. или выдано скульному логину в явном виде, или выдано еще одной роли, куда он входит ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:19 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
Yasha123hegthИ вас не смущает, что у вас в результате нет пермиссии "Alter any database"? нет, не смущает. это как раз то, что у вас лишнее. выясняйте, откуда оно. или выдано скульному логину в явном виде, или выдано еще одной роли, куда он входит Спс, буду разбираться, судя по сайту майкрософт оно быть должно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2019, 16:27 |
|
||
|
Подскажите по пермиссиям серверной роли dbcreator.
|
|||
|---|---|---|---|
|
#18+
hegthбуду разбираться, судя по сайту майкрософт оно быть должно. а оно есть. только оно какое-то "скрытое". я хочу сказать, что хотя sys.fn_my_permissions(null, 'server') не показывает в явном виде alter any database, право такое у членов роли dbcreator есть. т.е. члены этой роли спокойно выполняют alter database на любой базе. есть предположение, что в явном виде право alter any database появилось, начиная с 2012-ого. и теперь его можно выдать независимо от роли. проверить не могу, у меня сейчас нет под рукой младших версий. но если это так, то это право "привносилось" логину членством в роли, но т.к. его не было "в явном виде", то fn_my_permissions и не показывает его ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.09.2019, 13:45 |
|
||
|
|
start [/forum/topic.php?fid=46&msg=39862351&tid=1687272]: |
0ms |
get settings: |
8ms |
get forum list: |
18ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
144ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
72ms |
get tp. blocked users: |
1ms |
| others: | 263ms |
| total: | 527ms |
| 0 / 0 |
