Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Как подключаются к бд  [new]
смотрю_тут
Member

Откуда:
Сообщений: 1368
Не пойму как пользователи подключаются к БД.
В сеансе к БД много пользователей, но как они доступ получили не пойму. Все windows учетки
Есть группы , в которые они входят , но эти группы имеют права только public на сервере, в базе вообще мапинга для групп нет.
Все их wndows учетки не прописаны в логинах sql сервера, но прописаны в user-ах базы.
Как понять, как они подключаются?

сиквел 2008r2
22 сен 14, 17:22    [16606210]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
спросите того,кто заводил.
Вообщем они скорее всего получиили права через НТ группы. А уж политики которые применялись при етом - лучше спросить у того кто ето делал.
22 сен 14, 17:24    [16606223]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
смотрю_тут
Member

Откуда:
Сообщений: 1368
Maxx
спросите того,кто заводил.
Вообщем они скорее всего получиили права через НТ группы. А уж политики которые применялись при етом - лучше спросить у того кто ето делал.

что за HT группы?
22 сен 14, 17:26    [16606239]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
Glory
Member

Откуда:
Сообщений: 104760
смотрю_тут
что за HT группы?

Группы домена/локальной машины
22 сен 14, 17:28    [16606247]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
смотрю_тут
Member

Откуда:
Сообщений: 1368
Glory
смотрю_тут
что за HT группы?

Группы домена/локальной машины

локальной, то точно нет, а вот доменной да, может, только не пойму какой. т.к та группа, в которую все входят они , не имеем прав на базу, она даже туда не примапина,
22 сен 14, 17:34    [16606277]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
Glory
Member

Откуда:
Сообщений: 104760
смотрю_тут
локальной, то точно нет, а вот доменной да, может, только не пойму какой. т.к та группа, в которую все входят они , не имеем прав на базу, она даже туда не примапина,

И что мешает посмотреть, к какому логину примаплен тот или иной пользователь базы ?
22 сен 14, 21:44    [16607130]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
смотрю_тут
Member

Откуда:
Сообщений: 1368
Glory
смотрю_тут
локальной, то точно нет, а вот доменной да, может, только не пойму какой. т.к та группа, в которую все входят они , не имеем прав на базу, она даже туда не примапина,

И что мешает посмотреть, к какому логину примаплен тот или иной пользователь базы ?

то что их нет в логинах сервера.
Они входят в какую-то доменную группу.
23 сен 14, 11:51    [16609052]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
Glory
Member

Откуда:
Сообщений: 104760
смотрю_тут
то что их нет в логинах сервера.

Нету в логинах <> не отмаплен в какой-то логин
23 сен 14, 11:52    [16609061]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
o-o
Guest
смотрю_тут
Glory
пропущено...

Группы домена/локальной машины

локальной, то точно нет, а вот доменной да, может, только не пойму какой. т.к та группа, в которую все входят они , не имеем прав на базу, она даже туда не примапина,

если товарищ проникает на сервер через виндовую группу,
то дать ему доступ к базе можно просто примапив юзера (к-ого как ЛОГИНА в явном виде и НЕТ)

подтверждающая картинка:
в базе db1 мной создан юзер HD03\S104233, но как явного логина его НЕТ,
просто я знаю, что эта учетка входит в BUILTIN\Administrators,
а команда для создания будет самая обычная:
create user [HD03\S104233] from login [HD03\S104233]

посмотреть, в какие группы входит виндовый юзер:
Узнать входит ли определенеНный пользователь в доменную группу

К сообщению приложен файл. Размер - 98Kb
23 сен 14, 11:55    [16609076]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
o-o
Guest
спецом убираю всех BUILTIN\Administrators, BUILTIN\Users
еще мне тут все подряд будут ходить на мой-то сервер!!!
добавляю всего одну доменную группу esp\S1DBDWSVILUPPO, юзер снова создается:
create login [esp\S1DBDWSVILUPPO] from windows 
GO

USE [db1]
GO

create user [esp\S104233] from login [esp\S104233] 
GO


К сообщению приложен файл. Размер - 17Kb
23 сен 14, 12:07    [16609169]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
смотрю_тут
Member

Откуда:
Сообщений: 1368
o-o
смотрю_тут
пропущено...

локальной, то точно нет, а вот доменной да, может, только не пойму какой. т.к та группа, в которую все входят они , не имеем прав на базу, она даже туда не примапина,

если товарищ проникает на сервер через виндовую группу,
то дать ему доступ к базе можно просто примапив юзера (к-ого как ЛОГИНА в явном виде и НЕТ)

подтверждающая картинка:
в базе db1 мной создан юзер HD03\S104233, но как явного логина его НЕТ,
просто я знаю, что эта учетка входит в BUILTIN\Administrators,
а команда для создания будет самая обычная:
create user [HD03\S104233] from login [HD03\S104233]

посмотреть, в какие группы входит виндовый юзер:
Узнать входит ли определенеНный пользователь в доменную группу

теперь понял, как они их насоздовали.
Только все равно теперь осталось узнать, через какую групп они добавились?
Кроме как смотреть в какую группу они все входят, групп у них много.
23 сен 14, 12:12    [16609205]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
o-o
Guest
смотрю_тут
Только все равно теперь осталось узнать, через какую групп они добавились?
Кроме как смотреть в какую группу они все входят, групп у них много.

ну в той же теме по ссылке invm ответил конкретно:
exec xp_logininfo 'dom\acc', 'all';
23 сен 14, 12:14    [16609223]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
смотрю_тут
Member

Откуда:
Сообщений: 1368
o-o
смотрю_тут
Только все равно теперь осталось узнать, через какую групп они добавились?
Кроме как смотреть в какую группу они все входят, групп у них много.

ну в той же теме по ссылке invm ответил конкретно:
exec xp_logininfo 'dom\acc', 'all';

да вижу.
тогда еще один вопрос, как они все таки получили права, пока я так это вижу.
Есть несколько пользователей админы БД,
есть группа доменная Группа1, которой предоставлены только права public на сервер, в нужную бд у её прав нет.

Если админы базы создаст пользователя базы для доменного пользователя, входящий в группу1, и включит его в роль в бд, то такая схему будет работать, несмотря на то, что группа их не имеет прав в БД?

т.к я только нашел их одну группу, у которой нет прав на БД, права на сервере public, но все пользователи их двух доменов из этой группы.
Запутанно конечно выходит.
23 сен 14, 12:28    [16609363]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
o-o
Guest
смотрю_тут,

не совсем понятен вопрос.
права в базе выдаются уже юзерам.
их могли в роль запихнуть и роли права выдать, им могли индивидуально дать,
все как всегда.
и почему именно админ?
юзеров наделать мог уже db_owner, и наделить всеми правами, что вздумается.
куда там на сервере входит их группа вообще все равно,
главное, что пока группа существует как логин, все ее члены попадают на сервер.
а дальше, как только их отмапят индивидуально или всей группой в базу,
они и в базу станут попадать. с правами, к-ые им выдали индивидуально в базе или их группе как юзеру базы.
23 сен 14, 12:49    [16609632]     Ответить | Цитировать Сообщить модератору
 Re: Как подключаются к бд  [new]
смотрю_тут
Member

Откуда:
Сообщений: 1368
o-o
смотрю_тут,

не совсем понятен вопрос.
права в базе выдаются уже юзерам.
их могли в роль запихнуть и роли права выдать, им могли индивидуально дать,
все как всегда.
и почему именно админ?
юзеров наделать мог уже db_owner, и наделить всеми правами, что вздумается.
куда там на сервере входит их группа вообще все равно,
главное, что пока группа существует как логин, все ее члены попадают на сервер.
а дальше, как только их отмапят индивидуально или всей группой в базу,
они и в базу станут попадать. с правами, к-ые им выдали индивидуально в базе или их группе как юзеру базы.

да, спасибо большое.

под админом я имел ввиду админ БД(db_owner).
Просто на этой бд надовали права по другому , обычно другим группам у нас дается группа и она мапится к базе, чтобы знать для чего она.
Группа зовется с именем связанной с бд, а тут и имя группы другое , и нет маппинга к бд.
23 сен 14, 13:42    [16610157]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить