Đăng nhập không thể xem định nghĩa ngay cả khi được cấp phép


7

Tôi có một đăng nhập AD trong các nhóm AD dưới đây.

  • DOMAIN \ Globalgroup1
  • DOMAIN \ Globalgroup2
  • DOMAIN \ Globalgroup3
  • DOMAIN \ Universalgroup1

DOMAIN \ Universalgroup1 đã được cấp XEM XEM BẤT K DE ĐỊNH NGH DEA nào trên phiên bản SQL Server này (10.50.6000.34). Người dùng không thể xem bất kỳ định nghĩa nào của cơ sở dữ liệu.

Các thành viên khác của DOMAIN \ Universalgroup1 dường như có thể xem các định nghĩa.

EXEC xp_logininfo 'DOMAIN\user','all'

Chỉ hiển thị 3 Nhóm Toàn cầu. Đây là một giới hạn tài liệu của thủ tục xp_logininfo.

EXEC xp_logininfo 'DOMAIN\UniversalGroup1','members'

Xác nhận tư cách thành viên của nhóm cho nhóm.

Làm thế nào tôi có thể khắc phục sự cố này? Là vấn đề theo bất kỳ cách nào liên quan đến sự khác biệt giữa nhóm toàn cầu và phổ quát?


Hãy thử mạo danh người dùng và truy vấn sys.login_token. Đồng thời kiểm tra để đảm bảo Universalgroup1 thực sự là một nhóm bảo mật.
Kenneth Fisher

Tôi gặp vấn đề tương tự, tôi đã kết nối với hai máy chủ có cùng quyền nhưng chỉ có thể thấy các đối tượng trong một chứ không phải các đối tượng khác. Một khởi động lại đã sửa nó cho tôi.
Vladimir Oselsky

Tôi cũng đã thấy một nhóm AD được tạo như một nhóm phân phối thay vì nhóm bảo mật và có cùng các triệu chứng. Nếu nó không hiển thị trong login_tokens thì SQL không thấy nó vì một số lý do.
Kenneth Fisher

Quyền trong SQL Server là phụ gia - nếu bất kỳ nhóm nào trong số này có quyền đó bị từ chối đối với họ, người dùng sẽ bị từ chối quyền đó, mặc dù nó được cấp như một phần của nhóm khác. Đó là một điều khác để kiểm tra.
nateirvin

Câu trả lời:


6

UAC có được bật không? UAC có thể cắt bớt danh sách thành viên nhóm của người dùng

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.