Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Удивительно хорошие права у пользвателя  [new]
andrew shalaev
Member

Откуда: Moscow
Сообщений: 610
Доброго времени суток!

СУБД: Microsoft SQL Server 2008 R2 (SP1) - 10.50.2500.0 (X64) Jun 17 2011 00:54:03 Copyright (c) Microsoft Corporation Enterprise Edition (64-bit) on Windows NT 6.1 <X64> (Build 7601: Service Pack 1) (Hypervisor)

Есть доменный пользователь, он не влючен в серверные роли:
sysadmin
serveradmin
bulkadmin

У пользователя есть маппинг на БД и есть права на чтение таблиц и выполнения процедур. Но нет прав db_owner и прав на модификацию данных.

Однако, если под пользователем запустить скрипт
+

SELECT HAS_PERMS_BY_NAME
(QUOTENAME(SCHEMA_NAME(schema_id)) + '.' + QUOTENAME(name), 
    'OBJECT', 'update') AS have_select, * FROM sys.tables



То видно что он имеет права на модификацию данных всех таблиц БД. Что характерно, актие же результаты скрипт показывает, даже если убрать маппинг пользователя на базу. Т.е. такое ощущение что он обладает правами sysadmin.

Я предположил, что группа лок. админов сервера входит в группу sysadmin. Но ни группа лок админов не входит в sysadmin, не доменный юзер не является лок. админом на сервере.

Каке же он тогда получает доступ на модификацию к таблицам БД? Вопрос достаточно острый т.к. сервер боевой.
10 янв 14, 17:52    [15398547]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37069
Права роли public понавыдавали?
10 янв 14, 17:54    [15398556]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
andrew shalaev
Member

Откуда: Moscow
Сообщений: 610
Гавриленко Сергей Алексеевич,

Если Вы про роль БД то я же говорю, что даже если снимать маппинг на базу то права сохраняются. Все же я проверил public, и у нее нет прав на таблицы
10 янв 14, 17:59    [15398590]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74925
andrew shalaev,

А логин BUILTIN\Administrators он как себя чувствует?
10 янв 14, 18:37    [15398779]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
o-o
Guest
execute as login = 'dom\super_user'
select *
from sys.login_token

вообще всех покажет, куда входит
10 янв 14, 19:03    [15398898]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3274
А владелец БД не он же? Ну или доменная группа, в которую он может входить, как вариант.
11 янв 14, 06:27    [15400857]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
andrew shalaev
Member

Откуда: Moscow
Сообщений: 610
pkarklin
А логин BUILTIN\Administrators он как себя чувствует?


Он удален.
13 янв 14, 10:15    [15406474]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 33978
Блог
наверняка пользователь входит в доменную группу (которая входит в другую группу и т.д.), которая имеет нужные права
13 янв 14, 10:24    [15406514]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
andrew shalaev
Member

Откуда: Moscow
Сообщений: 610
o-o
вообще всех покажет, куда входит


Классный скрипт, спасибо, но он не раскрыл тайну(
Вообще серверная роль sysadmin включает в себя пару конкретных учеток + 3 группы:

NT AUTHORITY\SYSTEM
NT AUTHORITY\MSSQLSERVER
NT AUTHORITY\SQLSERVERAGENT

пользователь не входит в эти группы, а права все равно как у сисадмина.
13 янв 14, 10:27    [15406527]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
Glory
Member

Откуда:
Сообщений: 104760
andrew shalaev
пользователь не входит в эти группы, а права все равно как у сисадмина.

Значит он входит в другие группы. Которые имеют права.
13 янв 14, 10:28    [15406533]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
andrew shalaev
Member

Откуда: Moscow
Сообщений: 610
Запустил запрос под правами пользователя :
SELECT *
FROM sys.server_permissions sp



Среди прав есть строчка - CONTROL SERVER. Теперь точно ясно что он sysadmin. Хоть и напрямую в эту группу не входит.
Подозрения на 2 группы:

NT AUTHORITY\MSSQLSERVER
NT AUTHORITY\SQLSERVERAGENT

Но как посмотреть кто входит в эти группы не нашел.
Вообще почитал, что в эти группы входят учетки(как я понял они одноименные с группами) через которые компоненты Агента и Database Engine, обращаются сами к себе. Смутно понял их предназначение. Знает кто как посмотреть кто входит в эти группы?
13 янв 14, 16:46    [15409259]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
daw
Member

Откуда: Муром -> Москва
Сообщений: 7381
> Среди прав есть строчка - CONTROL SERVER.

то есть, в sys.server_permissions прямо для этого логина control server есть?
13 янв 14, 16:51    [15409293]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
andrew shalaev
Member

Откуда: Moscow
Сообщений: 610
daw
то есть, в sys.server_permissions прямо для этого логина control server есть?


Да
13 янв 14, 16:55    [15409319]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
daw
Member

Откуда: Муром -> Москва
Сообщений: 7381
тогда можете ничего больше не искать. в sys.server_permissions показаны только те разрешения, которые непосредственно были логину грантованы. там нет прав, которые получаются путем членства в каких-либо ролях или группах. кто-то просто грантовал логину control server, вот и все.
13 янв 14, 16:58    [15409340]     Ответить | Цитировать Сообщить модератору
 Re: Удивительно хорошие права у пользвателя  [new]
andrew shalaev
Member

Откуда: Moscow
Сообщений: 610
daw,

Спасибо!
13 янв 14, 17:10    [15409422]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить