Làm cách nào để tạo đăng nhập Sql Server cho tài khoản miền?

14

Tất cả,

Tôi đã cài đặt Sql Server 2008 trên một máy chủ (giả sử Server1 ) trong Miền (giả sử là AD ). Tôi cũng có một tài khoản miền tên là AD \ Sql1 . Đây không phải là tài khoản Quản trị viên trên Miền ( AD ), nhưng tôi muốn nó là quản trị viên trên Server1 . Và sau đó tạo một đăng nhập trên Sql Server cho tài khoản Miền đó (không phải tài khoản cục bộ).

Làm thế nào để làm điều đó?

Câu hỏi:

  1. Người dùng AD \ Sql1 , tôi muốn anh ta là Quản trị viên trên Server1 . Vì vậy, tôi chỉ cần tạo một tài khoản cục bộ có cùng tên người dùng (giả sử Server1 \ Sql1 ) và biến tài khoản cục bộ thành Quản trị viên trên máy. Tài khoản cục bộ đó có được tự động ánh xạ tới tài khoản miền có cùng tên không? Có thể tôi nên thêm vào đây mà CREATE LOGIN [AD\Sql1] FROM WINDOWSkhông làm việc cho tôi. Tôi đã thử và nhận được một lỗi nói user does not exist in Windows(một cái gì đó như thế)
  2. Bây giờ, nếu các kỹ thuật trên hoạt động. Giả sử, AD \ Sql1 , trở thành Quản trị viên trên Sever1 . Vì vậy, về lý thuyết tôi không cần phải tạo Đăng nhập Sql cho tài khoản Windows Domain đó trên Máy chủ Sql, phải không? Tất cả các quản trị viên cục bộ là một phần của BUILTIT \ Quản trị viên tự động có quyền truy cập sysadmin vào Sql Server, phải không?

Tôi đã đi sai ở đâu? Vui lòng chia sẻ bất kỳ URL nào có thể giải thích khái niệm này tốt hơn.

Chỉnh sửa: Tôi cũng nên thêm rằng Câu hỏi 1 và 2 là quan trọng độc lập. Tôi biết cách thêm tài khoản domain / windows như sysadmin. Nhưng tôi quan tâm đến cách ánh xạ hoạt động giữa Tên miền và tài khoản cục bộ. Mục tiêu của tôi ở đây không phải là làm thế nào để thêm một tài khoản cục bộ như sysadmin, tôi có thể làm điều đó khá nhanh. Ý định của tôi không phải là thô lỗ, nhưng càng rõ ràng càng tốt. Nếu câu hỏi của tôi vẫn chưa rõ ràng, xin vui lòng cho tôi biết, để tôi có thể thêm chi tiết.

Cảm ơn,
_UB

Chỉnh sửa: Ngữ pháp

sql-server-2008 
UB01
nguồn

Câu trả lời:

13

Không tạo tài khoản cục bộ có cùng tên với tài khoản miền. Nếu bạn muốn thêm một tên miền đăng nhập như một quản trị viên sql, hãy làm như sau:

  • tạo thông tin đăng nhập cho tài khoản miền: create login [AD\Sql1] from windows;
  • thêm thông tin đăng nhập vào nhóm sysadmin: exec sp_addsrvrolemember 'AD\Sql1', 'sysadmin';

Làm xong. Bạn sẽ đạt được kết quả tương tự nếu bạn chỉ cần thêm AD\Sqltài khoản vào quản trị viên cục bộ thông qua net localgroup Administrators /add AD\Sql1(từ vỏ CMD) nhưng đó không phải là giải pháp chính xác vì nó cấp cho AD\Sql1tất cả các đặc quyền của quản trị viên NT ngoài việc cấp cho anh ta quản trị viên SQL, không phải là cấp cho anh ta. do đó là một yêu cầu do đó là độ cao không cần thiết. BTW quy tắc rằng các thành viên của nhóm Quản trị viên cục bộ là quản trị viên SQL không ẩn, là một đặc quyền rõ ràng được cấp theo mặc định trong quá trình Thiết lập SQL và nó có thể bị thu hồi để bạn phải kiểm tra.

Remus Rusanu
nguồn
Cảm ơn bạn, bình luận này có một số thông tin mà tôi có thể sử dụng. Nhưng tôi có một câu hỏi tiếp theo. Khi tôi cố gắng thêm đăng nhập Sql bằng cách sử dụng CREATE LOGIN [AD\Sql1] FROM WINDOWS, tôi đã gặp lỗi khi nói rằng người dùng không tồn tại trong Windows. Vì vậy, tôi đã phải thêm anh ta như được sử dụng cho máy cục bộ (sau đó nó hoạt động).
UB01
Tôi sẽ xem xét điểm mà bạn đã đề cập về '.. các quản trị viên cục bộ được mặc định sysasminstrên máy'. Cảm ơn bạn, tôi sẽ đọc lên về điều đó. Nhưng làm thế nào để ánh xạ hoạt động? Giữa các tài khoản Miền và tài khoản cục bộ có cùng tên.
UB01
Nếu máy cài đặt phiên bản SQL Server, là một phần của miền, bạn sẽ có thể thêm tài khoản miền mà không gặp sự cố nào.
JackLock
Được rồi, đó là những gì tôi nghĩ, nhưng tôi vẫn nhận được lỗi này : ...user could not be found in windows. Có thể có một cái gì đó khác đang diễn ra. Tôi sẽ kiểm tra lại.
UB01
1
Tôi đã gặp lỗi khi nói rằng người dùng không tồn tại trong Windows : điều đó có nghĩa là máy chủ SQL của bạn không phải là thành viên của miền AD hoặc thành viên của miền tin cậy AD. Bạn nên thêm máy vào miền AD. Bây giờ bạn đang theo đuổi cách tiếp cận được gọi là 'Tài khoản nhân đôi NT' (có lẽ bạn sẽ biết mình đang làm như vậy ...) và đây là một cách tiếp cận sai. Thêm máy chủ lưu trữ SQL vào miền AD.
Remus Rusanu
2

Kết nối với ví dụ của bạn trong SSMS. Mở rộng bảo mật / đăng nhập. Rt-click thêm đăng nhập mới, đưa vào thông tin. Trên các vai trò máy chủ, cấp cho nó sysadmin nếu bạn muốn nó có toàn bộ sức mạnh đối với thể hiện SQL. Làm xong. Tài khoản này không cần phải là quản trị viên cục bộ trên máy Windows của bạn để được sysadmin trong SQL Server.

Eric Higgins
nguồn
Cảm ơn bạn đã bình luận nhanh chóng. Tôi hiểu khái niệm bạn truyền đạt trong phản ứng của bạn. Câu hỏi của tôi (có thể không rõ ràng lắm) là để hiểu cách thức mối quan hệ (hoặc ánh xạ) hoạt động giữa các tài khoản Miền và tài khoản cục bộ. Và làm thế nào điều đó ảnh hưởng đến Sql Server.
UB01
SID được tạo trong db chính cho bất kỳ tài khoản, tên miền hoặc tài khoản SQL Server nào.
Eric Higgins
SID created for each account..là một khái niệm tôi hiểu. Để tôi cho bạn một ví dụ: Tài khoản có AD\Sql1giống như Server1\Sql1trên máy chủ không. Mỗi cái có một ID bảo mật riêng biệt được ánh xạ để HĐH biết rằng chúng là một và giống nhau không? Điều này thậm chí có xảy ra? (Tôi chỉ đoán, tôi không biết)
UB01
Tôi hiểu rồi. Tôi đang cố gắng để hiểu các khoản tín dụng Windows tôi nghĩ. Tài khoản AD và Windows cục bộ không giống nhau (ngay cả khi tên giống nhau). Dưới đây là một số thông tin về cách SID tên miền, mã thông báo truy cập hoạt động. Tôi hy vọng điều này sẽ giúp: technet.microsoft.com/en-us/l Library / cc785913 (v = ws.10) .aspx
Eric Higgins
Cảm ơn bạn, tôi sẽ đọc bài viết đó và xem nếu điều đó giúp tôi hiểu các khái niệm tốt hơn.
UB01
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.