Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Добрый день, коллеги.

Вопрос такой, сегодня утром начали вылезать ошибки типа
"The SELECT permission was denied on the object 'all_columns', database 'mssqlsystemresource'."
Причем, эта ошибка появляется только при коннекте к одной базы из нескольких на одном сервере (даже дерево таблиц в object explorer не раскрывается), со всеми другими все нормально. Группа пользователей является виндовой, и у нее роль db_owner, членство public есть. Настройки AD не менялись, настройки базы не менялись, в логах нет никаких ошибок.
DBCC CHECKDB не выявил никаких ошибок в мастере, ресурсе и целевой базе.
Перезапуск инстанса не дал результатов, переназначение прав тоже не привело ни к чему. По истории запросов посмотрел, никакого явного DENY SELECT... не было. Аудит пока не настроен. SCOM ничего подозрительного не говорит тоже.

Установка роли sysadmin у логина этой группы исправило эту ошибку, но это, само собой, временное решение.

@@Version
Microsoft SQL Server 2012 - 11.0.5522.0 (X64)
Enterprise Edition: Core-based Licensing (64-bit) on Windows NT 6.2 <X64> (Build 9200: ) (Hypervisor)
7 июл 14, 13:26    [16269264]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
vovan21rus
Причем, эта ошибка появляется только при коннекте к одной базы из нескольких на одном сервере (даже дерево таблиц в object explorer не раскрывается), со всеми другими все нормально. Группа пользователей является виндовой, и у нее роль db_owner, членство public есть. Настройки AD не менялись, настройки базы не менялись, в логах нет никаких ошибок.
DBCC CHECKDB не выявил никаких ошибок в мастере, ресурсе и целевой базе.
Перезапуск инстанса не дал результатов, переназначение прав тоже не привело ни к чему. По истории запросов посмотрел, никакого явного DENY SELECT... не было. Аудит пока не настроен. SCOM ничего подозрительного не говорит тоже.

Это значит, что все они могут выполнить select * from sys.all_columns в контексте этой базы?
7 июл 14, 13:35    [16269319]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Про sys.all_columns - это я селектил первое, что в голову пришло, не из-под админской учеткой. Селект из любой таблицы любой схемы в данной базе приводит к схожей ошибке
The SELECT permission was denied on the object 'MyTable', database 'MyDB', schema 'MySch'
В настройках группы в юзерах к базе галки на db_denydatareader и db_denydatawriter сняты
7 июл 14, 13:40    [16269351]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
vovan21rus
В настройках группы в юзерах к базе галки на db_denydatareader и db_denydatawriter сняты


Кроме явно назначенных прав есть еще наследуемые права. И запрет всегда приоритетнее разрешения.
7 июл 14, 13:44    [16269374]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

это-то понятно, в пятницу все работало, в AD и SQL Server явно никто ничего не менял, к тому же, права на изменение есть только у меня и у другого DBA, но он ничего не трогал
7 июл 14, 13:45    [16269380]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
vovan21rus
в AD и SQL Server явно никто ничего не менял,

Права сами по себе не пропадают.
"Установка роли sysadmin у логина этой группы исправило эту ошибку," - говорит о том, что все работает так, как сконфигурировано.
Потому что для sysadmin-ов проверки прав ролей, в которые они входят, ен соуществляеься
7 июл 14, 13:50    [16269406]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

Может быть сбой в метаданных или что-нибудь в этом роде? Учитывая, что к остальным базам-то коннект нормальный, настройки прав этих баз идентичны
7 июл 14, 13:52    [16269418]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
vovan21rus
Может быть сбой в метаданных или что-нибудь в этом роде?

Персональный сбой для одной группы ??
7 июл 14, 13:54    [16269433]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

Вероятность этого крайне мала! Больше идей в голову не лезет, гугл ничего толкового не советует, дал группе права на базу мастер, но ничего не поменялось
7 июл 14, 13:56    [16269448]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
vovan21rus
Больше идей в голову не лезет,

Искать надо наследуемые права.
У вас же не плоская структура групп и ролей с одним уровнем вложенности
7 июл 14, 13:59    [16269465]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

Наследуемые права в AD? В SQL особого наследия у нас нет, просто Логин для группы, от него Юзер для группы, а в группе уже участники
7 июл 14, 14:03    [16269509]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
vovan21rus
Наследуемые права в AD?

В MSSQL

vovan21rus
В SQL особого наследия у нас нет, просто Логин для группы, от него Юзер для группы, а в группе уже участники

Что будет, если учетная запись входит в несколько групп AD, у каждой из которых разные права в MSSQL ?
7 июл 14, 14:05    [16269523]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

Спасибо за подсказку, проблему устранил, нашел еще какую-то тестовую группу, в которой были те же самые участники, и там зачем-то были выставлены галки на denydatareader и denydatawriter. Спасибо большое
7 июл 14, 14:13    [16269574]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

А можешь еще подсказать, что это

select *
FROM OPENROWSET('Microsoft.ACE.OLEDB.12.0','Excel 12.0;IMEX=1;Trusted_Connection=YES;Database=C:\...\Plan.xlsx'
,'select * from [PlanVZK$]') as F

Выдает ошибку

Msg 7415, Level 16, State 1, Line 2
Ad hoc access to OLE DB provider 'Microsoft.ACE.OLEDB.12.0' has been denied. You must access this provider through a linked server.


Под сисадмином это работает, под не-админом только через линкованный сервер. Параметры Allow inprocess и dynamic parameters включены, параметр Disallow Ad Hoc Access выключен( я это явно прописал в реестре, т.е. DWORD 0x000000)
7 июл 14, 14:21    [16269635]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
BOL - ad hoc distributed queries Option
7 июл 14, 14:22    [16269644]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

в sys.configuration настройки установлены правильно
7 июл 14, 14:35    [16269713]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
Glory
Member

Откуда:
Сообщений: 104751
vovan21rus
в sys.configuration настройки установлены правильно

Так не бывает, что все правильно, а сообщение, что все неправильно.
7 июл 14, 14:36    [16269723]     Ответить | Цитировать Сообщить модератору
 Re: Access denied mssqlsystemresource  [new]
vovan21rus
Member

Откуда:
Сообщений: 61
Glory,

http://prntscr.com/407yf8
часть настроек
7 июл 14, 14:44    [16269797]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить